Schützen von Daten mithilfe serverseitiger Verschlüsselung - Amazon Simple Storage Service

Schützen von Daten mithilfe serverseitiger Verschlüsselung

Die serverseitige Verschlüsselung ist die Verschlüsselung von Daten an seinem Ziel durch die Anwendung oder den Service, der sie empfängt. Amazon S3 verschlüsselt Ihre Daten auf Objektebene, indem es sie auf Festplatten in seinen Rechenzentren schreibt und für Sie entschlüsselt, wenn Sie darauf zugreifen. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Wenn Sie beispielsweise Ihre Objekte unter Verwendung einer vorsignierten URL teilen, verhält sich die URL für verschlüsselte und unverschlüsselte Objekte gleich. Wenn Sie die Objekte in Ihrem Bucket auflisten, gibt die Listen-API außerdem eine Liste aller Objekte zurück, unabhängig davon, ob sie verschlüsselt sind.

Anmerkung

Sie können nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung auf dasselbe Objekt anwenden.

Es bieten sich Ihnen drei sich gegenseitig ausschließende Optionen, abhängig davon, wie Sie die Zugriffsschlüssel verwalten möchten.

Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

Wenn Sie eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verwenden, wird jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzlicher Schutz wird der eigentliche Schlüssel mit einem Master-Schlüssel verschlüsselt, der regelmäßig rotiert wird. Die serverseitige Amazon S3-Verschlüsselung verwendet eine der stärksten Blockverschlüsselungen, die verfügbar sind, 256-bit Advanced Encryption Standard (AES-256), um Ihre Daten zu verschlüsseln. Weitere Informationen finden Sie unter Daten schützen durch serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3).

Serverseitige Verschlüsselung mit Kundenmasterschlüsseln (CMKs), die in AWS Key Management Service (SSE-KMS) gespeichert sind

Serverseitige Verschlüsselung mit Kundenmasterschlüsseln (CMKs), die in AWS Key Management Service (SSE-KMS) gespeichert sind ist mit SSE-S3 vergleichbar, jedoch mit einigen zusätzlichen Vorteilen und Kosten für die Nutzung dieses Services. Es gibt separate Berechtigungen für die Verwendung eines CMK, das einen zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE-KMS bietet Ihnen außerdem ein Prüfprotokoll, das anzeigt, wann und von wem Ihr CMK verwendet wurde. Darüber hinaus können Sie kundenseitig verwaltete CMKs erstellen und verwalten oder von AWS verwaltete CMKs verwenden, die für Sie, Ihren Service und Ihre Region einzigartig sind. Weitere Informationen finden Sie unter Schutz von Daten durch serverseitige Verschlüsselung mit CMKs, die in AWS Key Management Service (SSE-KMS) gespeichert sind.

Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

Bei serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) verwalten Sie die Verschlüsselungsschlüssel, und Amazon S3 verwaltet die Verschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Weitere Informationen finden Sie unter Schützen von Daten durch eine serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C).