Einstellen und Überwachen der Standardverschlüsselung für Verzeichnis-Buckets

Für Amazon-S3-Buckets ist die Bucket-Verschlüsselung standardmäßig aktiviert und neue Objekte werden automatisch unter Verwendung der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselung gilt für alle neuen Objekte in Ihren Amazon-S3-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und die Gewährung von Zugriffsrichtlinien, können Sie sich für die serverseitige Verschlüsselung mit () -Schlüsseln (SSE-KMS) entscheiden. AWS Key Management Service AWS KMS

Anmerkung

• Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren CreateSession-Anforderungen oder PUT-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. Weitere Informationen zum Verhalten beim Überschreiben der Verschlüsselung in Verzeichnis-Buckets finden Sie unter Serverseitige Verschlüsselung mit für Uploads neuer Objekte angeben. AWS KMS

• Um neue Objekte in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (also einem vom Kunden verwalteten Schlüssel) angeben. Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit SSE-KMS- und S3-Bucket-Schlüsseln ver- und entschlüsselt.

• Wenn Sie die Standardverschlüsselung für Buckets auf SSE-KMS festlegen, sind S3-Bucket-Schlüssel immer für GET- und PUT-Vorgänge in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden. S3-Bucket-Keys werden nicht unterstützt, wenn Sie SSE-KMS-verschlüsselte Objekte von Allzweck-Buckets in Verzeichnis-Buckets, von Verzeichnis-Buckets in Allzweck-Buckets oder zwischen Verzeichnis-Buckets kopieren, und zwar über CopyObject, UploadPartCopy, der Copy Operation in Batch-Operationen, oder die import Jobs. In diesem Fall ruft Amazon S3 AWS KMS jedes Mal, wenn eine Kopieranforderung für ein KMS-verschlüsseltes Objekt gestellt wird, auf. Weitere Informationen darüber, wie S3 Bucket Keys Ihre AWS KMS Anforderungskosten reduzieren, finden Sie unter. Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln

• Wenn Sie einen vom Kunden verwalteten AWS KMS -Schlüssel für die Verschlüsselung in Ihrem Verzeichnis-Bucket angeben, verwenden Sie nur die Schlüssel-ID oder den Schlüssel-ARN. Das Schlüsselaliasformat des KMS-Schlüssels wird nicht unterstützt.

• Die zweischichtige serverseitige Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) und die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) werden für die Standardverschlüsselung in Verzeichnis-Buckets nicht unterstützt.

Weitere Informationen über die Konfiguration der Standardverschlüsselung finden Sie unter Konfigurieren der Standardverschlüsselung.

Weitere Informationen zu den für die Standardverschlüsselung erforderlichen Berechtigungen finden Sie unter PutBucketEncryptionin der Amazon Simple Storage Service API-Referenz.

Sie können die Amazon S3 S3-Standardverschlüsselung für einen S3-Bucket konfigurieren, indem Sie die Amazon S3 S3-Konsole AWS SDKs, die Amazon S3 S3-REST-API und die AWS Command Line Interface (AWS CLI) verwenden.

Verwenden der S3-Konsole

Konfigurieren der Standardverschlüsselung für einen Amazon-S3-Bucket

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Buckets aus.

3. Wählen Sie in der Liste Buckets den Namen des von Ihnen erstellten Buckets aus.

4. Wählen Sie die Registerkarte Eigenschaften aus.

5. Unter Einstellungen für die serverseitige Verschlüsselung verwenden Verzeichnis-Buckets die serverseitige Verschlüsselung mit vonAmazon S3 verwalteten Schlüsseln (SSE-S3).

6. Wählen Sie Änderungen speichern aus.

Verwenden Sie den AWS CLI

Diese Beispiele zeigen Ihnen, wie Sie die Standardverschlüsselung mit SSE-S3 oder SSE-KMS mit einem S3-Bucket-Schlüssel konfigurieren.

Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets. Weitere Hinweise AWS CLI zur Konfiguration der Standardverschlüsselung finden Sie unter put-bucket-encryption.

Beispiel – Standard-Verschlüsselung mit SSE-S3

In diesem Beispiel wird die Standardverschlüsselung von Buckets mit von Amazon S3 verwalteten Schlüsseln konfiguriert. Um den Befehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.

aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'

Beispiel – Standard-Verschlüsselung mit SSE-KMS mit einem S3-Bucket-Schlüssel

In diesem Beispiel wird die Standard-Bucket-Verschlüsselung mit SSE-KMS unter Verwendung eines S3-Bucket-Schlüssels konfiguriert. Um den Befehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.

aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Verwenden der REST-API

Verwenden Sie die REST-API-Operation PutBucketEncryption, um die Standardverschlüsselung mit einer Art von serverseitiger Verschlüsselung festzulegen – SSE-S3 oder SSE-KMS.

Weitere Informationen finden Sie unter .PutBucketEncryptionin der Amazon Simple Storage Service API-Referenz.

Mit dem AWS SDKs

Bei der Verwendung AWS SDKs können Sie Amazon S3 AWS KMS keys für die serverseitige Verschlüsselung anfordern. In den folgenden Beispielen AWS SDKs für Java und .NET wird die Standardverschlüsselungskonfiguration für einen Verzeichnis-Bucket mit SSE-KMS und einem S3-Bucket Key konfiguriert. Weitere Informationen zu anderen SDKs finden Sie im AWS Developer Center unter Beispielcode und Bibliotheken.

Wichtig

Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Weitere Informationen zu diesen Schlüsseln finden Sie unter Symmetrische KMS-Verschlüsselungsschlüssel im Entwicklerhandbuch für AWS Key Management Service .

Java

Mit dem können Sie Amazon S3 auffordern AWS SDK for Java 2.x, eine zu verwenden, AWS KMS key indem Sie die applyServerSideEncryptionByDefault Methode verwenden, um die Standardverschlüsselungskonfiguration Ihres Verzeichnis-Buckets für die Datenverschlüsselung mit SSE-KMS anzugeben. Sie erstellen einen symmetrischen KMS-Verschlüsselungsschlüssel und geben diesen in der Anforderung an.

import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.PutBucketEncryptionRequest;
import software.amazon.awssdk.services.s3.model.ServerSideEncryption;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionByDefault;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionConfiguration;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionRule;

public class Main {
    public static void main(String[] args) {
        S3Client s3 = S3Client.create();
        String bucketName = "bucket-base-name--zoneid--x-s3";
        String kmsKeyId = "your-kms-customer-managed-key-id";

        // AWS managed KMS keys aren't supported. Only customer-managed keys are supported.
        ServerSideEncryptionByDefault serverSideEncryptionByDefault = ServerSideEncryptionByDefault.builder()
                .sseAlgorithm(ServerSideEncryption.AWS_KMS)
                .kmsMasterKeyID(kmsKeyId)
                .build();

        // The bucketKeyEnabled field is enforced to be true.
        ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
                .bucketKeyEnabled(true)
                .applyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
                .build();
  
        ServerSideEncryptionConfiguration serverSideEncryptionConfiguration = ServerSideEncryptionConfiguration.builder()
                .rules(rule)
                .build();

        PutBucketEncryptionRequest putRequest = PutBucketEncryptionRequest.builder()
                .bucket(bucketName)
                .serverSideEncryptionConfiguration(serverSideEncryptionConfiguration)
                .build();

        s3.putBucketEncryption(putRequest);
        
    }
}
                 
                            

Weitere Informationen zur Erstellung von kundenverwalteten Schlüsseln finden Sie unter Programming the AWS KMS API im AWS Key Management Service Developer Guide.

Funktionierende Codebeispiele zum Hochladen eines Objekts finden Sie unter den folgenden Themen. Um diese Beispiele zu verwenden, müssen Sie die Codebeispiele aktualisieren und Verschlüsselungsinformationen wie im vorigen Codefragment gezeigt bereitstellen.

• Weitere Informationen zum Hochladen eines Objekts in einem einzigen Vorgang finden Sie unter Hochladen von Objekten zu einem Verzeichnis-Bucket.

• Informationen zu API-Operationen für mehrteilige Uploads finden Sie unter Verwenden von mehrteiligen Uploads mit Verzeichnis-Buckets.

.NET

Mit dem können Sie Amazon S3 auffordern AWS SDK für .NET, eine zu verwenden, AWS KMS key indem Sie die ServerSideEncryptionByDefault Eigenschaft verwenden, um die Standardverschlüsselungskonfiguration Ihres Verzeichnis-Buckets für die Datenverschlüsselung mit SSE-KMS anzugeben. Sie können optional Ihren eigenen kundenverwalteten symmetrischen Verschlüsselungsschlüssel erstellen und diesen in der Anforderung angeben.

    // Set the bucket server side encryption to use AWSKMS with a customer-managed key id.
    // bucketName: Name of the directory bucket. "bucket-base-name--zonsid--x-s3"
    // kmsKeyId: The Id of the customer managed KMS Key. "your-kms-customer-managed-key-id"
    // Returns True if successful.
    public static async Task<bool> SetBucketServerSideEncryption(string bucketName, string kmsKeyId)
    {
        var serverSideEncryptionByDefault = new ServerSideEncryptionConfiguration
        {
            ServerSideEncryptionRules = new List<ServerSideEncryptionRule>
            {
                new ServerSideEncryptionRule
                {
                    ServerSideEncryptionByDefault = new ServerSideEncryptionByDefault
                    {
                        ServerSideEncryptionAlgorithm = ServerSideEncryptionMethod.AWSKMS,
                        ServerSideEncryptionKeyManagementServiceKeyId = kmsKeyId
                    }
                }
            }
        };
        try
        {
            var encryptionResponse =await _s3Client.PutBucketEncryptionAsync(new PutBucketEncryptionRequest
            {
                BucketName = bucketName,
                ServerSideEncryptionConfiguration = serverSideEncryptionByDefault,
            });
            
            return encryptionResponse.HttpStatusCode == HttpStatusCode.OK;
        }
        catch (AmazonS3Exception ex)
        {
            Console.WriteLine(ex.ErrorCode == "AccessDenied"
                ? $"This account does not have permission to set encryption on {bucketName}, please try again."
                : $"Unable to set bucket encryption for bucket {bucketName}, {ex.Message}");
        }
        return false;
    }
     
       
                            

Weitere Informationen zur Erstellung von kundenverwalteten Schlüsseln finden Sie unter Programming the AWS KMS API im AWS Key Management Service Developer Guide.

Funktionierende Codebeispiele zum Hochladen eines Objekts finden Sie unter den folgenden Themen. Um diese Beispiele zu verwenden, müssen Sie die Codebeispiele aktualisieren und Verschlüsselungsinformationen wie im vorigen Codefragment gezeigt bereitstellen.

• Weitere Informationen zum Hochladen eines Objekts in einem einzigen Vorgang finden Sie unter Hochladen von Objekten zu einem Verzeichnis-Bucket.

• Informationen zu API-Operationen für mehrteilige Uploads finden Sie unter Verwenden von mehrteiligen Uploads mit Verzeichnis-Buckets.

Überwachen der Standardverschlüsselung für Verzeichnis-Buckets mit AWS CloudTrail

Sie können Konfigurationsanforderungen zur Standardverschlüsselung für Amazon-S3-Verzeichnis-Buckets mithilfe von AWS CloudTrail -Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail Protokollen verwendet:

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

Anmerkung

• EventBridge wird in Verzeichnis-Buckets nicht unterstützt.

• Die zweischichtige serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (DSSE-KMS) oder die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C) werden in Verzeichnis-Buckets nicht unterstützt.

Weitere Informationen über die Überwachung der Standardverschlüsselung mit AWS CloudTrail finden Sie unter Überwachung der Standardverschlüsselung mit AWS CloudTrail und Amazon EventBridge.