So nutzt Amazon Simple Storage Service (Amazon S3)AWS KMS - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So nutzt Amazon Simple Storage Service (Amazon S3)AWS KMS

In diesem Thema wird beschrieben, wie Sie in Amazon S3-Rechenzentren gespeicherte Daten mithilfe vonAWS KMS. Sie können die BerechtigungClientseitige -Verschlüsselung, in dem Sie Ihre Daten unter einemAWS KMS-Kundenmasterschlüssel (CMK), bevor Sie diesen Kundenmasterschlüssel an Amazon S3 senden. Sie können aber auch die BerechtigungServerseitige VerschlüsselungWenn Amazon S3 Ihre im Ruhezustand befindlichen Daten im Rahmen einerAWS KMSCMK.

Serverseitige Verschlüsselung: Verwenden von SSE-KMS

Sie können in Amazon S3 gespeicherte Daten mithilfe von drei unterschiedlichen Modi serverseitiger Verschlüsselung schützen: SSE-3, SSE-C oder SSE-KMS.

Im weiteren Verlauf dieses Themas erläutern wir Ihnen, wie Sie Ihre Daten mithilfe der serverseitigen Verschlüsselung auf Basis AWS KMS-verwalteter Schlüssel (SSE-KMS) schützen können.

Sie können Verschlüsselung anfordern und einen CMK mit der Amazon S3 Konsole oder -API auswählen. In der Konsole aktivieren Sie einfach das Kontrollkästchen für die Verschlüsselung und wählen Ihren CMK aus der Liste aus. Für die Amazon S3 API legen Sie die Verschlüsselung fest und wählen Ihren CMK, indem Sie die Kopfzeile einer GET- oder PUT-Anforderung entsprechend ändern. Weitere Informationen finden Sie unterSchützen von Daten mithilfe serverseitiger Verschlüsselung mitAWS KMS-verwaltete Schlüssel (SSE-KMS).

Wichtig

Amazon S3 unterstützt nurSymmetrische CMKs. Sie können keineAsymmetrische CMK-Verschlüsseln, um Ihre Daten in Amazon S3 zu verschlüsseln. Informationen zur Feststellung, ob ein CMK symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen symmetrischer und asymmetrischer CMKs.

Sie können eineKundenverwalteter CMKoder dieAWS-verwalteter CMKfür Amazon S3 in Ihrem Konto. Wenn Sie sich für die Verschlüsselung Ihrer Daten mit den Standardfunktionen entscheiden,AWS KMSund Amazon S3 führen die folgenden Aktionen durch:

  • Amazon S3 fordert einen Klartexttext anDatenschlüsselverschlüsselt und eine mit dem angegebenen CMK verschlüsselte Kopie des Schlüssels.

  • AWS KMSgeneriert einen Datenschlüssel, verschlüsselt diesen Datenschlüssel mit dem CMK und sendet sowohl den Klartext-Datenschlüssel als auch den verschlüsselten Datenschlüssel an Amazon S3.

  • Amazon S3 verschlüsselt die Daten mit dem Datenschlüssel und entfernt anschließend den Klartextschlüssel schnellstmöglich aus dem Arbeitsspeicher.

  • Amazon S3 speichert den verschlüsselten Datenschlüssel im Metadatenformat zusammen mit den verschlüsselten Daten.

Amazon S3 undAWS KMSWenn Sie eine Entschlüsselung Ihrer Daten anfordern, führen und die folgenden Aktionen durch:

  • Amazon S3 sendet den verschlüsselten Datenschlüssel anAWS KMS.

  • AWS KMSentschlüsselt den Schlüssel mit demselben CMK und gibt den Klartext-Datenschlüssel an Amazon S3 zurück.

  • Amazon S3 entschlüsselt den Chiffretext und entfernt den Klartext-Datenschlüssel schnellstmöglich aus dem Arbeitsspeicher.

Wenn Sie die optionaleS3-Bucket-Schlüsselverwenden, wird das folgende Verfahren verwendet. Die S3 Bucket Keys Funktion wurde entwickelt, um Anrufe zu reduzierenAWS KMS, wenn auf Objekte in einem verschlüsselten Bucket zugegriffen wird.

  • Amazon S3 fordert einen Datenschlüssel vonAWS KMSmit dem CMK für den Bucket.AWS KMSgeneriert einen Datenschlüssel und gibt eine Klartextkopie und eine verschlüsselte Kopie des Datenschlüssels zurück.

  • Amazon S3 verwendet diesen Datenschlüssel alsBucket-Schlüssel. Amazon S3 erstellt eindeutige Datenschlüssel außerhalb vonAWS KMSfür Objekte im Bucket und verschlüsselt diese Datenschlüssel unter dem Bucket-Schlüssel. Amazon S3 verwendet jeden Bucket-Schlüssel für einen begrenzten Zeitraum.

Weitere Informationen zur Verwendung von S3-Bucket-Schlüsseln finden Sie unterReduzieren der Kosten von SSE-KMS mit Amazon S3-Bucket-SchlüsselnDer Amazon Simple Storage Service-Entwicklerhandbuch enthält.

Verwenden des Amazon S3 Verschlüsselungs-Clients

Sie können dasAmazon S3 Verschlüsselungs-ClientimAWS-SDK in Ihrer eigenen Anwendung verwenden, um Objekte zu verschlüsseln und in Amazon S3 hochzuladen. So können Sie Ihre Daten lokal verschlüsseln und gewährleisten, dass sie während der Übertragung an den Amazon S3-Service geschützt sind. Der Amazon S3 Dienst empfängt die verschlüsselten Daten lediglich und spielt keine Rolle bei ihrer Ver- oder Entschlüsselung.

Der Amazon S3 Encryption Client verschlüsselt das Objekt mittels Envelope-Verschlüsselung. Der Client ruft AWS KMS im Rahmen des Verschlüsselungsaufrufs auf, der gesendet wird, wenn Sie die Daten an den Client übergeben. AWS KMS überprüft, ob Sie zur Verwendung des Kundenmasterschlüssels (Customer Master Key, CMK), den Sie angeben, berechtigt sind. Ist das der Fall, gibt der Service einen neuen Klartext-Datenschlüssel sowie den mit dem CMK verschlüsselten Datenschlüssel zurück. Der Amazon S3 Encryption Client verschlüsselt die Daten mithilfe des Klartextschlüssels und löscht diesen Schlüssel anschließend aus dem Arbeitsspeicher. Der verschlüsselte Datenschlüssel wird an Amazon S3 gesendet, wo er gemeinsam mit den verschlüsselten Daten gespeichert wird.

Verschlüsselungskontext

Jeder in AWS KMS integrierte Service gibt einen Verschlüsselungskontext an, wenn Daten angefordert, verschlüsselt und entschlüsselt werden. Der Verschlüsselungskontext enthält zusätzliche authentifizierte Daten (AAD), anhand derer AWS KMS die Datenintegrität überprüft.

Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, gibt Amazon S3 denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation an. Andernfalls schlägt die Entschlüsselung fehlschlägt.

Bei Amazon S3 ist der Verschlüsselungskontextschlüssel immeraws:s3:arn.

Wenn Sie für die Verschlüsselung SSE-KMS oder den Amazon S3 Verschlüsselungs-Client nutzen, gibt den Verschlüsselungskontextwert den Bucket-Pfad an. In derrequestParametersDer Verschlüsselungskontext einer CloudTrail -Protokolldatei sieht wie folgt aus:

"encryptionContext": { "aws:s3:arn": "arn:aws:s3:::bucket_name/file_name" }

Wenn Sie SSE-KMS mit der optionalen Funktion S3 Bucket Keys verwenden, ist der Verschlüsselungskontextwert der ARN des Buckets.

"encryptionContext": { "aws:s3:arn": "arn:aws:s3:::bucket_name" }