Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)
Die serverseitige Verschlüsselung dient zum Schutz ruhender Daten. Die serverseitige Verschlüsselung verschlüsselt nur die Objektdaten, nicht die Metadaten des Objekts. Sie können serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) in Ihren Allzweck-Buckets verwenden, um Ihre Daten mit Ihren eigenen Verschlüsselungsschlüsseln zu verschlüsseln. Mit dem Verschlüsselungsschlüssel, den Sie als Teil Ihrer Anforderung bereitstellen, verwaltet Amazon S3 die Datenverschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Sie müssen also für die Datenverschlüsselung und -entschlüsselung keinen Code mehr verwalten. Sie müssen nur noch die von Ihnen bereitgestellten Verschlüsselungsschlüssel verwalten.
Ab April 2026 ist SSE-C standardmäßig für alle neuen Allzweck-Buckets und für bestehende Buckets in Konten ohne SSE-C-verschlüsselte Objekte deaktiviert. Die meisten modernen Workloads verwenden stattdessen serverseitige Verschlüsselung mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) oder AWS KMS-Schlüsseln (SSE-KMS), da SSE-C verlangt, dass Sie den Verschlüsselungsschlüssel bei jeder Anfrage angeben, was es unpraktisch macht, den Zugriff mit anderen Benutzern, Rollen oder Diensten zu teilen, die mit Ihren Daten arbeiten. AWS Weitere Informationen über SSE-KMS finden Sie unter. Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)
Wenn für Ihren Workload SSE-C erforderlich ist, müssen Sie es explizit aktivieren, indem Sie NONE in der standardmäßigen Verschlüsselungskonfiguration Ihres Buckets mithilfe der API die Einstellung BlockedEncryptionTypes auf setzen. PutBucketEncryption SSE-C ist zwar blockiert, aber jedePutObject,,,, Mehrteilige Upload- oder Replikationsanfrage, die die SSE-C-Verschlüsselung spezifiziert, wird mit einem HTTP 403-Fehler zurückgewiesen. CopyObject PostObject AccessDenied Weitere Informationen hierzu finden Sie unter Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket.
Für die Nutzung von SSE-C fallen keine zusätzlichen Gebühren an. Für Anforderungen zum Konfigurieren und Verwenden von SSE-C werden jedoch Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise
Wichtig
Amazon Simple Storage Service wendet jetzt eine neue Standardsicherheitseinstellung für Buckets an, die automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets deaktiviert. Im April 2026 hat Amazon S3 ein Update bereitgestellt, sodass für alle neuen Allzweck-Buckets die SSE-C-Verschlüsselung für alle neuen Schreibanforderungen deaktiviert ist. Für bestehende Buckets AWS-Konten ohne SSE-C-verschlüsselte Objekte hat Amazon S3 auch SSE-C für alle neuen Schreibanforderungen deaktiviert. Aufgrund dieser Änderung müssen Anwendungen, die SSE-C-Verschlüsselung benötigen, SSE-C bewusst aktivieren, indem sie nach der Erstellung eines neuen Buckets den API-Vorgang verwenden. PutBucketEncryption Weitere Informationen zu dieser Änderung finden Sie unter. Häufig gestellte Fragen zur SSE-C-Standardeinstellung für neue Buckets
Überlegungen vor der Verwendung von SSE-C
-
S3 speichert den Verschlüsselungsschlüssel niemals, wenn Sie SSE-C verwenden. Sie müssen den Verschlüsselungsschlüssel jedes Mal angeben, wenn Sie möchten, dass jemand Ihre mit SSE-C verschlüsselten Daten von S3 herunterlädt.
-
Sie Verwalten ein Mapping, welcher Verschlüsselungsschlüssel für die Verschlüsselung welches Objekts verwendet wurde. Sie sind dafür verantwortlich, zu verwalten, welchen Verschlüsselungsschlüssel Sie für welches Objekt angegeben haben. Das bedeutet auch, dass Sie das Objekt verlieren, wenn Sie den Verschlüsselungsschlüssel verlieren.
-
Sie verwalten die Verschlüsselungsschlüssel auf der Clientseite, deshalb verwalten Sie auch alle zusätzlichen Sicherungsmechanismen auf der Clientseite, wie beispielsweise die Schlüsselrotation.
-
Dieses Design kann es schwierig machen, Ihren SSE-C-Schlüssel mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die mit Ihren Daten arbeiten müssen. Aufgrund der weit verbreiteten Unterstützung von SSE-KMS verwenden die meisten modernen Workloads SSE-C nicht AWS, da es nicht über die Flexibilität von SSE-KMS verfügt. Weitere Informationen zu SSE-KMS finden Sie unter Verwenden der serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS). AWS
-
Das bedeutet, dass mit SSE-C verschlüsselte Objekte nicht nativ von Managed Services entschlüsselt werden können. AWS
-
-
Sie müssen HTTPS verwenden, wenn Sie SSEC-Header für Ihre Anfragen angeben.
-
Amazon S3 weist Anfragen über HTTP zurück, wenn SSE-C verwendet wird. Aus Sicherheitsgründen sollten Sie jeden Schlüssel, den Sie versehentlich mittels HTTP senden, als nicht vertrauenswürdig betrachten. Verwerfen Sie den Schlüssel und rotieren Sie ihn wie erforderlich.
-
-
Wenn Ihr Bucket versionierungsfähig ist, kann jede Objektversion, die Sie hochladen, ihren eigenen Verschlüsselungsschlüssel haben. Sie sind dafür verantwortlich, zu verwalten, welcher Verschlüsselungsschlüssel für welche Objektversion verwendet wurde.
-
SSE-C wird in der Amazon S3 S3-Konsole nicht unterstützt. Sie können die Amazon S3 S3-Konsole nicht verwenden, um ein Objekt hochzuladen und die SSE-C-Verschlüsselung anzugeben. Sie können die Konsole auch nicht verwenden, um ein vorhandenes Objekt zu aktualisieren (beispielsweise durch Ändern der Speicherklasse oder Hinzufügen von Metadaten), das mittels SSE-C gespeichert wurde.
-
SSE-C ist standardmäßig für neue Buckets blockiert. Sie müssen SSE-C explizit mithilfe der
PutBucketEncryptionAPI aktivieren, bevor Sie Objekte mit SSE-C-Verschlüsselung hochladen können. Weitere Informationen finden Sie unter Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket.
Themen
