Verwenden serverseitiger Dual-Layer-Verschlüsselung mit AWS KMS-Schlüsseln (DSSE-KMS) - Amazon Simple Storage Service

Verwenden serverseitiger Dual-Layer-Verschlüsselung mit AWS KMS-Schlüsseln (DSSE-KMS)

Bei Verwendung der serverseitigen Dual-Layer-Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (DSSE-KMS) werden für Objekte beim Hochladen in Amazon S3 zwei Verschlüsselungsebenen angewendet. DSSE-KMS hilft Ihnen dabei, Compliance-Standards, die eine Multi-Layer-Verschlüsselung Ihrer Daten erfordern, einfacher zu erfüllen und die volle Kontrolle über Ihre Verschlüsselungsschlüssel zu haben.

Das "Dual" in DSSE-KMS bezieht sich auf zwei unabhängige AES-256-Verschlüsselungsebenen, die auf Ihre Daten angewendet werden:

  • Erste Schicht: Ihre Daten werden mit einem eindeutigen Datenverschlüsselungsschlüssel (DEK) verschlüsselt, der von AWS KMSerzeugt wird.

  • Zweite Schicht: Die bereits verschlüsselten Daten werden mit einem separaten, von Amazon S3 verwalteten AES-256-Schlüssel erneut verschlüsselt.

Dies unterscheidet sich vom Standard-SSE-KMS, das nur eine einzige Verschlüsselungsebene anwendet. Der zweischichtige Ansatz bietet eine erhöhte Sicherheit, da er gewährleistet, dass Ihre Daten auch bei einer Beeinträchtigung einer Verschlüsselungsschicht durch die zweite Schicht geschützt bleiben. Diese zusätzliche Sicherheit geht mit einem erhöhten Verarbeitungsaufwand und AWS KMS API-Aufrufen einher, was die höheren Kosten im Vergleich zum Standard-SSE-KMS erklärt. Weitere Informationen über die Preisgestaltung von DSSE-KMS finden Sie unter AWS KMS key concepts im AWS Key Management Service Developer Guide und AWS KMS pricing.

Wenn Sie DSSE-KMS mit einem Amazon-S3-Bucket verwenden, müssen sich die AWS KMS-Schlüssel in derselben Region wie der Bucket befinden. Wird DSSE-KMS für das Objekt angefordert, wird außerdem die S3-Prüfsumme, die Teil der Objektmetadaten des Objekts ist, in verschlüsselter Form gespeichert. Weitere Informationen zu Prüfsummen finden Sie unter Überprüfen der Objektintegrität in Amazon S3.

Anmerkung

S3-Bucket-Schlüssel werden für DSSE-KMS nicht unterstützt.

Die wichtigsten Unterschiede zwischen DSSE-KMS und Standard-SSE-KMS sind:

  • Verschlüsselungsebenen: DSSE-KMS wendet zwei unabhängige AES-256-Verschlüsselungsebenen an, während das Standard-SSE-KMS eine Ebene verwendet.

  • Sicherheit: DSSE-KMS bietet verbesserten Schutz gegen potenzielle Schwachstellen in der Verschlüsselung

  • Konformität: DSSE-KMS hilft bei der Erfüllung gesetzlicher Anforderungen, die eine mehrschichtige Verschlüsselung vorschreiben

  • Leistung: DSSE-KMS hat eine etwas höhere Latenzzeit aufgrund der zusätzlichen Verschlüsselungsverarbeitung

  • Kosten: DSSE-KMS verursacht höhere Kosten aufgrund des erhöhten Rechenaufwands und zusätzlicher AWS KMS Operationen

Anfordern serverseitiger Dual-Layer-Verschlüsselung mit AWS KMS keys (DSSE-KMS)

Wenn Sie die serverseitige Dual-Layer-Verschlüsselung aller Objekte in einem bestimmten Amazon-S3-Bucket anfordern möchten, können Sie eine Bucket-Richtlinie verwenden. Beispielsweise verweigert die folgende Bucket-Richtlinie jedem die Berechtigung zum Hochladen von Objekten (s3:PutObject), wenn die Anforderung nicht den Header x-amz-server-side-encryption enthält, der die serverseitige Verschlüsselung mit DSSE-KMS anfordert.

JSON
{
             "Version":"2012-10-17",		 	 	 
             "Id": "PutObjectPolicy",
             "Statement": [{
                   "Sid": "DenyUnEncryptedObjectUploads",
                   "Effect": "Deny",
                   "Principal": {
                       "AWS": "arn:aws:iam::111122223333:root"
                   },
                   "Action": "s3:PutObject",
                   "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition": {
                      "StringNotEquals": {
                         "s3:x-amz-server-side-encryption": "aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Themen