View a markdown version of this page

Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden () SSE-S3 - Amazon Simple Storage Service
API-Support für die serverseitige Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden () SSE-S3

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS CLI und verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Alle neuen Objekt-Uploads in Amazon S3 S3-Buckets werden standardmäßig mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln () verschlüsselt. SSE-S3

Server-side Verschlüsselung schützt Daten im Ruhezustand. Amazon S3 verschlüsselt jedes Objekt mit einem eindeutigen Schlüssel. Als zusätzliche Sicherheit verschlüsselt es den Schlüssel selbst mit einem Schlüssel, der regelmäßig rotiert. Die serverseitige Amazon S3 S3-Verschlüsselung verwendet den 256-Bit-Advanced Encryption Standard Galois/Counter Mode (AES-GCM), um alle hochgeladenen Objekte zu verschlüsseln.

Für die Verwendung der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) fallen keine zusätzlichen Gebühren an. Für Anfragen zum Konfigurieren der Standard-Verschlüsselungsfunktion werden jedoch Standardgebühren für Amazon-S3-Anfragen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise.

Wenn Sie möchten, dass Ihre Daten-Uploads ausschließlich mit von Amazon S3 verwalteten Schlüsseln verschlüsselt werden, können Sie die folgende Bucket-Richtlinie verwenden. Beispielsweise verweigert die folgende Bucket-Richtlinie Berechtigungen zum Hochladen von Objekten, wenn die Anforderung nicht den x-amz-server-side-encryption-Header enthält, der eine serverseitige Verschlüsselung anfordert:

JSON
{
  "Version":"2012-10-17",
  "Id": "PutObjectPolicy",
  "Statement": [
    {
      "Sid": "DenyObjectsThatAreNotSSES3",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    }
   ]
}
Anmerkung

Server-side Die Verschlüsselung verschlüsselt nur die Objektdaten, nicht die Objektmetadaten.

Anmerkung

Der in Bucket-Richtlinien verwendete s3:x-amz-server-side-encryption Bedingungsschlüssel ist ein IAM-Bedingungsschlüssel-Namespace und unterscheidet sich von dem x-amz-server-side-encryption HTTP-Header, der in den Protokollen angezeigt wird. CloudTrail Beide beziehen sich auf dieselbe Verschlüsselungseinstellung, verwenden jedoch unterschiedliche Formate. Darüber hinaus blockiert diese Deny-Richtlinie möglicherweise Schreibvorgänge von (z. B. Elastic Load Balancing Balancing-Zugriffsprotokollen oder CloudFront Amazon-Protokollen), die Objekte an Ihren Bucket senden, ohne den Verschlüsselungsheader anzugeben.

API-Support für die serverseitige Verschlüsselung

Für alle Amazon S3 S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert, und alle neuen Objekte, die in einen S3-Bucket hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Server-side Die Verschlüsselung mit verwalteten Amazon S3-Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Bucket in Amazon S3. Um einen anderen Verschlüsselungstyp zu verwenden, können Sie entweder die Art der serverseitigen Verschlüsselung angeben, die in Ihren S3-PUT-Anfragen verwendet werden soll, oder Sie können die Standardverschlüsselungskonfiguration im Ziel-Bucket festlegen.

Wenn Sie in Ihren PUT Anfragen einen anderen Verschlüsselungstyp angeben möchten, können Sie serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS), zweischichtige serverseitige Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln () verwenden. SSE-C Wenn Sie im Ziel-Bucket eine andere Standardverschlüsselungskonfiguration festlegen möchten, können Sie oder verwenden. SSE-KMS DSSE-KMS

Weitere Informationen zum Ändern der Standardverschlüsselungskonfiguration für Allzweck-Buckets finden Sie unterKonfigurieren der Standardverschlüsselung.

Wenn Sie die Standardverschlüsselungskonfiguration Ihres Buckets auf ändern SSE-KMS, wird der Verschlüsselungstyp der vorhandenen Amazon S3 S3-Objekte im Bucket nicht geändert. Um den Verschlüsselungstyp Ihrer bereits vorhandenen Objekte zu ändern, nachdem Sie die Standardverschlüsselungskonfiguration auf aktualisiert haben SSE-KMS, können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3-Batchvorgänge eine Liste von Objekten bereit, für die Vorgänge ausgeführt werden sollen, und Batch-Vorgänge ruft die jeweilige API auf, um die angegebene Operation auszuführen. Sie können die Kopieren von Objekten Aktion verwenden, um vorhandene Objekte zu kopieren, wodurch sie wie SSE-KMS verschlüsselte Objekte in denselben Bucket zurückgeschrieben werden. Ein einzelner Batch-Operations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter Ausführen von Objektoperationen in großem Umfang mit Batch Operations und im AWS Speicher-Blogbeitrag So verschlüsseln Sie bestehende Objekte in Amazon S3 rückwirkend mithilfe von S3 Inventory, Amazon Athena und S3 Batch Operations.

Zum Konfigurieren der serverseitigen Verschlüsselung mit den REST-APIs für die Objekterstellung müssen Sie den Anforderungs-Header x-amz-server-side-encryption bereitstellen. Weitere Information zu den REST-APIs finden Sie unter Verwenden der REST-API.

Die folgenden Amazon-S3-APIs unterstützen diesen Header:

  • PUT-Operationen – Geben Sie den Anforderungs-Header an, wenn Sie Daten mithilfe der PUT-API hochladen. Weitere Informationen finden Sie unter PUT Object.

  • Mehrteiligen Upload initiieren – Geben Sie den Header in der Initiierungsanforderung an, wenn Sie große Objekte mit der API für mehrteilige Uploads hochladen. Weitere Informationen finden Sie unter Mehrteiligen Upload initiieren.

  • COPY-Operationen – Wenn Sie ein Objekt kopieren, erhalten Sie ein Quell- und ein Zielobjekt. Weitere Informationen finden Sie unter PUT Object – Copy.

Anmerkung

Wenn Sie eine POST-Operation für das Hochladen eines Objekts verwenden, anstatt den Anforderungs-Header anzugeben, stellen Sie die gleichen Informationen in den Formularfeldern bereit. Weitere Informationen finden Sie unter POST Object.

Die AWS SDKs stellen auch Wrapper-APIs bereit, mit denen Sie serverseitige Verschlüsselung anfordern können. Sie können die auch verwenden, AWS-Managementkonsole um Objekte hochzuladen und serverseitige Verschlüsselung anzufordern.

Weitere Informationen finden Sie unter AWS KMS -Konzepte im Entwicklerhandbuch zu AWS Key Management Service .

Themen