Schützen von Daten mithilfe serverseitiger Verschlüsselung - Amazon Simple Storage Service

Willkommen im neuen Amazon-S3-Benutzerhandbuch! Das Amazon-S3-Benutzerhandbuch kombiniert Informationen und Anweisungen aus den drei eingestellten Handbüchern: Amazon-S3-Entwicklerhandbuch, Benutzerhandbuch der Amazon-S3-Konsole und Amazon S3 – Handbuch Erste Schritte.

Schützen von Daten mithilfe serverseitiger Verschlüsselung

Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. Bei der Verwendung der serverseitigen Verschlüsselung (SSE) verschlüsselt Amazon S3 Ihre Daten auf Objektebene, wenn es diese auf Datenträger in seinen Rechenzentren schreibt, und entschlüsselt die Daten für Sie, wenn Sie auf diese zugreifen. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Wenn Sie beispielsweise Ihre Objekte unter Verwendung einer vorsignierten URL teilen, verhält sich die URL für verschlüsselte und unverschlüsselte Objekte gleich. Wenn Sie die Objekte in Ihrem Bucket auflisten, gibt die Listen-API außerdem eine Liste aller Objekte zurück, unabhängig davon, ob sie verschlüsselt sind.

Anmerkung

Sie können nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung auf dasselbe Objekt anwenden.

Es bieten sich Ihnen drei sich gegenseitig ausschließende Optionen, abhängig davon, wie Sie die Zugriffsschlüssel verwalten möchten.

Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

Wenn Sie eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verwenden, wird jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzlicher Schutz wird der eigentliche Schlüssel mit einem Master-Schlüssel verschlüsselt, der regelmäßig rotiert wird. Die serverseitige Amazon S3-Verschlüsselung verwendet eine der stärksten Blockverschlüsselungen, die verfügbar sind, 256-bit Advanced Encryption Standard (AES-256), um Ihre Daten zu verschlüsseln. Weitere Informationen finden Sie unter Schützen von Daten durch serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3).

Serverseitige Verschlüsselung mitKundenmasterschlüsseln (CMKs), die im AWS Key Management Service (SSE-KMS) gespeichert sind

Serverseitige Verschlüsselung mit Kundenmasterschlüsseln (CMKs), die im AWS Key Management Service (SSE-KMS) gespeichert sind, ist mit SSE-S3 vergleichbar, jedoch mit einigen zusätzlichen Vorteilen und Kosten für die Nutzung dieses Services. Es gibt separate Berechtigungen für die Verwendung eines CMK, das einen zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE-KMS bietet Ihnen außerdem ein Prüfprotokoll, das anzeigt, wann und von wem Ihr CMK verwendet wurde. Darüber hinaus können Sie kundenseitig verwaltete CMKs erstellen und verwalten oder von AWS verwaltete CMKs verwenden, die für Sie, Ihren Service und Ihre Region einzigartig sind. Weitere Informationen finden Sie unter Schutz von Daten mit serverseitiger Verschlüsselung mit in AWS Key Management Service (SSE-KMS) gespeicherten CMKs.

Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

Bei serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) verwalten Sie die Verschlüsselungsschlüssel, und Amazon S3 verwaltet die Verschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Weitere Informationen finden Sie unter Schützen von Daten durch eine serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C).