Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Schutz von Daten bei der Übertragung durch Verschlüsselung
<a name="UsingEncryptionInTransit"></a>

Amazon S3 unterstützt sowohl HTTP- als auch HTTPS-Protokolle für die Datenübertragung. HTTP überträgt Daten im Klartext, während HTTPS eine Sicherheitsebene durch die Verschlüsselung von Daten mithilfe von Transport Layer Security (TLS) hinzufügt. TLS schützt vor Abhören, Datenmanipulation und Angriffen. man-in-the-middle HTTP-Verkehr wird zwar akzeptiert, aber die meisten Implementierungen verwenden Verschlüsselung bei der Übertragung mit HTTPS und TLS, um Daten bei der Übertragung zwischen Clients und Amazon S3 zu schützen.

## Support für TLS 1.2 und TLS 1.3
<a name="UsingEncryptionInTransit.TLS-support"></a>

Amazon S3 unterstützt TLS 1.2 und TLS 1.3 für HTTPS-Verbindungen über alle API-Endpunkte hinweg für alle AWS-Regionen. S3 handelt automatisch den stärksten TLS-Schutz aus, der von Ihrer Client-Software und dem S3-Endpunkt, auf den Sie zugreifen, unterstützt wird. Aktuelle AWS Tools (2014 oder später), einschließlich TLS 1.3, AWS CLI werden automatisch standardmäßig verwendet, ohne dass Sie etwas unternehmen müssen. AWS SDKs Sie können diese automatische Aushandlung über die Client-Konfigurationseinstellungen außer Kraft setzen, um eine bestimmte TLS-Version anzugeben, falls Abwärtskompatibilität mit TLS 1.2 erforderlich ist. Wenn Sie TLS 1.3 verwenden, können Sie optional Hybrid Post Quantum Key Exchange (ML-KEM) konfigurieren, um quantenresistente Anfragen an Amazon S3 zu stellen. Weitere Informationen finden Sie unter [Konfiguration von hybridem Post-Quantum-TLS für Ihren Kunden](pqtls-how-to.md). 

**Anmerkung**  
TLS 1.3 wird auf allen S3-Endpunkten unterstützt, mit AWS PrivateLink Ausnahme von Amazon S3 und Multi-Region Access Points.

## Überwachung der TLS-Nutzung
<a name="UsingEncryptionInTransit.monitoring"></a>

Sie können entweder Amazon S3 S3-Serverzugriffsprotokolle oder AWS CloudTrail zur Überwachung von Anfragen an Amazon S3 S3-Buckets verwenden. Beide Protokollierungsoptionen zeichnen die TLS-Version und die Verschlüsselungssuite auf, die in jeder Anfrage verwendet wurden.
+ **Amazon S3 S3-Serverzugriffsprotokolle** — Die Serverzugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anfragen, die an einen Bucket gestellt werden. Beispielsweise können Zugriffsprotokoll-Informationen bei Sicherheits- und Zugriffsprüfungen nützlich sein. Weitere Informationen finden Sie unter [Amazon-S3-Server-Zugriffsprotokollformat](LogFormat.md).
+ **AWS CloudTrail**— [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)ist ein Service, der eine Aufzeichnung der Aktionen eines Benutzers, einer Rolle oder eines AWS Dienstes bereitstellt. CloudTrail erfasst alle API-Aufrufe für Amazon S3 als Ereignisse. Weitere Informationen finden Sie unter [Amazon S3 CloudTrail S3-Ereignisse](cloudtrail-logging-s3-info.md).

## Erzwingung der Verschlüsselung bei der Übertragung
<a name="UsingEncryptionInTransit.enforcement"></a>

Es ist eine bewährte Sicherheitsmethode, die Verschlüsselung von Daten bei der Übertragung zu Amazon S3 durchzusetzen. Sie können die reine HTTPS-Kommunikation oder die Verwendung einer bestimmten TLS-Version mithilfe verschiedener Richtlinienmechanismen erzwingen. [Dazu gehören ressourcenbasierte IAM-Richtlinien für S3-Buckets ([Bucket-Richtlinien), Service Control-Richtlinien](bucket-policies.md)[(), Resource Control-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)[(SCPs) und RCPs VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)

### Beispiele für Bucket-Richtlinien zur Durchsetzung von Verschlüsselung bei der Übertragung
<a name="UsingEncryptionInTransit.bucket-policy-example"></a>

Sie können den [S3-Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) verwenden`s3:TlsVersion`, um den Zugriff auf Amazon S3 S3-Buckets auf der Grundlage der vom Client verwendeten TLS-Version einzuschränken. Weitere Informationen finden Sie unter [Beispiel 6: Mindestanforderung für die TLS-Version](amazon-s3-policy-keys.md#example-object-tls-version).

**Example Bucket-Richtlinie, die TLS 1.3 mithilfe des `S3:TlsVersion` Bedingungsschlüssels durchsetzt**  

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyInsecureConnections",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": "1.3"
        }
      }
    }
  ]
}
```

Sie können den `aws:SecureTransport` [globalen Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) in Ihrer S3-Bucket-Richtlinie verwenden, um zu überprüfen, ob die Anfrage über HTTPS (TLS) gesendet wurde. Im Gegensatz zum vorherigen Beispiel wird bei dieser Bedingung nicht nach einer bestimmten TLS-Version gesucht. Weitere Informationen finden Sie unter [Beschränken des Zugriffs nur auf HTTPS-Anforderungen](example-bucket-policies.md#example-bucket-policies-use-case-HTTP-HTTPS-1).

**Example Bucket-Richtlinie, die HTTPS mithilfe des `aws:SecureTransport` globalen Bedingungsschlüssels durchsetzt**  

```
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
     {
        "Sid": "RestrictToTLSRequestsOnly",		 	 	 
        "Action": "s3:*",
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1",
            "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        ],
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "false"
            }
        },
        "Principal": "*"
    }
  ]
}
```

**Beispielrichtlinie, die auf beiden Schlüsseln und weiteren Beispielen basiert**  
Sie können beide Arten von Bedingungsschlüsseln in den vorherigen Beispielen in einer Richtlinie verwenden. Weitere Informationen und zusätzliche Durchsetzungsansätze finden Sie im AWS Storage-Blog-Artikel [Enforcing encryption in transit with TLS1 .2 or higher with Amazon S3](https://aws.amazon.com/blogs/storage/enforcing-encryption-in-transit-with-tls1-2-or-higher-with-amazon-s3/).

# Verwendung von hybridem Post-Quantum-TLS mit Amazon S3
<a name="UsingEncryptionInTransit.PQ-TLS"></a>

Amazon S3 unterstützt eine hybride Post-Quantum-Schlüsselaustauschoption für das TLS-Netzwerkverschlüsselungsprotokoll. Sie können diese TLS-Option verwenden, wenn Sie Anfragen an Amazon S3 S3-Endpunkte stellen, die TLS 1.3 verwenden. Die klassischen Verschlüsselungssammlungen, die S3 für TLS-Sitzungen unterstützt, machen Brute-Force-Angriffe auf die wichtigsten Austauschmechanismen mit der aktuellen Technologie unmöglich. Wenn jedoch in future ein kryptografisch relevanter Quantencomputer praktikabel wird, werden die klassischen Cipher Suites, die in TLS-Schlüsselaustauschmechanismen verwendet werden, anfällig für diese Angriffe sein. Gegenwärtig ist die Branche auf einen hybriden Post-Quantum-Schlüsselaustausch ausgerichtet, der klassische und Post-Quantum-Elemente kombiniert, um sicherzustellen, dass Ihre TLS-Verbindung mindestens so stark ist wie bei klassischen Chiffrier-Suites. Amazon S3 unterstützt heute hybrides PQ-TLS gemäß der Industriestandardspezifikation IANA

Wenn Sie Anwendungen entwickeln, die auf der langfristigen Vertraulichkeit von Daten basieren, die über eine TLS-Verbindung übertragen werden, sollten Sie einen Plan zur Umstellung auf Post-Quanten-Kryptografie in Betracht ziehen, bevor große Quantencomputer für den Einsatz verfügbar sind. Im Rahmen des Modells der gemeinsamen Verantwortung ermöglicht S3 quantensichere Kryptografie auf unseren Service-Endpunkten. Da Browser und Anwendungen ihrerseits PQ-TLS aktivieren, wird S3 die stärkste Konfiguration wählen, um Daten während der Übertragung zu schützen.

**Unterstützte Endpunkttypen und AWS-Regionen**

Post-Quantum-TLS für Amazon S3 ist in allen AWS-Regionen verfügbar. Eine Liste der jeweiligen AWS-Region S3-Endpunkte finden Sie unter [Amazon Simple Storage Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/s3.html) in der. *Allgemeine Amazon Web Services-Referenz*

**Anmerkung**  
Hybrides Post-Quantum-TLS wird für alle S3-Endpunkte mit Ausnahme von Amazon S3, Multi-Region Access Points und S3 Vectors unterstützt. AWS PrivateLink 

## Verwendung von hybridem Post-Quantum-TLS mit Amazon S3
<a name="pqtls-details"></a>

Sie müssen den Client, der Anfragen an Amazon S3 stellt, so konfigurieren, dass er Hybrid-Post-Quantum-TLS unterstützt. Beachten Sie bei der Einrichtung Ihrer HTTP-Client-Testumgebung oder Produktionsumgebung die folgenden Informationen:

**Verschlüsselung während der Übertragung**

Hybrides Post-Quantum-TLS wird nur für die Verschlüsselung bei der Übertragung verwendet. Dadurch werden Ihre Daten auf dem Weg von Ihrem Client zum S3-Endpunkt geschützt. Diese neue Unterstützung in Kombination mit der serverseitigen Verschlüsselung von Amazon S3, die standardmäßig AES-256 Algorithmen verwendet, bietet Kunden eine quantenresistente Verschlüsselung sowohl während der Übertragung als auch im Ruhezustand. Weitere Informationen zur serverseitigen Verschlüsselung in Amazon S3 finden Sie unter [Schützen von Daten mit serverseitiger](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) Verschlüsselung.

**Unterstützte Clients**

Die Verwendung von Hybrid-Post-Quantum-TLS erfordert die Verwendung eines Clients, der diese Funktionalität unterstützt. AWS SDKs und Tools verfügen über kryptografische Funktionen und Konfigurationen, die sich je nach Sprache und Laufzeit unterscheiden. Weitere Informationen zur Post-Quantum-Kryptografie für bestimmte Tools finden Sie unter Hybrid-Post-Quantum-TLS [aktivieren](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).

**Anmerkung**  
Details zum PQ-TLS-Schlüsselaustausch für Anfragen an Amazon S3 sind nicht in AWS CloudTrail Ereignis- oder S3-Serverzugriffsprotokollen verfügbar.

## Erfahren Sie mehr über Post-Quantum-TLS
<a name="pqtls-see-also"></a>

Weitere Informationen zur Verwendung von Hybrid-Post-Quantum-TLS finden Sie in den folgenden Ressourcen.
+ Weitere Informationen zur Post-Quanten-Kryptografie AWS, einschließlich Links zu Blogbeiträgen und Forschungsarbeiten, finden Sie unter [Post-Quantum-Kryptografie](https://aws.amazon.com/security/post-quantum-cryptography/) für. AWS
+ Weitere Informationen zu s2n-tls finden Sie unter [Introducing s2n-tls, a New Open Source TLS Implementation](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/) und [Using s2n-tls](https://github.com/aws/s2n-tls/tree/main/docs/usage-guide).
+ *Informationen zum AWS Common Runtime HTTP Client finden Sie unter [Konfiguration des AWS CRT-basierten HTTP-Clients im](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) Entwicklerhandbuch.AWS SDK for Java 2.x *
+ Weitere Informationen zum Post-Quantum-Kryptographie-Projekt am National Institute for Standards and Technology (NIST) finden Sie unter [Post-Quantum-Kryptographie](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).
+ [Informationen zur NIST-Standardisierung nach der Quantenkryptografie finden Sie unter Post-Quantum-Kryptografie-Standardisierung von NIST.](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization)

# Konfiguration von hybridem Post-Quantum-TLS für Ihren Kunden
<a name="pqtls-how-to"></a>

Um PQ-TLS mit Amazon S3 zu verwenden, müssen Sie Ihren Client so konfigurieren, dass er Algorithmen für den Schlüsselaustausch nach dem Quantenprozess unterstützt. Stellen Sie außerdem sicher, dass Ihr Kunde den Hybridansatz unterstützt, der traditionelle Kryptografie mit elliptischen Kurven mit Post-Quanten-Algorithmen wie ML-KEM (Key Encapsulation Mechanism) kombiniert. Module-Lattice-Based 

Die spezifische Konfiguration hängt von Ihrer Clientbibliothek und Ihrer Programmiersprache ab. Weitere Informationen finden Sie unter [Hybrid-Post-Quantum-TLS aktivieren](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).

## Beispiel für eine Client-Konfiguration: AWS SDK for Java 2
<a name="UsingEncryptionInTransit.PQ-TLS.configuration.java2-sdk"></a>

Fügen Sie in diesem Verfahren eine Maven-Abhängigkeit für den AWS Common Runtime HTTP Client hinzu. Anschließend konfigurieren Sie einen HTTP-Client, der Post-Quantum-TLS bevorzugt. Erstellen Sie dann einen Amazon S3 S3-Client, der den HTTP-Client verwendet.

**Anmerkung**  
Der AWS Common Runtime HTTP Client, der als Vorversion verfügbar war, wurde im Februar 2023 allgemein verfügbar. In dieser Version werden die `tlsCipherPreference`-Klasse und der `tlsCipherPreference()`-Methodenparameter durch den `postQuantumTlsEnabled()`-Methodenparameter ersetzt. Wenn Sie dieses Beispiel in der Vorversion verwendet haben, müssen Sie Ihren Code aktualisieren.

1. Fügen Sie den AWS Common Runtime-Client zu Ihren Maven-Abhängigkeiten hinzu. Wir empfehlen, die neueste verfügbare Version zu verwenden. 

   Diese Anweisung fügt beispielsweise eine Version `2.30.22` des AWS Common Runtime-Clients zu Ihren Maven-Abhängigkeiten hinzu. 

   ```
   <dependency>
       <groupId>software.amazon.awssdk</groupId>
       <artifactId>aws-crt-client</artifactId>
       <version>2.30.22</version>
   </dependency>
   ```

1. Um die hybriden Post-Quantum-Cipher-Suites zu aktivieren, fügen Sie sie AWS SDK for Java 2.x zu Ihrem Projekt hinzu und initialisieren Sie sie. Aktivieren Sie dann die hybriden Post-Quantum-Cipher-Suites auf Ihrem HTTP-Client, wie im folgenden Beispiel gezeigt.

   Dieser Code verwendet den `postQuantumTlsEnabled()` Methodenparameter, um einen [AWS gemeinsamen Runtime-HTTP-Client](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) zu konfigurieren, der die empfohlene hybride Post-Quantum-Verschlüsselungssuite ECDH with bevorzugt. ML-KEM Anschließend verwendet es den konfigurierten HTTP-Client, um eine Instance des asynchronen Amazon S3 S3-Clients zu erstellen. [https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html) Nachdem dieser Code abgeschlossen ist, verwenden alle [Amazon S3 S3-API-Anfragen](https://docs.aws.amazon.com/AmazonS3/latest/API/) auf der `S3AsyncClient` Instance hybrides Post-Quantum-TLS.
**Wichtig**  
Ab Version 2.35.11 müssen Anrufer nicht mehr festlegen, ob Hybrid-Post-Quantum-TLS `.postQuantumTlsEnabled(true)` für Ihren Client aktiviert werden soll. Alle Versionen, die neuer als v2.35.11 sind, aktivieren standardmäßig Post-Quantum-TLS.

   ```
   // Configure HTTP client
   SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
             .postQuantumTlsEnabled(true)
             .build();
   
   // Create the Amazon S3 async client
   S3AsyncClient s3Async = S3AsyncClient.builder()
            .httpClient(awsCrtHttpClient)
            .build();
   ```

1. Testen Sie Ihre Amazon S3 S3-Anrufe mit hybridem Post-Quantum-TLS.

   Wenn Sie Amazon S3 S3-API-Operationen auf dem konfigurierten Amazon S3 S3-Client aufrufen, werden Ihre Aufrufe mithilfe von Hybrid-Post-Quantum-TLS an den Amazon S3 S3-Endpunkt übertragen. Um Ihre Konfiguration zu testen, rufen Sie eine Amazon S3 S3-API auf, z. `[ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)` B.

   ```
   ListBucketsResponse reponse = s3Async.listBuckets();
   ```

### Testen Sie Ihre hybride Post-Quantum-TLS-Konfiguration
<a name="pqtls-testing"></a>

Erwägen Sie, die folgenden Tests mit Hybrid-Verschlüsselungssammlungen für Ihre Anwendungen durchzuführen, die Amazon S3 aufrufen.
+ Führen Sie Belastungstests und Benchmarks aus. Die Hybrid-Cipher-Suites funktionieren anders als herkömmliche Schlüsselaustauschalgorithmen. Möglicherweise müssen Sie Ihre Verbindungszeitüberschreitungen anpassen, um längere Handshake-Zeiten zu ermöglichen. Wenn Sie innerhalb einer AWS Lambda Funktion arbeiten, verlängern Sie die Einstellung für das Ausführungs-Timeout.
+ Versuchen Sie, eine Verbindung von verschiedenen Standorten herzustellen. Abhängig vom Netzwerkpfad Ihrer Anforderung können Sie feststellen, dass Zwischenhosts, Proxys oder Firewalls mit Deep Packet Inspection (DPI) die Anforderung blockieren. Dies kann auf die Verwendung der neuen Cipher Suites im [ClientHello](https://tools.ietf.org/html/rfc5246#section-7.4.1.2)Teil des TLS-Handshakes oder auf die größeren Schlüsselaustauschnachrichten zurückzuführen sein. Wenn Sie Probleme bei der Behebung dieser Probleme haben, arbeiten Sie mit Ihrem Sicherheitsteam oder IT-Administratoren zusammen, um die entsprechende Konfiguration zu aktualisieren und die Blockierung der neuen TLS-Cipher-Suites aufzuheben.