Bewährte Methoden zur Verschlüsselung für Amazon S3

Amazon Simple Storage Service (Amazon S3) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.

Für die serverseitige Verschlüsselung in Amazon S3 gibt es drei Optionen:

Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)
Serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS)
Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C)

Amazon S3 wendet serverseitige Verschlüsselung mit Amazon S3-verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den Feldern AWS Command Line Interface (AWS CLI) und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Wenn die serverseitige Verschlüsselung zur Verschlüsselung eines Objekts beim Hochladen verwendet wird, fügen Sie den x-amz-server-side-encryption-Header zur Anforderung hinzu, um Amazon S3 anzuweisen, das Objekt mit SSE-S3, SSE-KMS oder SSE-C zu verschlüsseln. Im Folgenden sind die möglichen Werte für den x-amz-server-side-encryption-Header aufgeführt:

AES256, was Amazon S3 anweist, die Regeln für von Amazon S3 verwaltete Schlüssel zu nutzen.
aws:kms, was Amazon S3 anweist, AWS KMS verwaltete Schlüssel zu verwenden.
Wert einstellen als True oder False für SSE-C

Weitere Informationen finden Sie unter Defense-in-depth Anforderung 1: Daten müssen im Ruhezustand und während der Übertragung verschlüsselt werden in How to Use Bucket Policies and Apply Defense-in-Depth to Help Help Help Your Amazon S3 Data (AWS Blogbeitrag).

Für die clientseitige Verschlüsselung in Amazon S3 gibt es zwei Optionen:

Ein Schlüssel, gespeichert in AWS KMS
Ein Schlüssel, der in der Anwendung gespeichert ist

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

Implementieren Sie in AWS Config die bucket-server-side-encryptionS3-aktivierte AWS verwaltete Regel, um die S3-Bucket-Verschlüsselung zu validieren und durchzusetzen.
Stellen Sie eine Amazon-S3-Bucket-Richtlinie bereit, die bestätigt, dass alle hochgeladenen Objekte mit der s3:x-amz-server-side-encryption-Bedingung verschlüsselt sind. Weitere Informationen finden Sie im Beispiel für eine Bucket-Richtlinie unter Schutz von Daten mit SSE-S3 und in den Anweisungen unter Hinzufügen einer Bucket-Richtlinie.
Lassen Sie nur verschlüsselte Verbindungen über HTTPS (TLS) zu, indem Sie die aws:SecureTransport-Bedingung für S3-Bucket-Richtlinien verwenden. Weitere Informationen finden Sie unter Welche S3-Bucket-Richtlinie sollte ich verwenden, um die AWS Config Regel s3- bucket-ssl-requests-only einzuhalten?
AWS Config Implementieren Sie in die mit S3 bucket-ssl-requests-only AWS verwaltete Regel, sodass Anfragen SSL verwenden müssen.
Verwenden Sie einen vom Kunden verwalteten Schlüssel, wenn Sie kontoübergreifenden Zugriff auf Ihre Amazon-S3-Objekte gewähren möchten. Konfigurieren Sie die Schlüsselrichtlinie so, dass der Zugriff von einem anderen AWS-Konto möglich ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Secrets Manager

Amazon VPC