Schutz von Daten bei der Übertragung durch Verschlüsselung - Amazon Simple Storage Service
Support für TLS 1.2 und TLS 1.3Überwachung der TLS-NutzungErzwingung der Verschlüsselung bei der Übertragung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schutz von Daten bei der Übertragung durch Verschlüsselung

Amazon S3 unterstützt sowohl HTTP- als auch HTTPS-Protokolle für die Datenübertragung. HTTP überträgt Daten im Klartext, während HTTPS eine Sicherheitsebene durch die Verschlüsselung von Daten mithilfe von Transport Layer Security (TLS) hinzufügt. TLS schützt vor Abhören, Datenmanipulation und Angriffen. man-in-the-middle HTTP-Verkehr wird zwar akzeptiert, aber die meisten Implementierungen verwenden Verschlüsselung bei der Übertragung mit HTTPS und TLS, um Daten bei der Übertragung zwischen Clients und Amazon S3 zu schützen.

Support für TLS 1.2 und TLS 1.3

Amazon S3 unterstützt TLS 1.2 und TLS 1.3 für HTTPS-Verbindungen über alle API-Endpunkte hinweg für alle AWS-Regionen. S3 handelt automatisch den stärksten TLS-Schutz aus, der von Ihrer Client-Software und dem S3-Endpunkt, auf den Sie zugreifen, unterstützt wird. Aktuelle AWS Tools (2014 oder später), einschließlich TLS 1.3, AWS CLI werden automatisch standardmäßig verwendet, ohne dass Sie etwas unternehmen müssen. AWS SDKs Sie können diese automatische Aushandlung über die Client-Konfigurationseinstellungen außer Kraft setzen, um eine bestimmte TLS-Version anzugeben, falls Abwärtskompatibilität mit TLS 1.2 erforderlich ist. Wenn Sie TLS 1.3 verwenden, können Sie optional Hybrid Post Quantum Key Exchange (ML-KEM) konfigurieren, um quantenresistente Anfragen an Amazon S3 zu stellen. Weitere Informationen finden Sie unter Konfiguration von hybridem Post-Quantum-TLS für Ihren Kunden.

Anmerkung

TLS 1.3 wird auf allen S3-Endpunkten unterstützt, mit AWS PrivateLink Ausnahme von Amazon S3 und Multi-Region Access Points.

Überwachung der TLS-Nutzung

Sie können entweder Amazon S3 S3-Serverzugriffsprotokolle oder AWS CloudTrail zur Überwachung von Anfragen an Amazon S3 S3-Buckets verwenden. Beide Protokollierungsoptionen zeichnen die TLS-Version und die Verschlüsselungssuite auf, die in jeder Anfrage verwendet wurden.

  • Amazon S3 S3-Serverzugriffsprotokolle — Die Serverzugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anfragen, die an einen Bucket gestellt werden. Beispielsweise können Zugriffsprotokoll-Informationen bei Sicherheits- und Zugriffsprüfungen nützlich sein. Weitere Informationen finden Sie unter Amazon-S3-Server-Zugriffsprotokollformat.

  • AWS CloudTrailAWS CloudTrailist ein Service, der eine Aufzeichnung der Aktionen eines Benutzers, einer Rolle oder eines AWS Dienstes bereitstellt. CloudTrail erfasst alle API-Aufrufe für Amazon S3 als Ereignisse. Weitere Informationen finden Sie unter Amazon S3 CloudTrail S3-Ereignisse.

Erzwingung der Verschlüsselung bei der Übertragung

Es ist eine bewährte Sicherheitsmethode, die Verschlüsselung von Daten bei der Übertragung zu Amazon S3 durchzusetzen. Sie können die reine HTTPS-Kommunikation oder die Verwendung einer bestimmten TLS-Version mithilfe verschiedener Richtlinienmechanismen erzwingen. Dazu gehören ressourcenbasierte IAM-Richtlinien für S3-Buckets (Bucket-Richtlinien), Service Control-Richtlinien(), Resource Control-Richtlinien(SCPs) und RCPs VPC-Endpunktrichtlinien.

Beispiele für Bucket-Richtlinien zur Durchsetzung von Verschlüsselung bei der Übertragung

Sie können den S3-Bedingungsschlüssel verwendens3:TlsVersion, um den Zugriff auf Amazon S3 S3-Buckets auf der Grundlage der vom Client verwendeten TLS-Version einzuschränken. Weitere Informationen finden Sie unter Beispiel 6: Mindestanforderung für die TLS-Version.

Beispiel Bucket-Richtlinie, die TLS 1.3 mithilfe des S3:TlsVersion Bedingungsschlüssels durchsetzt
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyInsecureConnections",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": "1.3"
        }
      }
    }
  ]
}

Sie können den aws:SecureTransport globalen Bedingungsschlüssel in Ihrer S3-Bucket-Richtlinie verwenden, um zu überprüfen, ob die Anfrage über HTTPS (TLS) gesendet wurde. Im Gegensatz zum vorherigen Beispiel wird bei dieser Bedingung nicht nach einer bestimmten TLS-Version gesucht. Weitere Informationen finden Sie unter Beschränken des Zugriffs nur auf HTTPS-Anforderungen.

Beispiel Bucket-Richtlinie, die HTTPS mithilfe des aws:SecureTransport globalen Bedingungsschlüssels durchsetzt
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
     {
        "Sid": "RestrictToTLSRequestsOnly",		 	 	 
        "Action": "s3:*",
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1",
            "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        ],
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "false"
            }
        },
        "Principal": "*"
    }
  ]
}
Beispielrichtlinie, die auf beiden Schlüsseln und weiteren Beispielen basiert

Sie können beide Arten von Bedingungsschlüsseln in den vorherigen Beispielen in einer Richtlinie verwenden. Weitere Informationen und zusätzliche Durchsetzungsansätze finden Sie im AWS Storage-Blog-Artikel Enforcing encryption in transit with TLS1 .2 or higher with Amazon S3.