Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für neue Objekt-Uploads ist in - AWS CloudTrail Protokollen, S3 Inventory, S3 Storage Lens, der Amazon S3-Konsole und als zusätzlicher Amazon S3-API-Antwort-Header in der AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert und Objekte werden automatisch unter Verwendung der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselungseinstellung gilt für alle Objekte in Ihren Amazon-S3-Buckets.

Wenn Sie mehr Kontrolle über Ihre Schlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und der Zugriffsrichtliniengewährungen, können Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) oder die serverseitige Dual-Layer-Verschlüsselung mit - AWS KMS Schlüsseln (DSSE-KMS) verwenden. Weitere Informationen zum Bearbeiten von KMS-Schlüsseln finden Sie unter Bearbeiten von Schlüsseln im Entwicklerhandbuch zu AWS Key Management Service .

Anmerkung

Wir haben die Buckets geändert, sodass neue Objekt-Uploads automatisch verschlüsselt werden. Wenn Sie zuvor einen Bucket ohne Standardverschlüsselung erstellt haben, aktiviert Amazon S3 die Verschlüsselung für den Bucket standardmäßig mithilfe von SSE-S3. Die Standardverschlüsselungskonfiguration für einen vorhandenen Bucket, für den bereits SSE-S3 oder SSE-KMS konfiguriert ist, wird nicht geändert. Wenn Sie Ihre Objekte mit SSE-KMS verschlüsseln möchten, müssen Sie den Verschlüsselungstyp in Ihren Bucket-Einstellungen ändern. Weitere Informationen finden Sie unter Verwenden der serverseitigen Verschlüsselung mit - AWS KMS Schlüsseln (SSE-KMS).

Wenn Sie Ihren Bucket für die Verwendung der Standardverschlüsselung mit SSE-KMS konfigurieren, können Sie auch S3-Bucket-Schlüssel aktivieren, um den Anforderungsverkehr von Amazon S3 zu zu zu verringern AWS KMS und die Verschlüsselungskosten zu senken. Weitere Informationen finden Sie unter Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln.

Um Buckets zu identifizieren, für die SSE-KMS für die Standardverschlüsselung aktiviert ist, können Sie Metriken von Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter Verwenden von S3 Storage Lens zum Schutz Ihrer Daten.

Wenn Sie die serverseitige Verschlüsselung verwenden, verschlüsselt Amazon S3 ein Objekt vor dem Speichern auf der Festplatte und entschlüsselt es beim Herunterladen des Objekts. Weitere Informationen zum Schutz von Daten mithilfe der serverseitigen Verschlüsselung und der Verwaltung der Verschlüsselungsschlüssel finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

Weitere Informationen zu den Berechtigungen, die für die Standardverschlüsselung erforderlich sind, finden Sie unter PutBucketEncryption in der API-Referenz zu Amazon Simple Storage Service.

Sie können das Amazon S3-Standardverschlüsselungsverhalten für einen S3-Bucket mithilfe der Amazon S3-Konsole, der - AWS SDKs, der Amazon S3-REST-API und der - AWS Befehlszeilenschnittstelle (AWS CLI) konfigurieren.

Verschlüsseln vorhandener Objekte

Zum Verschlüsseln Ihrer vorhandenen nicht verschlüsselten Amazon-S3-Objekte können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3-Batch-Vorgänge eine Liste von Objekten bereit, für die Vorgänge ausgeführt werden sollen, und Batch-Vorgänge ruft die jeweilige API auf, um die angegebene Operation auszuführen. Mit der Operation Batch Operations Copy können Sie vorhandenen nicht verschlüsselte Objekte kopieren und die neuen verschlüsselten Objekte in denselben Bucket schreiben. Ein einzelner Batchoperations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter Ausführung umfangreicher Batch-Vorgänge für Amazon S3-Objekte durch. und im Beitrag des AWS Storage Blog Encrypting objects with Amazon S3 Batch Operations.

Sie können vorhandene Objekte auch mit der -CopyObjectAPI-Operation oder dem -copy-object AWS CLI Befehl verschlüsseln. Weitere Informationen finden Sie unter AWS CLI und im Beitrag des AWS Storage Blog Encrypting existing objects with Amazon S3 Batch Operations.

Anmerkung

Amazon-S3-Buckets mit Standard-Bucket-Verschlüsselung, die auf SSE-KMS festgelegt ist, können nicht als Ziel-Buckets für Protokollieren von Anfragen mit Server-Zugriffsprotokollierung verwendet werden. Für Zielbuckets des Server-Zugriffsprotokolls wird nur die Standard-Verschlüsselung SSE-S3 unterstützt.

Verwenden der SSE-KMS-Verschlüsselung für kontoübergreifende Vorgänge

Beachten Sie Folgendes, wenn Sie kontoübergreifende Operationen verschlüsseln:

  • Wenn zum Zeitpunkt der Anforderung oder über die Standardverschlüsselungskonfiguration des Buckets kein AWS KMS key Amazon-Ressourcenname (ARN) oder Alias angegeben wird, wird die Von AWS verwalteter Schlüssel (aws/s3) verwendet.

  • Wenn Sie S3-Objekte mithilfe von AWS Identity and Access Management (IAM)-Prinzipalen hochladen oder darauf zugreifen, die sich in derselben AWS-Konto wie Ihr KMS-Schlüssel befinden, können Sie die Von AWS verwalteter Schlüssel () verwendenaws/s3.

  • Verwenden Sie einen vom Kunden verwalteten Schlüssel, wenn Sie kontoübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten. Sie können die Richtlinie eines vom Kunden verwalteten Schlüssel so konfigurieren, dass der Zugriff von einem anderen Konto aus möglich ist.

  • Wenn Sie Ihren eigenen KMS-Schlüssel angeben, empfehlen wir, einen vollqualifizierten KMS-Schlüssel-ARN zu verwenden. Wenn Sie stattdessen einen KMS-Schlüsselalias verwenden, AWS KMS löst den Schlüssel innerhalb des Kontos des Anforderers auf. Dieses Verhalten kann dazu führen, dass Daten mit einem KMS-Schlüssel verschlüsselt werden, der dem Anforderer und nicht dem Bucket-Eigentümer gehört.

  • Sie müssen einen Schlüssel angeben, für den Ihnen (dem Anforderer) die Berechtigung Encrypt erteilt wurde. Weitere Informationen finden Sie unter Schlüssel-Benutzern die Verwendung eines KMS-Schlüssels für kryptografische Operationen gestatten im Entwicklerhandbuch zu AWS Key Management Service .

Weitere Informationen darüber, wann kundenverwaltete Schlüssel und - AWS verwaltete KMS-Schlüssel verwendet werden sollen, finden Sie unter Soll ich einen Von AWS verwalteter Schlüssel oder einen kundenverwalteten Schlüssel verwenden, um meine Objekte in Amazon S3 zu verschlüsseln?

Verwenden der Standard-Verschlüsselung mit der Replikation

Wenn Sie die Standard-Verschlüsselung für einen Replikations-Ziel-Bucket aktivieren, gilt das folgende Verschlüsselungsverhalten:

  • Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standard-Verschlüsselung des Ziel-Buckets verschlüsselt. Daher unterscheiden sich die ETags (Entity-Tags) der Quellobjekte von den ETags der Replikatobjekte. Wenn Sie Anwendungen haben, die ETags verwenden, müssen Sie diese Anwendungen aktualisieren, um diesen Unterschied auszugleichen.

  • Wenn Objekte im Quell-Bucket mit serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3), serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) oder serverseitiger Dual-Layer-Verschlüsselung mit - AWS KMS Schlüsseln (DSSE-KMS) verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket denselben Verschlüsselungstyp wie die Quellobjekte. Die Einstellungen der Standard-Verschlüsselung des Ziel-Buckets werden nicht verwendet.

Weitere Informationen über die Verwendung der Standard-Verschlüsselung mit SSE-KMS finden Sie unter Replizieren von verschlüsselten Objekten (SSE-C, SSE-S3, SSE-KMS, DSSE-KMS).

Verwenden von Amazon S3-Bucket-Schlüsseln mit Standard-Verschlüsselung

Wenn Sie Ihren Bucket so konfigurieren, dass SSE-KMS als Standardverschlüsselungsverhalten für neue Objekte verwendet wird, können Sie auch S3-Bucket-Schlüssel konfigurieren. S3-Bucket-Schlüssel verringern die Anzahl der Transaktionen von Amazon S3 zu , AWS KMS um die Kosten für SSE-KMS zu senken.

Wenn Sie Ihren Bucket für die Verwendung von S3-Bucket-Schlüsseln für SSE-KMS bei neuen Objekten konfigurieren, AWS KMS generiert einen Schlüssel auf Bucket-Ebene, der verwendet wird, um einen eindeutigen Datenschlüssel für Objekte im Bucket zu erstellen. Dieser S3-Bucket-Schlüssel wird für einen zeitlich begrenzten Zeitraum in Amazon S3 verwendet, wodurch Amazon S3 keine Anforderungen an stellen muss AWS KMS , um Verschlüsselungsvorgänge abzuschließen.

Weitere Informationen zur Verwendung von S3-Bucket-Schlüsseln finden Sie unter Verwenden von Amazon-S3-Bucket-Schlüssel.