Schützen von Daten durch serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) - Amazon Simple Storage Service

Schützen von Daten durch serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)

Die serverseitige Verschlüsselung schützt Daten im Ruhezustand. Amazon S3 verschlüsselt jedes Objekt mit einem eindeutigen Schlüssel. Als zusätzliche Sicherheit verschlüsselt es den Schlüssel selbst mit einem Schlüssel, der regelmäßig rotiert. Die serverseitige Amazon-S3-Verschlüsselung verwendet eine der stärksten Blockverschlüsselungen, die verfügbar sind, 256-bit Advanced Encryption Standard (AES-256), um Ihre Daten zu verschlüsseln.

Die Gebühren für die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) haben sich nicht geändert. Für Anforderungen zum Konfigurieren und Verwenden von SSE-S3 werden jedoch Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise.

Wenn Sie eine serverseitige Verschlüsselung für alle in einem Bucket gespeicherten Objekte benötigen, verwenden Sie eine Bucket-Richtlinie. Beispielsweise verweigert die folgende Bucket-Richtlinie Berechtigungen zum Hochladen von Objekten, wenn die Anforderung nicht den x-amz-server-side-encryption-Header enthält, der eine serverseitige Verschlüsselung anfordert:

{ "Version": "2012-10-17", "Id": "PutObjectPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnencryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
Anmerkung
  • Die serverseitige Verschlüsselung verschlüsselt nur die Objektdaten, nicht die Metadaten des Objekts.

API Support für die serverseitige Verschlüsselung

Um eine serverseitige Verschlüsselung mit den REST-APIs für die Objekterstellung anzufordern, stellen Sie den Anforderungs-Header x-amz-server-side-encryption bereit. Weitere Information zu den REST-APIs finden Sie unter Verwenden der REST-API.

Die folgenden Amazon-S3-APIs unterstützen diesen Header:

  • PUT-Operationen – Geben Sie den Anfrage-Header an, wenn Sie Daten mithilfe der PUT-API hochladen. Weitere Informationen finden Sie unter PUT Object.

  • Initiate Multipart Upload (Mehrteiligen Upload initiieren) – Geben Sie den Header in der Initiierungsanfrage an, wenn Sie große Objekte mit der API für mehrteilige Uploads hochladen. Weitere Informationen finden Sie unter Mehrteiligen Upload initiieren.

  • COPY-Operationen – Wenn Sie ein Objekt kopieren, erhalten Sie ein Quellobjekt und ein Zielobjekt. Weitere Informationen finden Sie unter PUT Object – Copy.

Anmerkung

Wenn Sie eine POST-Operation für das Hochladen eines Objekts verwenden, anstatt den Anforderungs-Header anzugeben, geben Sie dieselben Informationen in die Formularfelder ein. Weitere Informationen finden Sie unter POST Object.

Die AWS-SDKs bieten außerdem Wrapper-APIs, mit denen Sie eine serverseitige Verschlüsselung anfordern können. Sie können auch die AWS Management Console verwenden, um Objekte hochzuladen und eine serverseitige Verschlüsselung anzufordern.