Verwenden von Batch-Operationen zur Aktivierung von S3-Bucket-Keys für SSE - KMS - Amazon Simple Storage Service
Überlegungen zur Verwendung von S3 Batch Operations zur Verschlüsselung von Objekten mit aktivierten S3-Bucket-KeysVoraussetzungenSchritt 1: Abrufen der Liste von Objekten mithilfe von Amazon S3 InventorySchritt 2: Filtern Sie Ihre Objektliste mit S3 SelectSchritt 3: Einrichten und Ausführen des Auftrags für S3-BatchVorgänge

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Batch-Operationen zur Aktivierung von S3-Bucket-Keys für SSE - KMS

S3-Bucket-Keys reduzieren die Kosten der serverseitigen Verschlüsselung mit AWS Key Management Service (AWS KMS) (SSE-KMS), indem sie den Anforderungsverkehr von Amazon S3 zu AWS KMS verringern. Weitere Informationen erhalten Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 Bucket Keys und Konfigurieren Sie Ihren Bucket so, dass er einen S3-Bucket-Key mit SSE - KMS für neue Objekte verwendet. Wenn Sie einen CopyObject Vorgang mithilfe von, oder AWS CLI ausführen REST API AWS SDKs, können Sie einen S3-Bucket-Key auf Objektebene aktivieren oder deaktivieren, indem Sie den x-amz-server-side-encryption-bucket-key-enabled Anforderungsheader mit dem false Wert true oder hinzufügen.

Wenn Sie einen S3-Bucket Key für ein Objekt mithilfe eines CopyObject Vorgangs konfigurieren, aktualisiert Amazon S3 nur die Einstellungen für dieses Objekt. Die S3-Bucket Key-Einstellungen für den Ziel-Bucket ändern sich nicht. Wenn Sie eine CopyObject Anfrage für ein AWS KMS verschlüsseltes Objekt an einen Bucket senden, für den S3 Bucket Keys aktiviert sind, verwendet Ihr Vorgang auf Objektebene automatisch S3 Bucket Keys, sofern Sie die Schlüssel nicht im Anforderungsheader deaktivieren. Wenn Sie keinen S3-Bucket-Schlüssel für Ihr Objekt angeben, wendet Amazon S3 die S3-Bucket-Schlüssel-Einstellungen für den Ziel-Bucket auf das Objekt an.

Um Ihre vorhandenen Amazon S3 S3-Objekte zu verschlüsseln, können Sie S3 Batch Operations verwenden. Mit der Operation Batch Operations Copy können Sie vorhandenen nicht verschlüsselte Objekte kopieren und die neuen verschlüsselten Objekte in denselben Bucket schreiben. Weitere Informationen finden Sie im AWS Storage-Blog unter Objekte mit Amazon S3 Batch Operations verschlüsseln.

Im folgenden Beispiel verwenden Sie den Vorgang Batch Operations Copy, um S3 Bucket Keys für bestehende Objekte zu aktivieren. Weitere Informationen finden Sie unter Konfigurieren eines S3-Bucket-Schlüssels auf Objektebene .

Überlegungen zur Verwendung von S3 Batch Operations zur Verschlüsselung von Objekten mit aktivierten S3-Bucket-Keys

Beachten Sie die folgenden Probleme, wenn Sie S3 Batch Operations verwenden, um Objekte mit aktivierten S3-Bucket-Keys zu verschlüsseln:

  • Die Kosten für Aufträge, Objekte und Anforderungen in S3 Batch Operations werden Ihnen zusätzlich zu allen mit der Operation, die S3 Batch Operations in Ihrem Namen ausführt, verbundenen Kosten berechnet, einschließlich Datenübertragungen, Anforderungen und anderen Gebühren. Weitere Informationen finden Sie unter Amazon S3 – Preise.

  • Wenn Sie einen versionierten Bucket verwenden, erstellt jeder ausgeführte S3-Batchoperations-Auftrag neue verschlüsselte Versionen Ihrer Objekte. Darüber hinaus werden die vorherigen Versionen ohne konfigurierten S3-Bucket-Schlüssel beibehalten. Richten Sie zum Löschen der alten Versionen eine S3-Lebenszyklus-Ablauf-Richtlinie für nicht aktuelle Versionen ein, wie unter Elemente der Lebenszyklus-Konfiguration beschrieben.

  • Mit dem Kopiervorgang werden neue Objekte mit neuen Erstellungsdaten erstellt, die sich auf Lebenszyklus-Aktionen wie die Archivierung auswirken können. Wenn Sie alle Objekte in Ihrem Bucket kopieren, weisen alle neuen Kopien identische oder ähnliche Erstellungsdaten auf. Um diese Objekte weiter zu identifizieren und unterschiedliche Lebenszyklus-Regeln für verschiedene Daten-Teilmengen zu erstellen, sollten Sie Objekt-Markierungen verwenden.

Voraussetzungen

Bevor Sie Ihre Objekte für die Verwendung eines S3-Bucket Keys konfigurieren, sollten Sie Folgendes überprüfenÄnderungen, die Sie vor dem Aktivieren eines S3-Bucket-Schlüssels beachten sollten.

Um dieses Beispiel verwenden zu können, benötigen Sie einen AWS-Konto und mindestens einen S3-Bucket für Ihre Arbeitsdateien und verschlüsselten Ergebnisse. Möglicherweise finden Sie auch vieles aus der vorhandenen Dokumentation zu S3 Batch Operations nützlich, einschließlich der folgenden Themen:

Schritt 1: Abrufen der Liste von Objekten mithilfe von Amazon S3 Inventory

Geben Sie zunächst den S3-Bucket an, der die zu verschlüsselnden Objekte enthält, und rufen Sie eine Liste des Inhalts ab. Ein Amazon S3-Bestandsbericht ist die bequemste und kostengünstigste Methode, dies zu tun. Der Bericht enthält die Liste der Objekte in einem Bucket zusammen mit den zugehörigen Metadaten. In diesem Schritt ist der Quell-Bucket der inventarisierte Bucket und der Ziel-Bucket der Bucket, in dem Sie die Inventarberichtsdatei speichern. Weitere Informationen zu Quell- und Ziel-Buckets für Amazon S3 Inventory finden Sie unter Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory.

Die einfachste Möglichkeit zum Einrichten eines Bestands ist mit der AWS Management Console. Sie können aber auch RESTAPI, AWS Command Line Interface (AWS CLI) oder verwenden. AWS SDKs Bevor Sie diese Schritte ausführen, müssen Sie sich bei der Konsole anmelden und die Amazon S3 S3-Konsole unter öffnen https://console.aws.amazon.com/s3/. Wenn Fehler mit Berechtigung verweigert auftreten, fügen Sie eine Bucket-Richtlinie zu Ihrem Ziel-Bucket hinzu. Weitere Informationen finden Sie unter Gewähren von Berechtigungen für S3 Inventory und S3 Analytics.

Abrufen der Liste von Objekten mithilfe von S3 Inventory

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets und wählen Sie einen Bucket aus, der zu verschlüsselnde Objekte enthält.

  3. Navigieren Sie im Tab Verwaltung zu dem Abschnitt Inventory configurationes (Bestands-Konfigurationen), und wählen Sie Create inventory configuration (Bestands-Konfiguration erstellen).

  4. Geben Sie Ihrem neuen Bestand einen Namen, geben Sie den Namen des Ziel-S3-Buckets ein und erstellen Sie optional ein Zielpräfix für Amazon S3, um Objekte in diesem Bucket zuzuweisen.

  5. Wählen Sie als Ausgabeformat. CSV

  6. (Optional) Wählen Sie im Abschnitt Zusätzliche Felder – optional die Option Verschlüsselung und alle anderen für Sie interessanten Listenfelder aus. Legen Sie die Häufigkeit für die Berichterstattung auf Daily (Täglich), damit der erste Bericht früher an Ihren Bucket geliefert wird.

  7. Wählen Sie Save (Speichern) aus, um die Konfiguration zu speichern.

Amazon S3 benötigt bis zu 48 Stunden, den ersten Bericht bereitzustellen. Kehren Sie daher zurück, wenn der erste Bericht eingeht. Nachdem Sie Ihren ersten Bericht erhalten haben, fahren Sie mit dem nächsten Schritt fort, um den Inhalt Ihres S3-Inventarberichts zu filtern. Wenn Sie keine Bestandsberichte für diesen Bucket mehr erhalten möchten, löschen Sie Ihre S3-Bestands-Konfiguration. Andernfalls liefert Amazon S3 weiterhin Berichte nach einem täglichen oder wöchentlichen Zeitplan.

Eine Inventarliste ist keine einheitliche point-in-time Ansicht aller Objekte. Bestandslisten sind fortlaufende Snapshots von Bucket-Elementen, die letztendlich konsistent sind (d. h. die Liste enthält möglicherweise keine vor kurzem hinzugefügten oder gelöschten Objekte). Die Kombination von S3 Inventory und S3-Batch-Vorgänge funktioniert am besten, wenn Sie mit statischen Objekten oder mit einem Objektsatz arbeiten, den Sie vor zwei oder mehr Tagen erstellt haben. Um mit neueren Daten zu arbeiten, verwenden Sie den ListObjectsV2(GETBucket-) API Operation, um Ihre Objektliste manuell zu erstellen. Falls erforderlich, wiederholen Sie den Vorgang für die nächsten Tage oder bis Ihr Inventarbericht den gewünschten Status für alle Objekte anzeigt.

Schritt 2: Filtern Sie Ihre Objektliste mit S3 Select

Nachdem Sie Ihren S3-Inventarbericht erhalten haben, können Sie den Inhalt des Berichts so filtern, dass nur die Objekte aufgelistet werden, die bei aktivierten S3-Bucket-Keys nicht verschlüsselt sind. Wenn Sie möchten, dass alle Objekte Ihres Buckets mit aktivierten S3-Bucket-Keys verschlüsselt werden, können Sie diesen Schritt ignorieren. Wenn Sie Ihren S3-Inventarbericht zu diesem Zeitpunkt filtern, sparen Sie jedoch Zeit und Kosten für die erneute Verschlüsselung von Objekten, die Sie zuvor mit aktivierten S3-Bucket-Keys verschlüsselt haben.

In den folgenden Schritten wird zwar gezeigt, wie Sie mithilfe von Amazon S3 Select filtern, Sie können jedoch auch Amazon Athena verwenden. Um zu entscheiden, welches Tool verwendet werden soll, schauen Sie sich die manifest.json-Datei Ihres S3-Bestandsberichts an. Diese Datei listet die Anzahl der Datendateien auf, die diesem Bericht zugeordnet sind. Wenn die Zahl groß ist, verwenden Sie Amazon Athena, da es über mehrere S3-Objekte läuft, während S3 Select für jeweils ein Objekt funktioniert. Weitere Informationen zur gemeinsamen Verwendung von Amazon S3 und Athena finden Sie unter Abfragen von Amazon S3 Inventory mit Amazon Athena und „Verwenden von Athena“ im AWS Speicher-Blogbeitrag Verschlüsseln von Objekten mit Amazon S3 Batch Operations.

So filtern Sie Ihren S3-Inventarbericht mithilfe von S3 Select

  1. Öffnen Sie die manifest.json Datei aus Ihrem Inventarbericht und sehen Sie sich den fileSchema Abschnitt der anJSON. Dadurch wird die Abfrage informiert, die Sie für die Daten ausführen.

    Im Folgenden finden Sie JSON eine manifest.json Beispieldatei für ein Inventar im CSV -Format in einem Bucket mit aktivierter Versionierung. Je nachdem, wie Sie Ihren Bestandsbericht konfiguriert haben, sieht Ihr Manifest möglicherweise anders aus.

      {
    "sourceBucket": "batchoperationsdemo",
    "destinationBucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
    "version": "2021-05-22",
    "creationTimestamp": "1558656000000",
    "fileFormat": "CSV",
    "fileSchema": "Bucket, Key, VersionId, IsLatest, IsDeleteMarker, BucketKeyStatus",
    "files": [
      {
        "key": "demoinv/batchoperationsdemo/DemoInventory/data/009a40e4-f053-4c16-8c75-6100f8892202.csv.gz",
        "size": 72691,
        "MD5checksum": "c24c831717a099f0ebe4a9d1c5d3935c"
      }
    ]
  }

    Wenn die Versionierung für den Bucket nicht aktiviert ist oder wenn Sie den Bericht für die neuesten Versionen ausführen möchten, ist die fileSchema Bucket, Key, und BucketKeyStatus.

    Wenn die Versionsverwaltung aktiviert ist, beinhaltet das fileSchema je nach der Einrichtung des Bestandsberichts möglicherweise Folgendes: Bucket, Key, VersionId, IsLatest, IsDeleteMarker, BucketKeyStatus. Achten Sie also auf die Spalten 1, 2, 3 und 6, wenn Sie Ihre Abfrage ausführen.

    S3 Batch Operations benötigt den Bucket, den Schlüssel und die Versions-ID als Eingabe, um den Auftrag auszuführen, zusätzlich zu dem Feld, nach dem gesucht werden soll, nämlich BucketKeyStatus. Sie benötigen das VersionID Feld nicht, aber es hilft, das Feld zu spezifizieren, wenn Sie mit einem versionierten Bucket arbeiten. VersionID Weitere Informationen finden Sie unter Arbeiten mit Objekten in einem versioning-fähigen Bucket.

  2. Suchen Sie die Datendateien für den Bestandsbericht. Das manifest.json-Objekt listet die Datendateien unter files (Dateien) auf.

  3. Klicken Sie nach dem Suchen und Auswählen der Datendatei in der S3-Konsole auf Actions (Aktionen) und wählen Sie dann Query with S3 Select (Abfragen mit S3 Select).

  4. Lassen Sie die Voreinstellung CSV, das Komma und die GZIPFelder ausgewählt und wählen Sie Weiter.

  5. Um das Format Ihres Bestands zu überprüfen, bevor Sie fortfahren, wählen Sie Show file preview (Dateivorschau anzeigen).

  6. Geben Sie die Spalten, auf die verwiesen werden soll, in das SQL Ausdrucksfeld ein und wählen Sie „Ausführen SQL“. Der folgende Ausdruck gibt die Spalten 1 bis 3 für alle Objekte zurück, die keinen S3-Bucket-Schlüssel konfiguriert haben.

    select s._1, s._2, s._3 from s3object s where s._6 = 'DISABLED'

    Nachfolgend sehen Sie einige Beispielergebnisse.

          batchoperationsdemo,0100059%7Ethumb.jpg,lsrtIxksLu0R0ZkYPL.LhgD5caTYn6vu
      batchoperationsdemo,0100074%7Ethumb.jpg,sd2M60g6Fdazoi6D5kNARIE7KzUibmHR
      batchoperationsdemo,0100075%7Ethumb.jpg,TLYESLnl1mXD5c4BwiOIinqFrktddkoL
      batchoperationsdemo,0200147%7Ethumb.jpg,amufzfMi_fEw0Rs99rxR_HrDFlE.l3Y0
      batchoperationsdemo,0301420%7Ethumb.jpg,9qGU2SEscL.C.c_sK89trmXYIwooABSh
      batchoperationsdemo,0401524%7Ethumb.jpg,ORnEWNuB1QhHrrYAGFsZhbyvEYJ3DUor
      batchoperationsdemo,200907200065HQ%7Ethumb.jpg,d8LgvIVjbDR5mUVwW6pu9ahTfReyn5V4
      batchoperationsdemo,200907200076HQ%7Ethumb.jpg,XUT25d7.gK40u_GmnupdaZg3BVx2jN40
      batchoperationsdemo,201103190002HQ%7Ethumb.jpg,z.2sVRh0myqVi0BuIrngWlsRPQdb7qOS

  7. Laden Sie die Ergebnisse herunter, speichern Sie sie in einem CSV Format und laden Sie sie als Objektliste für den S3 Batch Operations-Job auf Amazon S3 hoch.

  8. Wenn Sie mehrere Manifestdateien haben, führen Sie auch auf diesen Query with S3 Select (Abfragen mit S3 Select) aus. Abhängig von der Größe der Ergebnisse können Sie die Listen kombinieren und einen einzelnen Auftrag für S3-Batch-Vorgänge ausführen oder jede Liste als separater Auftrag ausführen. Um die Anzahl der auszuführenden Jobs zu bestimmen, sollten Sie den Preis für die Ausführung der einzelnen S3 Batch Operations-Jobs berücksichtigen.

Schritt 3: Einrichten und Ausführen des Auftrags für S3-BatchVorgänge

Nachdem Sie Ihre gefilterten CSV Listen mit S3-Objekten erstellt haben, können Sie mit dem S3-Batch-Operations-Job beginnen, um die Objekte mit aktivierten S3-Bucket-Keys zu verschlüsseln.

Ein Auftrag bezieht sich kollektiv auf die Liste (Manifeste) der bereitgestellten Objekte, die durchgeführte Operation und die angegebenen Parameter. Die einfachste Methode, diese Gruppe von Objekten mit aktivierten S3-Bucket Keys zu verschlüsseln, besteht darin, den Kopiervorgang zu verwenden und dasselbe Zielpräfix wie die im Manifest aufgelisteten Objekte anzugeben. In einem Bucket ohne Version überschreibt dieser Vorgang die vorhandenen Objekte. In einem Bucket mit aktivierter Versionierung erstellt dieser Vorgang eine neuere, verschlüsselte Version der Objekte.

Geben Sie beim Kopieren der Objekte an, dass Amazon S3 die Objekte mit SSE - KMS Verschlüsselung verschlüsseln soll. Bei diesem Job werden die Objekte kopiert, sodass für alle Ihre Objekte nach Abschluss ein aktualisiertes Erstellungsdatum angezeigt wird, unabhängig davon, wann Sie sie ursprünglich zu Amazon S3 hinzugefügt haben. Geben Sie auch die anderen Eigenschaften für Ihre Gruppe von Objekten als Teil des S3 Batchoperations-Auftrags an, einschließlich Objekt-Markierungen und Speicherklasse.

Richten Sie Ihre IAM Richtlinie ein

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich Richtlinie und dann Richtlinie erstellen aus.

  3. Wählen Sie die JSONRegisterkarte aus. Wählen Sie Richtlinie bearbeiten und fügen Sie die IAM Beispielrichtlinie hinzu, die im folgenden Codeblock angezeigt wird.

    Nachdem Sie das Richtlinienbeispiel in Ihre IAMKonsole kopiert haben, ersetzen Sie Folgendes:

    1. amzn-s3-demo-source-bucketErsetzen Sie es durch den Namen Ihres Quell-Buckets, aus dem Objekte kopiert werden sollen.

    2. amzn-s3-demo-destination-bucketErsetzen Sie ihn durch den Namen Ihres Ziel-Buckets, in den Objekte kopiert werden sollen.

    3. Ersetzen Sie amzn-s3-demo-manifest-bucket/manifest-key durch den Namen Ihres Manifest-Objekts.

    4. amzn-s3-demo-completion-report-bucketErsetzen Sie ihn durch den Namen des Buckets, in dem Sie Ihre Abschlussberichte speichern möchten.

      {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "CopyObjectsToEncrypt",
        "Effect": "Allow",
        "Action": [
          "s3:PutObject",
          "s3:PutObjectTagging",
          "s3:PutObjectAcl",
          "s3:PutObjectVersionTagging",
          "s3:PutObjectVersionAcl",
          "s3:GetObject",
          "s3:GetObjectAcl",
          "s3:GetObjectTagging",
          "s3:GetObjectVersion",
          "s3:GetObjectVersionAcl",
          "s3:GetObjectVersionTagging"
        ],
        "Resource": [
          "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
          "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        ]
      },
      {
        "Sid": "ReadManifest",
        "Effect": "Allow",
        "Action": [
          "s3:GetObject",
          "s3:GetObjectVersion"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-manifest-bucket/manifest-key"
      },
      {
        "Sid": "WriteReport",
        "Effect": "Allow",
        "Action": [
          "s3:PutObject"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
      }
    ]
  }

  4. Wählen Sie Next: Markierungen (Weiter: Markierungen) aus.

  5. Wählen Sie alle gewünschten Markierungen aus (optional) und wählen Sie Next: Review (Weiter: Überprüfung).

  6. Geben Sie einen Namen und optional eine Beschreibung für die Richtlinie an und wählen Sie dann Create policy (Richtlinie erstellen) aus.

  7. Wählen Sie Review policy (Richtlinie überprüfen) aus und klicken Sie anschließend auf Save changes (Änderungen speichern).

  8. Nachdem Ihre S3-Richtlinie für Batch Operations nun abgeschlossen ist, kehren Sie über die Konsole zur Seite IAM Richtlinien zurück. Markieren Sie den Richtliniennamen, klicken Sie auf die Schaltfläche links neben dem Richtliniennamen und wählen Sie Policy actions (Richtlinienaktionen), und dann Attach (Hinzufügen).

    Um die neu erstellte Richtlinie an eine IAM Rolle anzuhängen, wählen Sie die entsprechenden Benutzer, Gruppen oder Rollen in Ihrem Konto aus und wählen Sie Richtlinie anhängen. Dadurch kehren Sie zur IAM Konsole zurück.

Richten Sie Ihre Batch IAM Operations-Rolle ein

  1. Wählen Sie in der IAMKonsole im Navigationsbereich Rollen und dann Rolle erstellen aus.

  2. Wählen Sie AWS-Service, S3 und S3 Batch Operations. Wählen Sie dann Next: Permissions.

  3. Beginnen Sie mit der Eingabe des Namens der IAM Richtlinie, die Sie gerade erstellt haben. Aktivieren Sie das Kontrollkästchen nach dem Richtliniennamen, wenn es angezeigt wird, und wählen Sie Next: Markierungen (Weiter: Markierungen).

  4. (Optional) Fügen Sie Markierungen hinzu, oder lassen Sie die Schlüssel- und Wertefelder für diese Übung leer. Klicken Sie auf Next: Review (Weiter: Prüfen).

  5. Geben Sie einen Rollennamen ein, akzeptieren Sie die Standard-Beschreibung oder fügen Sie eine eigene hinzu. Wählen Sie Create role aus.

  6. Stellen Sie sicher, dass der Benutzer, der den Auftrag erstellt, über die Berechtigungen im folgenden Beispiel verfügt.

    account-idErsetzen Sie es durch Ihre AWS-Konto ID und IAM-role-name durch den Namen, den Sie für die IAM Rolle verwenden möchten, die Sie später im Schritt zur Auftragserstellung für Batch Operations erstellen werden. Weitere Informationen finden Sie unter Gewähren von Berechtigungen für Batchoperationen.

                {
            "Sid": "AddIamPermissions",
            "Effect": "Allow",
            "Action": [
            "iam:GetRole",
            "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::account-id:role/IAM-role-name"
            }

Aktivieren Sie S3 Bucket Keys für einen vorhandenen Bucket

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Buckets den Bucket aus, für den Sie einen S3-Bucket-Schlüssel aktivieren möchten.

  3. Wählen Sie Properties (Eigenschaften).

  4. Wählen Sie unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.

  5. Unter Verschlüsselungstyp können Sie zwischen von Amazon S3 verwalteten Schlüsseln (SSE-S3) und AWS Key Management Service Schlüssel (SSE-KMS) wählen.

  6. Wenn Sie unter AWS Key Management Service Schlüssel (SSE-KMS) ausgewählt haben AWS KMS key, können Sie den AWS KMS Schlüssel über eine der folgenden Optionen angeben.

    • Um aus einer Liste verfügbarer KMS Schlüssel auszuwählen, wählen Sie Aus Ihren AWS KMS Schlüsseln auswählen. Wählen Sie aus der Liste der verfügbaren Schlüssel einen symmetrischen KMS Verschlüsselungsschlüssel aus, der sich in derselben Region wie Ihr Bucket befindet. Sowohl der AWS verwaltete Schlüssel (aws/s3) als auch Ihre vom Kunden verwalteten Schlüssel werden in der Liste angezeigt.

    • Um den KMS Schlüssel einzugebenARN, wählen Sie AWS KMS Schlüssel ARN eingeben und geben Sie dann Ihren KMS Schlüssel ARN in das angezeigte Feld ein.

    • Um einen neuen, vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie KMSSchlüssel erstellen aus.

  7. Unter Bucket Key (Bucket-Schlüssel), wählen Sie Enable (Aktivieren) und dann Save changes (Änderungen speichern) aus.

Da nun ein S3-Bucket-Key auf Bucket-Ebene aktiviert ist, übernehmen Objekte, die in diesen Bucket hochgeladen, geändert oder kopiert werden, standardmäßig diese Verschlüsselungskonfiguration. Dies umfasst Objekte, die mit Amazon S3 Batch Operations kopiert wurden.

Erstellen eines Auftrags für S3-BatchVorgänge

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich die Option Batch Operations (Batch-Vorgänge) und dann Create Job (Auftrag erstellen).

  3. Wählen Sie die Region aus, in der Sie Ihre Objekte speichern, und wählen Sie CSVden Manifesttyp aus.

  4. Geben Sie den Pfad ein oder navigieren Sie zu der CSV Manifestdatei, die Sie zuvor aus den Ergebnissen von S3 Select (oder Athena) erstellt haben. Wenn Ihr Manifest eine Version enthältIDs, wählen Sie dieses Feld aus. Wählen Sie Next.

  5. Wählen Sie die Copy-Operation und wählen Sie den Ziel-Bucket für den Kopiervorgang aus. Sie können serverseitige Verschlüsselung deaktiviert lassen. Solange S3 Bucket-Schlüssel für den Ziel-Bucket aktiviert ist, wendet der Kopiervorgang S3 Bucket-Schlüssel auf den Ziel-Bucket an.

  6. (Optional) Wählen Sie nach Bedarf eine Speicherklasse und die anderen Parameter aus. Die in diesem Schritt angegebenen Parameter gelten für alle Vorgänge, die an den im Manifest aufgeführten Objekten ausgeführt werden. Wählen Sie Weiter.

  7. Gehen Sie zum Konfigurieren der serverseitigen Verschlüsselung wie folgt vor:

    1. Wählen Sie unter Serverseitige Verschlüsselung eine der folgenden Optionen aus:

      • Um die Bucket-Einstellungen für die serverseitige Standardverschlüsselung von Objekten beizubehalten, wenn sie in Amazon S3 gespeichert werden, wählen Sie Keinen Verschlüsselungsschlüssel angeben aus. Solange S3-Bucket-Schlüssel für den Ziel-Bucket aktiviert sind, wendet der Kopiervorgang S3-Bucket-Schlüssel auf den Ziel-Bucket an.

        Anmerkung

        Wenn die Bucket-Richtlinie für das angegebene Ziel vorschreibt, dass Objekte verschlüsselt werden müssen, bevor sie in Amazon S3 gespeichert werden, müssen Sie einen Verschlüsselungsschlüssel angeben. Andernfalls schlägt das Kopieren von Objekten in das Ziel fehl.

      • Um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden, wählen Sie Verschlüsselungsschlüssel angeben aus.

    2. Wenn Sie unter Verschlüsselungseinstellungen die Option Verschlüsselungsschlüssel angeben auswählen, müssen Sie entweder Verwenden von Ziel-Bucket-Einstellungen für die Standardverschlüsselung oder Überschreiben der Ziel-Bucket-Einstellungen für die Standardverschlüsselung auswählen.

    3. Wenn Sie Überschreiben der Ziel-Bucket-Einstellungen für die Standardverschlüsselung auswählen, müssen Sie die folgenden Verschlüsselungseinstellungen konfigurieren.

      1. Unter Verschlüsselungstyp müssen Sie entweder von Amazon S3 verwaltete Schlüssel (SSE-S3) oder AWS Key Management Service Schlüssel (SSE-KMS) auswählen. SSE-S3 verwendet eine der stärksten Blockchiffren — den 256-Bit-Advanced Encryption Standard (-256), um jedes Objekt zu verschlüsseln. AES SSE- bietet Ihnen mehr Kontrolle KMS über Ihren Schlüssel. Weitere Informationen erhalten Sie unter Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden (SSE-S3) und Serverseitige Verschlüsselung mit AWS KMS Schlüsseln verwenden (SSE-) KMS.

      2. Wenn Sie den AWS Key Management Service Schlüssel (SSE-KMS) unter wählen AWS KMS key, können Sie Ihren AWS KMS key mithilfe einer der folgenden Optionen angeben.

        • Um aus einer Liste verfügbarer KMS Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem und wählen Sie dann einen symmetrischen KMS Verschlüsselungsschlüssel aus AWS KMS keys, der sich in derselben Region wie Ihr Bucket befindet. Sowohl der AWS verwaltete Schlüssel (aws/s3) als auch Ihre vom Kunden verwalteten Schlüssel werden in der Liste angezeigt.

        • Um den KMS Schlüssel einzugebenARN, wählen Sie AWS KMS Schlüssel ARN eingeben und geben Sie Ihren KMS Schlüssel ARN in das angezeigte Feld ein.

        • Um einen neuen, vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie KMS Schlüssel erstellen.

      3. Wählen Sie unter Bucket Key (Bucket-Schlüssel) die Option Enable (Aktivieren). Die Copy-Operation wendet einen S3-Bucket-Schlüssel auf den Ziel-Bucket an.

  8. Geben Sie Ihrem Job eine Beschreibung (oder behalten Sie die Standardeinstellung bei), legen Sie die Prioritätsstufe fest, wählen Sie einen Berichtstyp aus und geben Sie den Pfad zum Ziel des Fertigstellungsberichts an.

  9. Stellen Sie sicher, dass Sie im Abschnitt Berechtigungen die IAM Rolle Batch Operations auswählen, die Sie zuvor definiert haben. Wählen Sie Next.

  10. Überprüfen Sie die Einstellungen unter Review (Überprüfen). Wenn Sie Änderungen vornehmen müssen, wählen Sie Previous (Vorherige) aus. Nachdem Sie die Einstellungen für Batch-Vorgänge bestätigt haben, wählen Sie Create Job (Auftrag erstellen).

    Weitere Informationen finden Sie unter Erstellen eines S3-Batch-Vorgangsauftrags.

Ausführen eines Auftrags für S3-BatchVorgänge

Der Setup-Assistent kehrt Sie automatisch zum Abschnitt S3-Batch-Vorgänge der Amazon S3-Konsole zurück. Ihr neuer Auftrag wechselt vom New-Zustand in den Preparing-Zustand, da S3 den Prozess beginnt. Während des Preparing-Zustands liest S3 das Manifest des Auftrags, prüft es auf Fehler und berechnet die Anzahl der Objekte.

  1. Klicken Sie auf die Aktualisierungs-Schaltfläche in der Amazon S3-Konsole, um den Fortschritt zu überprüfen. Abhängig von der Größe des Manifests kann das Lesen Minuten oder Stunden dauern.

  2. Nachdem S3 das Manifest des Auftrags gelesen hat, wechselt der Auftrag in den Zustand Awaiting your confirmation (Wartet auf Ihre Bestätigung). Klicken Sie auf die Options-Schaltfläche links neben der Auftrags-ID und wählen Sie Run job (Auftrag ausführen).

  3. Wählen Sie die Einstellungen für den Auftrag aus und wählen Sie in der unteren rechten Ecke des Fensters Run job (Auftrag ausführen) aus.

    Nachdem der Auftrag ausgeführt wird, können Sie die Schaltfläche Aktualisieren auswählen, um den Fortschritt über die Dashboard-Ansicht der Konsole zu überprüfen oder den bestimmten Auftrag auszuwählen.

  4. Wenn der Auftrag abgeschlossen wurde, können Sie die Successful (erfolgreichen) und Failed (fehlgeschlagenen) Objektzählungen anzeigen, um zu bestätigen, dass alles wie erwartet ausgeführt wurde. Wenn Sie Auftragsberichte aktiviert haben, überprüfen Sie Ihren Auftragsbericht auf die genaue Ursache für fehlgeschlagene Vorgänge.

    Sie können diese Schritte auch mithilfe von AWS CLI AWS SDKs, oder Amazon S3 ausführen RESTAPI. Weitere Informationen zum Nachverfolgen von Auftragsstatus- und Abschlussberichten finden Sie unter Verfolgen von Auftragsstatus- und Abschluss.