Verwendung einer zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-) KMS - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung einer zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-) KMS

Bei Verwendung der serverseitigen Dual-Layer-Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (DSSE-KMS) werden Objekte beim Upload auf Amazon S3 mit zwei Verschlüsselungsebenen versehen. DSSE- KMS hilft Ihnen dabei, Compliance-Standards, die eine mehrschichtige Verschlüsselung Ihrer Daten und die vollständige Kontrolle über Ihre Verschlüsselungsschlüssel erfordern, einfacher zu erfüllen.

Wenn Sie DSSE - KMS mit einem Amazon S3 S3-Bucket verwenden, müssen sich die AWS KMS Schlüssel in derselben Region wie der Bucket befinden. Wenn DSSE - für das Objekt angefordert KMS wird, wird außerdem die S3-Prüfsumme, die Teil der Metadaten des Objekts ist, in verschlüsselter Form gespeichert. Weitere Informationen zu Prüfsummen finden Sie unter Überprüfung der Objektintegrität.

Für die Nutzung von DSSE - KMS und AWS KMS keys fallen zusätzliche Gebühren an. Weitere Informationen zur DSSE KMS Preisgestaltung finden Sie unter AWS KMS key Konzepte im AWS Key Management Service Entwicklerhandbuch und unter AWS KMS Preise.

Anmerkung

S3-Bucket-Keys werden für DSSE - nicht unterstütztKMS.

Serverseitige Dual-Layer-Verschlüsselung mit AWS KMS keys (DSSE-) erforderlich KMS

Wenn Sie die serverseitige Dual-Layer-Verschlüsselung aller Objekte in einem bestimmten Amazon-S3-Bucket anfordern möchten, können Sie eine Bucket-Richtlinie verwenden. Die folgende Bucket-Richtlinie verweigert beispielsweise allen Benutzern die Berechtigung zum Hochladen von Objekten (s3:PutObject), wenn die Anfrage keinen x-amz-server-side-encryption Header enthält, der eine serverseitige Verschlüsselung mit - anfordert. DSSE KMS

{
             "Version":"2012-10-17",
             "Id":"PutObjectPolicy",
             "Statement":[{
                   "Sid":"DenyUnEncryptedObjectUploads",
                   "Effect":"Deny",
                   "Principal":"*",
                   "Action":"s3:PutObject",
                   "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*",
                   "Condition":{
                      "StringNotEquals":{
                         "s3:x-amz-server-side-encryption":"aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Themen