Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 API S3-Antwort-Header im AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Standardverschlüsselung FAQ.

Für alle Amazon S3 S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert, und Objekte werden automatisch mithilfe serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselungseinstellung gilt für alle Objekte in Ihren Amazon-S3-Buckets.

Wenn Sie mehr Kontrolle über Ihre Schlüssel benötigen, z. B. bei der Verwaltung der Schlüsselrotation und der Gewährung von Zugriffsrichtlinien, können Sie zwischen serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) oder zweischichtiger serverseitiger Verschlüsselung mit Schlüsseln (-) wählen. AWS KMS DSSE KMS Weitere Informationen zum Bearbeiten von KMS Schlüsseln finden Sie unter Bearbeiten von Schlüsseln im AWS Key Management Service Entwicklerhandbuch.

Anmerkung

Wir haben die Buckets geändert, sodass neue Objekt-Uploads automatisch verschlüsselt werden. Wenn Sie zuvor einen Bucket ohne Standardverschlüsselung erstellt haben, aktiviert Amazon S3 standardmäßig die Verschlüsselung für den Bucket mit SSE -S3. Für einen vorhandenen Bucket, für den bereits SSE -S3 oder SSE - KMS konfiguriert ist, werden keine Änderungen an der Standardverschlüsselungskonfiguration vorgenommen. Wenn Sie Ihre Objekte mit SSE - verschlüsseln möchtenKMS, müssen Sie den Verschlüsselungstyp in Ihren Bucket-Einstellungen ändern. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit AWS KMS Schlüsseln verwenden (SSE-) KMS.

Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung mit SSE - verwendetKMS, können Sie auch S3 Bucket Keys aktivieren, um den Anforderungsverkehr von Amazon S3 zu reduzieren AWS KMS und die Kosten für die Verschlüsselung zu senken. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 Bucket Keys.

Um Buckets zu identifizieren, für die SSE die Standardverschlüsselung KMS aktiviert ist, können Sie Amazon S3 Storage Lens-Metriken verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter Verwenden von S3 Storage Lens zum Schutz Ihrer Daten.

Wenn Sie die serverseitige Verschlüsselung verwenden, verschlüsselt Amazon S3 ein Objekt vor dem Speichern auf der Festplatte und entschlüsselt es beim Herunterladen des Objekts. Weitere Informationen zum Schutz von Daten mithilfe der serverseitigen Verschlüsselung und der Verwaltung der Verschlüsselungsschlüssel finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

Weitere Informationen zu den für die Standardverschlüsselung erforderlichen Berechtigungen finden Sie PutBucketEncryptionin der Amazon Simple Storage Service API Reference.

Sie können das standardmäßige Verschlüsselungsverhalten von Amazon S3 für einen S3-Bucket konfigurieren, indem Sie die AWS SDKs Amazon S3-Konsole RESTAPI, Amazon S3 und die AWS Befehlszeilenschnittstelle (AWS CLI) verwenden.

Verschlüsseln vorhandener Objekte

Zum Verschlüsseln Ihrer vorhandenen nicht verschlüsselten Amazon-S3-Objekte können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3 Batch Operations eine Liste von Objekten zur Verfügung, mit denen gearbeitet werden soll, und Batch Operations ruft die entsprechenden Objekte aufAPI, um die angegebene Operation auszuführen. Mit der Operation Batch Operations Copy können Sie vorhandenen nicht verschlüsselte Objekte kopieren und die neuen verschlüsselten Objekte in denselben Bucket schreiben. Ein einzelner Batchoperations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter Ausführung umfangreicher Batch-Vorgänge für Amazon S3-Objekte durch. und im Beitrag des AWS Storage Blog Encrypting objects with Amazon S3 Batch Operations.

Sie können auch vorhandene Objekte verschlüsseln, indem Sie die CopyObject API Operation oder den copy-object AWS CLI Befehl verwenden. Weitere Informationen finden Sie unter AWS CLI und im Beitrag des AWS Storage Blog Encrypting existing objects with Amazon S3 Batch Operations.

Anmerkung

Amazon S3 S3-Buckets, bei denen die Standard-Bucket-Verschlüsselung auf SSE — eingestellt ist, KMS können nicht als Ziel-Buckets für verwendet werden. Protokollieren von Anfragen mit Server-Zugriffsprotokollierung Für SSE Ziel-Buckets des Serverzugriffsprotokolls wird nur die Standardverschlüsselung -S3 unterstützt.

Verwendung von SSE — KMS Verschlüsselung für kontoübergreifende Operationen

Beachten Sie Folgendes, wenn Sie kontoübergreifende Operationen verschlüsseln:

  • Wenn bei der Anfrage oder über die Standardverschlüsselungskonfiguration des Buckets kein AWS KMS key Amazon-Ressourcenname (ARN) oder Alias angegeben wird, wird Von AWS verwalteter Schlüssel (aws/s3) verwendet.

  • Wenn Sie S3-Objekte hochladen oder auf sie zugreifen, indem Sie AWS Identity and Access Management (IAM) -Prinzipale verwenden, die mit Ihrem KMS Schlüssel AWS-Konto identisch sind, können Sie Von AWS verwalteter Schlüssel (aws/s3) verwenden.

  • Verwenden Sie einen vom Kunden verwalteten Schlüssel, wenn Sie kontoübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten. Sie können die Richtlinie eines vom Kunden verwalteten Schlüssel so konfigurieren, dass der Zugriff von einem anderen Konto aus möglich ist.

  • Wenn Sie einen vom Kunden verwalteten KMS Schlüssel angeben, empfehlen wir die Verwendung eines vollqualifizierten KMS Schlüssels. ARN Wenn Sie stattdessen einen KMS Schlüsselalias verwenden, AWS KMS wird der Schlüssel im Konto des Anfragenden aufgelöst. Dieses Verhalten kann dazu führen, dass Daten mit einem KMS Schlüssel verschlüsselt werden, der dem Anforderer und nicht dem Bucket-Besitzer gehört.

  • Sie müssen einen Schlüssel angeben, für den Ihnen (dem Anforderer) die Berechtigung Encrypt erteilt wurde. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Erlauben Sie Schlüsselbenutzern, einen KMS Schlüssel für kryptografische Operationen zu verwenden.

Weitere Informationen darüber, wann vom Kunden verwaltete Schlüssel und AWS KMS verwaltete Schlüssel verwendet werden sollten, finden Sie unter Sollte ich einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel verwenden, um meine Objekte in Amazon S3 zu verschlüsseln?

Verwenden der Standard-Verschlüsselung mit der Replikation

Wenn Sie die Standard-Verschlüsselung für einen Replikations-Ziel-Bucket aktivieren, gilt das folgende Verschlüsselungsverhalten:

  • Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standard-Verschlüsselung des Ziel-Buckets verschlüsselt. Infolgedessen unterscheiden sich die Entity-Tags (ETags) der Quellobjekte von denen ETags der Replikatobjekte. Wenn Sie Anwendungen haben, die dies verwendenETags, müssen Sie diese Anwendungen aktualisieren, um diesem Unterschied Rechnung zu tragen.

  • Wenn Objekte im Quell-Bucket mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3), serverseitiger Verschlüsselung mit AWS Key Management Service () -Schlüsseln (SSE-AWS KMS KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket denselben Verschlüsselungstyp wie die Quellobjekte. Die Einstellungen der Standard-Verschlüsselung des Ziel-Buckets werden nicht verwendet.

Weitere Informationen zur Verwendung der Standardverschlüsselung mit - finden Sie unter. SSE KMS Replizieren verschlüsselter Objekte

Verwenden von Amazon S3-Bucket-Schlüsseln mit Standard-Verschlüsselung

Wenn Sie Ihren Bucket so konfigurieren, dass er SSE - KMS als Standardverschlüsselungsverhalten für neue Objekte verwendet, können Sie auch S3-Bucket-Keys konfigurieren. S3-Bucket-Keys reduzieren die Anzahl der Transaktionen von Amazon S3, AWS KMS um die Kosten von SSE - zu senkenKMS.

Wenn Sie Ihren Bucket so konfigurieren, dass S3-Bucket-Keys für SSE — für neue Objekte verwendet werden, wird ein Schlüssel KMS auf Bucket-Ebene AWS KMS generiert, der verwendet wird, um einen eindeutigen Datenschlüssel für Objekte im Bucket zu erstellen. Dieser S3-Bucket-Key wird für einen begrenzten Zeitraum innerhalb von Amazon S3 verwendet, sodass Amazon S3 weniger Anfragen AWS KMS zum Abschluss von Verschlüsselungsvorgängen stellen muss.

Weitere Informationen zur Verwendung von S3-Bucket-Schlüsseln finden Sie unter Verwenden von Amazon-S3-Bucket-Schlüssel.