Schützen von Daten mithilfe serverseitiger Verschlüsselung - Amazon Simple Storage Service

Schützen von Daten mithilfe serverseitiger Verschlüsselung

Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. Bei der Verwendung der serverseitigen Verschlüsselung (SSE) verschlüsselt Amazon S3 Ihre Daten auf Objektebene, wenn es diese auf Datenträger in seinen Rechenzentren schreibt, und entschlüsselt die Daten für Sie, wenn Sie auf diese zugreifen. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Wenn Sie beispielsweise Ihre Objekte unter Verwendung einer vorsignierten URL teilen, verhält sich die URL für verschlüsselte und unverschlüsselte Objekte gleich. Wenn Sie die Objekte in Ihrem Bucket auflisten, gibt die Listen-API außerdem eine Liste aller Objekte zurück, unabhängig davon, ob sie verschlüsselt sind.

Anmerkung

Sie können nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung auf dasselbe Objekt anwenden.

Es bieten sich Ihnen drei sich gegenseitig ausschließende Optionen, abhängig davon, wie Sie die Zugriffsschlüssel verwalten möchten.

Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

Wenn Sie eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verwenden, wird jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzliche Sicherheit verschlüsselt es den Root-Schlüssel selbst mit einem Root-Schlüssel, der regelmäßig rotiert. Die serverseitige Amazon-S3-Verschlüsselung verwendet zum Verschlüsseln Ihrer Daten eine der stärksten verfügbaren Blockverschlüsselungen, 256-bit Advanced Encryption Standard (AES-256) GCM. Für Objekte, die vor AES-GCM verschlüsselt wurden, wird AES-CBC zum Entschlüsseln dieser Objekte weiterhin unterstützt. Weitere Informationen finden Sie unter Schützen von Daten durch serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3).

Serverseitige Verschlüsselung mit KMS-Schlüsseln, die in AWS Key Management Service (SSE-KMS) gespeichert sind

Serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) ist mit SSE-S3 vergleichbar, jedoch mit einigen zusätzlichen Vorteilen und Kosten für die Nutzung dieses Services. Es gibt separate Berechtigungen für die Verwendung eines KMS-Schlüssels, das einen zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE-KMS bietet Ihnen außerdem ein Prüfprotokoll, das anzeigt, wann und von wem Ihr KMS-Schlüssel verwendet wurde. Darüber hinaus können Sie kundenseitig verwaltete Schlüssel erstellen und verwalten oder von AWS verwaltete Schlüssel verwenden, die für Sie, Ihren Service und Ihre Region einzigartig sind. Weitere Informationen finden Sie unter Schützen von Daten durch serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS).

Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

Bei serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) verwalten Sie die Verschlüsselungsschlüssel, und Amazon S3 verwaltet die Verschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Weitere Informationen finden Sie unter Schützen von Daten durch eine serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C).