Schützen von Daten mit serverseitiger Verschlüsselung

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 API S3-Antwort-Header im AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Standardverschlüsselung FAQ.

Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. Amazon S3 verschlüsselt Ihre Daten auf Objektebene, wenn es sie auf Festplatten in AWS Rechenzentren schreibt, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Wenn Sie Ihre Objekte beispielsweise mit einem vorsignierten Objekt teilenURL, URL funktioniert das sowohl für verschlüsselte als auch für unverschlüsselte Objekte auf die gleiche Weise. Wenn Sie Objekte in Ihrem Bucket auflisten, geben die API Listenoperationen außerdem eine Liste aller Objekte zurück, unabhängig davon, ob sie verschlüsselt sind.

Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert und alle neuen Objekte, die in einen S3-Bucket hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Bucket in Amazon S3. Um einen anderen Verschlüsselungstyp zu verwenden, können Sie entweder die Art der serverseitigen Verschlüsselung angeben, die in Ihren S3-PUT-Anfragen verwendet werden soll, oder Sie können die Standardverschlüsselungskonfiguration im Ziel-Bucket festlegen.

Wenn Sie in Ihren PUT Anfragen einen anderen Verschlüsselungstyp angeben möchten, können Sie serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (-), zweischichtige serverseitige Verschlüsselung mit Schlüsseln (SSE-KMS) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten AWS KMS Schlüsseln (DSSE-CKMS) verwenden. SSE Wenn Sie im Ziel-Bucket eine andere Standardverschlüsselungskonfiguration festlegen möchten, können Sie - oder - verwenden. SSE KMS DSSE KMS

Anmerkung

Sie können nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung auf dasselbe Objekt anwenden.

Wenn Sie Ihre vorhandenen Objekte verschlüsseln müssen, verwenden Sie S3 Batch Operations und S3 Inventory. Weitere Informationen finden Sie unter Verschlüsseln von Objekten mit Amazon S3 Batch Operations) und Ausführung umfangreicher Batch-Vorgänge für Amazon S3-Objekte durch..

Sie haben vier sich gegenseitig ausschließende Optionen für die serverseitige Verschlüsselung, abhängig davon, wie Sie die Verschlüsselungsschlüssel verwalten und wie viele Verschlüsselungsebenen Sie anwenden möchten.

Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)

Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert. Die Standardoption für serverseitige Verschlüsselung ist mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3). Jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzliche Sicherheitsmaßnahme verschlüsselt SSE -S3 den Schlüssel selbst mit einem Stammschlüssel, den es regelmäßig wechselt. SSE-S3 verwendet eine der stärksten verfügbaren Blockchiffren, den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten zu verschlüsseln. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden (SSE-S3).

Serverseitige Verschlüsselung mit () Schlüsseln (-) AWS Key Management ServiceAWS KMS SSE KMS

Die serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) wird durch eine Integration des AWS KMS Dienstes mit Amazon S3 bereitgestellt. Mit AWS KMS haben Sie mehr Kontrolle über Ihre Schlüssel. Sie können beispielsweise separate Schlüssel anzeigen, Kontrollrichtlinien bearbeiten und den Schlüsseln in AWS CloudTrail folgen. Darüber hinaus können Sie vom Kunden verwaltete Schlüssel erstellen und verwalten oder von Von AWS verwaltete Schlüssel verwaltete Schlüssel verwenden, die für Sie, Ihren Service und Ihre Region einzigartig sind. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit AWS KMS Schlüsseln verwenden (SSE-) KMS.

Zweischichtige serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (DSSE-) KMS

Die zweischichtige serverseitige Verschlüsselung mit AWS KMS keys (DSSE-KMS) ähnelt SSE -KMS, verwendet jedoch DSSE zwei einzelne Verschlüsselungsebenen auf Objektebene anstelle einer Ebene. KMS Da beide Verschlüsselungsebenen serverseitig auf ein Objekt angewendet werden, können Sie eine Vielzahl von Tools verwenden, um Daten in S3 zu analysieren AWS-Services und gleichzeitig eine Verschlüsselungsmethode zu verwenden, die Ihren Compliance-Anforderungen gerecht wird. Weitere Informationen finden Sie unter Verwendung einer zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-) KMS.

Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (-C) SSE

Bei serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) verwalten Sie die Verschlüsselungsschlüssel, und Amazon S3 verwaltet die Verschlüsselung beim Schreiben auf Festplatten und die Entschlüsselung beim Zugriff auf Ihre Objekte. Weitere Informationen finden Sie unter Verwenden Sie serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (-C) SSE.