Schützen von Daten mithilfe serverseitiger Verschlüsselung
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Derzeit ist der automatische Verschlüsselungsstatus für die S3-Bucket-Standardverschlüsselungskonfiguration und für neue Objekt-Uploads in den AWS CloudTrail-Protokollen, in S3 Inventory und in S3 Storage Lens verfügbar. In den nächsten Wochen wird der automatische Verschlüsselungsstatus auch für die Amazon-S3-Konsole und als zusätzlicher Amazon-S3-API-Antwortheader in der AWS Command Line Interface und AWS SDKs eingeführt. Sobald dieses Update in allen AWS-Regionen abgeschlossen ist, wird die Dokumentation aktualisiert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.
Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. Bei der Verwendung der serverseitigen Verschlüsselung (SSE) verschlüsselt Amazon S3 Ihre Daten auf Objektebene, wenn es diese auf Datenträger in seinen Rechenzentren schreibt, und entschlüsselt die Daten für Sie, wenn Sie auf diese zugreifen. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Wenn Sie beispielsweise Ihre Objekte unter Verwendung einer vorsignierten URL teilen, verhält sich die URL für verschlüsselte und unverschlüsselte Objekte gleich. Wenn Sie die Objekte in Ihrem Bucket auflisten, gibt die Listen-API außerdem eine Liste aller Objekte zurück, unabhängig davon, ob sie verschlüsselt sind.
Sie können nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung auf dasselbe Objekt anwenden.
Es bieten sich Ihnen drei sich gegenseitig ausschließende Optionen, abhängig davon, wie Sie die Zugriffsschlüssel verwalten möchten.
Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)
Wenn Sie eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verwenden, wird jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzliche Sicherheit verschlüsselt es den Root-Schlüssel selbst mit einem Root-Schlüssel, der regelmäßig rotiert. Die serverseitige Amazon-S3-Verschlüsselung verwendet zum Verschlüsseln Ihrer Daten eine der stärksten verfügbaren Blockverschlüsselungen, 256-bit Advanced Encryption Standard (AES-256) GCM. Für Objekte, die vor AES-GCM verschlüsselt wurden, wird AES-CBC zum Entschlüsseln dieser Objekte weiterhin unterstützt. Weitere Informationen finden Sie unter Verwenden von serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3).
Serverseitige Verschlüsselung mit KMS-Schlüsseln, die in AWS Key Management Service (SSE-KMS) gespeichert sind
Serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) ist mit SSE-S3 vergleichbar, jedoch mit einigen zusätzlichen Vorteilen aber auch Kosten für die Nutzung dieses Services verbunden. Es gibt separate Berechtigungen für die Verwendung eines KMS-Schlüssels, das einen zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE-KMS bietet Ihnen außerdem ein Prüfprotokoll, das anzeigt, wann und von wem Ihr KMS-Schlüssel verwendet wurde. Darüber hinaus können Sie kundenseitig verwaltete Schlüssel erstellen und verwalten oder von AWS verwaltete Schlüssel verwenden, die für Sie, Ihren Service und Ihre Region einzigartig sind. Weitere Informationen finden Sie unter Verwenden von serverseitiger Verschlüsselung mit AWS Key Management Service (SSE-KMS).
Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)
Bei serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) verwalten Sie die Verschlüsselungsschlüssel und Amazon S3 verwaltet die Verschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Weitere Informationen finden Sie unter Verwenden von serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C).
