Verwenden von serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) - Amazon Simple Storage Service

Verwenden von serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Derzeit ist der automatische Verschlüsselungsstatus für die S3-Bucket-Standardverschlüsselungskonfiguration und für neue Objekt-Uploads in den AWS CloudTrail-Protokollen, in S3 Inventory und in S3 Storage Lens verfügbar. In den nächsten Wochen wird der automatische Verschlüsselungsstatus auch für die Amazon-S3-Konsole als zusätzlicher Amazon-S3-API-Antwortheader in der AWS Command Line Interface und AWS SDKs eingeführt. Sobald dieses Update in allen AWS-Regionen abgeschlossen ist, wird die Dokumentation aktualisiert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Die serverseitige Verschlüsselung schützt Daten im Ruhezustand. Amazon S3 verschlüsselt jedes Objekt mit einem eindeutigen Schlüssel. Als zusätzliche Sicherheit verschlüsselt es den Schlüssel selbst mit einem Schlüssel, der regelmäßig rotiert. Die serverseitige Amazon-S3-Verschlüsselung verwendet eine der stärksten Blockverschlüsselungen, die verfügbar sind, 256-bit Advanced Encryption Standard (AES-256), um Ihre Daten zu verschlüsseln.

Es fallen keine weitere Gebühren für die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) an. Für Anfragen zum Konfigurieren der Standard-Verschlüsselungsfunktion werden jedoch Standardgebühren für Amazon-S3-Anfragen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise.

Wenn Sie eine serverseitige Verschlüsselung für alle in einem Bucket gespeicherten Objekte benötigen, verwenden Sie eine Bucket-Richtlinie. Beispielsweise verweigert die folgende Bucket-Richtlinie Berechtigungen zum Hochladen von Objekten, wenn die Anforderung nicht den x-amz-server-side-encryption-Header enthält, der eine serverseitige Verschlüsselung anfordert:

{ "Version": "2012-10-17", "Id": "PutObjectPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } } ] }
Anmerkung
  • Die serverseitige Verschlüsselung verschlüsselt nur die Objektdaten, nicht die Metadaten des Objekts.

API Support für die serverseitige Verschlüsselung

Um eine serverseitige Verschlüsselung mit den REST-APIs für die Objekterstellung anzufordern, stellen Sie den Anforderungs-Header x-amz-server-side-encryption bereit. Weitere Information zu den REST-APIs finden Sie unter Verwenden der REST-API.

Die folgenden Amazon-S3-APIs unterstützen diesen Header:

  • PUT-Vorgänge – Geben Sie den Anfrage-Header an, wenn Sie Daten mithilfe der PUT-API hochladen. Weitere Informationen finden Sie unter PUT Object.

  • Initiate Multipart Upload (Mehrteiligen Upload initiieren) – Geben Sie den Header in der Initiierungsanfrage an, wenn Sie große Objekte mit der API für mehrteilige Uploads hochladen. Weitere Informationen finden Sie unter Mehrteiligen Upload initiieren.

  • COPY-Vorgänge – Wenn Sie ein Objekt kopieren, erhalten Sie ein Quellobjekt und ein Zielobjekt. Weitere Informationen finden Sie unter PUT Object – Copy.

Anmerkung

Wenn Sie eine POST-Operation für das Hochladen eines Objekts verwenden, anstatt den Anforderungs-Header anzugeben, geben Sie dieselben Informationen in die Formularfelder ein. Weitere Informationen finden Sie unter POST Object.

Die AWS-SDKs bieten außerdem Wrapper-APIs, mit denen Sie eine serverseitige Verschlüsselung anfordern können. Sie können auch die AWS Management Console verwenden, um Objekte hochzuladen und eine serverseitige Verschlüsselung anzufordern.