Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in AWS CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS Command Line Interface und verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert und Objekte werden automatisch unter Verwendung der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselungseinstellung gilt für alle Objekte in Ihren Amazon-S3-Buckets.

Wenn Sie mehr Kontrolle über Ihre Schlüssel benötigen, z. B. bei der Verwaltung der Schlüsselrotation und der Gewährung von Zugriffsrichtlinien, können Sie zwischen serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) wählen. Weitere Informationen zum Bearbeiten von KMS-Schlüsseln finden Sie unter Bearbeiten von Schlüsseln im Entwicklerhandbuch zu AWS Key Management Service .

Anmerkung

Wir haben die Buckets geändert, sodass neue Objekt-Uploads automatisch verschlüsselt werden. Wenn Sie zuvor einen Bucket ohne Standardverschlüsselung erstellt haben, aktiviert Amazon S3 die Verschlüsselung für den Bucket standardmäßig mithilfe von SSE-S3. Die Standardverschlüsselungskonfiguration für einen vorhandenen Bucket, für den bereits SSE-S3 oder SSE-KMS konfiguriert ist, wird nicht geändert. Wenn Sie Ihre Objekte mit SSE-KMS verschlüsseln möchten, müssen Sie den Verschlüsselungstyp in Ihren Bucket-Einstellungen ändern. Weitere Informationen finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS).

Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung mit SSE-KMS verwendet, können Sie auch S3 Bucket Keys aktivieren, um den Anforderungsverkehr von Amazon S3 zu reduzieren AWS KMS und die Kosten für die Verschlüsselung zu senken. Weitere Informationen finden Sie unter Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln.

Um Buckets zu identifizieren, für die SSE-KMS für die Standardverschlüsselung aktiviert ist, können Sie Metriken von Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter Verwenden von S3 Storage Lens zum Schutz Ihrer Daten.

Wenn Sie die serverseitige Verschlüsselung verwenden, verschlüsselt Amazon S3 ein Objekt vor dem Speichern auf der Festplatte und entschlüsselt es beim Herunterladen des Objekts. Weitere Informationen zum Schutz von Daten mithilfe der serverseitigen Verschlüsselung und der Verwaltung der Verschlüsselungsschlüssel finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

Weitere Informationen zu den Berechtigungen, die für die Standardverschlüsselung erforderlich sind, finden Sie unter PutBucketEncryption in der API-Referenz zu Amazon Simple Storage Service.

Sie können das standardmäßige Verschlüsselungsverhalten von Amazon S3 für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole, der AWS SDKs, der Amazon S3 S3-REST-API und der AWS Befehlszeilenschnittstelle (AWS CLI) konfigurieren.

Verschlüsseln vorhandener Objekte

Zum Verschlüsseln Ihrer vorhandenen nicht verschlüsselten Amazon-S3-Objekte können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3-Batch-Vorgänge eine Liste von Objekten bereit, für die Vorgänge ausgeführt werden sollen, und Batch-Vorgänge ruft die jeweilige API auf, um die angegebene Operation auszuführen. Mit der Operation Batch Operations Copy können Sie vorhandenen nicht verschlüsselte Objekte kopieren und die neuen verschlüsselten Objekte in denselben Bucket schreiben. Ein einzelner Batchoperations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter Ausführung umfangreicher Batch-Vorgänge für Amazon S3-Objekte durch. und im Beitrag des AWS Storage Blog Encrypting objects with Amazon S3 Batch Operations.

Sie können auch vorhandene Objekte verschlüsseln, indem Sie die CopyObject API-Operation oder den copy-object AWS CLI Befehl verwenden. Weitere Informationen finden Sie unter AWS CLI und im Beitrag des AWS Storage Blog Encrypting existing objects with Amazon S3 Batch Operations.

Anmerkung

Amazon-S3-Buckets mit Standard-Bucket-Verschlüsselung, die auf SSE-KMS festgelegt ist, können nicht als Ziel-Buckets für Protokollieren von Anfragen mit Server-Zugriffsprotokollierung verwendet werden. Für Zielbuckets des Server-Zugriffsprotokolls wird nur die Standard-Verschlüsselung SSE-S3 unterstützt.

Verwenden der SSE-KMS-Verschlüsselung für kontoübergreifende Vorgänge

Beachten Sie Folgendes, wenn Sie kontoübergreifende Operationen verschlüsseln:

  • Wenn bei der Anfrage oder über die Standardverschlüsselungskonfiguration des Buckets kein AWS KMS key Amazon-Ressourcenname (ARN) oder Alias bereitgestellt wird, wird Von AWS verwalteter Schlüssel (aws/s3) verwendet.

  • Wenn Sie S3-Objekte hochladen oder auf sie zugreifen, indem Sie AWS Identity and Access Management (IAM) -Prinzipale verwenden, die mit Ihrem KMS-Schlüssel AWS-Konto identisch sind, können Sie () verwenden. Von AWS verwalteter Schlüssel aws/s3

  • Verwenden Sie einen vom Kunden verwalteten Schlüssel, wenn Sie kontoübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten. Sie können die Richtlinie eines vom Kunden verwalteten Schlüssel so konfigurieren, dass der Zugriff von einem anderen Konto aus möglich ist.

  • Wenn Sie Ihren eigenen KMS-Schlüssel angeben, empfehlen wir, einen vollqualifizierten KMS-Schlüssel-ARN zu verwenden. Wenn Sie stattdessen einen KMS-Schlüsselalias verwenden, AWS KMS wird der Schlüssel im Konto des Anforderers aufgelöst. Dieses Verhalten kann dazu führen, dass Daten mit einem KMS-Schlüssel verschlüsselt werden, der dem Anforderer und nicht dem Bucket-Eigentümer gehört.

  • Sie müssen einen Schlüssel angeben, für den Ihnen (dem Anforderer) die Berechtigung Encrypt erteilt wurde. Weitere Informationen finden Sie unter Schlüssel-Benutzern die Verwendung eines KMS-Schlüssels für kryptografische Operationen gestatten im Entwicklerhandbuch zu AWS Key Management Service .

Weitere Informationen darüber, wann vom Kunden verwaltete Schlüssel und AWS verwaltete KMS-Schlüssel verwendet werden sollten, finden Sie unter Sollte ich einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel verwenden, um meine Objekte in Amazon S3 zu verschlüsseln?

Verwenden der Standard-Verschlüsselung mit der Replikation

Wenn Sie die Standard-Verschlüsselung für einen Replikations-Ziel-Bucket aktivieren, gilt das folgende Verschlüsselungsverhalten:

  • Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standard-Verschlüsselung des Ziel-Buckets verschlüsselt. Daher unterscheiden sich die ETags (Entity-Tags) der Quellobjekte von den ETags der Replikatobjekte. Wenn Sie Anwendungen haben, die ETags verwenden, müssen Sie diese Anwendungen aktualisieren, um diesen Unterschied auszugleichen.

  • Wenn Objekte im Quell-Bucket mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3), serverseitiger Verschlüsselung mit () -Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket denselben Verschlüsselungstyp wie die Quellobjekte. Die Einstellungen der Standard-Verschlüsselung des Ziel-Buckets werden nicht verwendet.

Weitere Informationen über die Verwendung der Standard-Verschlüsselung mit SSE-KMS finden Sie unter Replizieren von verschlüsselten Objekten (SSE-C, SSE-S3, SSE-KMS, DSSE-KMS).

Verwenden von Amazon S3-Bucket-Schlüsseln mit Standard-Verschlüsselung

Wenn Sie Ihren Bucket so konfigurieren, dass SSE-KMS als Standardverschlüsselungsverhalten für neue Objekte verwendet wird, können Sie auch S3-Bucket-Schlüssel konfigurieren. S3-Bucket-Keys reduzieren die Anzahl der Transaktionen von Amazon S3, AWS KMS um die Kosten von SSE-KMS zu senken.

Wenn Sie Ihren Bucket so konfigurieren, dass er S3 Bucket Keys für SSE-KMS für neue Objekte verwendet, AWS KMS generiert es einen Schlüssel auf Bucket-Ebene, der verwendet wird, um einen eindeutigen Datenschlüssel für Objekte im Bucket zu erstellen. Dieser S3-Bucket-Key wird für einen begrenzten Zeitraum innerhalb von Amazon S3 verwendet, sodass Amazon S3 weniger Anfragen AWS KMS zum Abschluss von Verschlüsselungsvorgängen stellen muss.

Weitere Informationen zur Verwendung von S3-Bucket-Schlüsseln finden Sie unter Verwenden von Amazon-S3-Bucket-Schlüssel.