Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aktualisieren Sie die Objektverschlüsselung
Sie können Amazon S3 Batch Operations verwenden, um umfangreiche Batch-Vorgänge für Amazon-S3-Objekte durchzuführen. Der Vorgang Batch [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_UpdateObjectEncryptionOperation.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_UpdateObjectEncryptionOperation.html)Operations aktualisiert den serverseitigen Verschlüsselungstyp von mehr als einem Amazon S3 S3-Objekt mit einer einzigen Anfrage. Ein einziger `UpdateObjectEncryption` Operationsauftrag kann ein Manifest mit bis zu 20 Milliarden Objekten unterstützen.
Der `UpdateObjectEncryption` Vorgang wird für alle Amazon S3 S3-Speicherklassen unterstützt, die von Allzweck-Buckets unterstützt werden. Sie können den `UpdateObjectEncryption` Vorgang verwenden, um verschlüsselte Objekte von der [serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)](https://docs.aws.amazon.com//AmazonS3/latest/userguide/UsingServerSideEncryption.html) zu [AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS)](https://docs.aws.amazon.com//AmazonS3/latest/userguide/UsingKMSEncryption.html) zu ändern oder S3-Bucket Keys anzuwenden. Sie können den `UpdateObjectEncryption` Vorgang auch verwenden, um den vom Kunden verwalteten KMS-Schlüssel, der zur Verschlüsselung Ihrer Daten verwendet wird, zu ändern, sodass Sie die benutzerdefinierten Schlüsselrotationsstandards einhalten können.
Wenn Sie einen Batch Operations-Job erstellen, können Sie eine Objektliste auf der Grundlage des Quellspeicherorts und der von Ihnen angegebenen Filterkriterien generieren. Sie können den `MatchAnyObjectEncryption` Filter verwenden, um eine Liste von Objekten aus Ihrem Bucket zu generieren, die Sie aktualisieren und in Ihr Manifest aufnehmen möchten. Die generierte Objektliste enthält nur Quell-Bucket-Objekte mit dem angegebenen serverseitigen Verschlüsselungstyp. Wenn Sie SSE-KMS auswählen, können Sie Ihre Ergebnisse optional weiter filtern, indem Sie einen bestimmten KMS-Schlüssel-ARN und den aktivierten Bucket Key-Status angeben. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_JobManifestGeneratorFilter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_JobManifestGeneratorFilter.html)und [`SSEKMSFilter`in der *Amazon S3API-Referenz*](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SSEKMSFilter.html).
## Einschränkungen und Überlegungen
Wenn Sie den Vorgang Batch `UpdateObjectEncryption` Operations verwenden, gelten die folgenden Einschränkungen und Überlegungen:
+ Der `UpdateObjectEncryption` Vorgang unterstützt keine unverschlüsselten Objekte oder Objekte, die entweder mit serverseitiger Dual-Layer-Verschlüsselung AWS KMS keys (DSSE-KMS) oder mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C) verschlüsselt wurden. Darüber hinaus können Sie keine Anfrage für den Verschlüsselungstyp SSE-S3 angeben. `UpdateObjectEncryption`
+ Sie können den `UpdateObjectEncryption` Vorgang verwenden, um Objekte in Buckets zu aktualisieren, für die S3-Versionierung aktiviert ist. Um den Verschlüsselungstyp einer bestimmten Version zu aktualisieren, müssen Sie in Ihrer `UpdateObjectEncryption` Anfrage eine Versions-ID angeben. Wenn Sie keine Versions-ID angeben, bezieht sich die `UpdateObjectEncryption` Anfrage auf die aktuelle Version des Objekts. Weitere Informationen über das S3-Versioning finden Sie unter [Beibehalten mehrerer Versionen von Objekten mit der S3-Versionsverwaltung](Versioning.md).
+ Der `UpdateObjectEncryption` Vorgang schlägt bei jedem Objekt fehl, auf das der Aufbewahrungsmodus S3 Object Lock oder Legal Hold angewendet wurde. Wenn für ein Objekt eine Aufbewahrungsfrist im Governance-Modus oder eine gesetzliche Aufbewahrungsfrist gilt, müssen Sie zuerst den Object Lock-Status für das Objekt entfernen, bevor Sie Ihre `UpdateObjectEncryption` Anfrage stellen. Sie können den `UpdateObjectEncryption` Vorgang nicht für Objekte verwenden, auf die eine Aufbewahrungsfrist für den Object Lock-Konformitätsmodus angewendet wurde. Weitere Informationen zur S3-Objektsperre finden Sie unter [Sperren von Objekten mit Object Lock](object-lock.md).
+ `UpdateObjectEncryption`Anfragen für Quell-Buckets mit aktivierter Live-Replikation lösen keine Replikatereignisse im Ziel-Bucket aus. Wenn Sie den Verschlüsselungstyp von Objekten sowohl in Ihren Quell- als auch in Ihren Ziel-Buckets ändern möchten, müssen Sie separate `UpdateObjectEncryption` Anfragen für die Objekte im Quell- und Ziel-Bucket initiieren.
+ Standardmäßig sind alle `UpdateObjectEncryption` Anfragen, die einen vom Kunden verwalteten KMS-Schlüssel angeben, auf KMS-Schlüssel beschränkt, die dem Bucket-Besitzer gehören. AWS-Konto Wenn Sie die Nutzung verwenden AWS Organizations, können Sie die Möglichkeit zur Nutzung AWS KMS keys von Benutzerkonten anderer Mitglieder innerhalb Ihrer Organisation beantragen, indem Sie sich an uns wenden AWS Support.
+ Wenn Sie S3 Batch Replication verwenden, um Datensätze regionsübergreifend zu replizieren und der serverseitige Verschlüsselungstyp Ihrer Objekte zuvor von SSE-S3 auf SSE-KMS aktualisiert wurde, benötigen Sie möglicherweise zusätzliche Berechtigungen. Für den Bucket der Quellregion benötigen Sie Berechtigungen. `kms:decrypt` Anschließend benötigen Sie die `kms:encrypt` Berechtigungen `kms:decrypt` und für den Bucket in der Zielregion.
+ Geben Sie in Ihrer `UpdateObjectEncryption` Anfrage einen vollständigen KMS-Schlüssel-ARN an. Sie können keinen Aliasnamen oder Alias-ARN verwenden. Sie können den vollständigen KMS-Schlüssel-ARN in der AWS-KMS-Konsole oder mithilfe der AWS KMS `DescribeKey` KMS-API ermitteln.
+ Um die Leistung der Manifestgenerierung bei der Verwendung des `KmsKeyArn` Filters zu verbessern, verwenden Sie diesen Filter in Verbindung mit anderen Objekt-Metadatenfiltern. Sie können es beispielsweise `KmsKeyArn` mit, oder kombinieren `MatchAnyPrefix``CreatedAfter`, `MatchAnyStorageClass` wenn Sie in S3 Batch Operations automatisch ein Manifest generieren.
Mehr über `UpdateObjectEncryption` erfahren Sie unter [Aktualisierung der serverseitigen Verschlüsselung für vorhandene Daten](update-sse-encryption.md).
## Erforderliche Berechtigungen
Um den `UpdateObjectEncryption` Vorgang auszuführen, fügen Sie Ihrem IAM-Prinzipal AWS Identity and Access Management (Benutzer, Rolle oder Gruppe) die folgende (IAM-) Richtlinie hinzu. Um diese Richtlinie zu verwenden, *`amzn-s3-demo-bucket`* ersetzen Sie sie durch den Namen des Buckets, der die Objekte enthält, für die Sie die Verschlüsselung aktualisieren möchten. `amzn-s3-demo-manifest-bucket`Ersetzen Sie es durch den Namen des Buckets, der Ihr Manifest enthält, und `amzn-s3-demo-completion-report-bucket` durch den Namen des Buckets, in dem Sie Ihren Abschlussbericht speichern möchten.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3BatchOperationsUpdateEncryption",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:UpdateObjectEncryption"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-target"
"arn:aws:s3:::amzn-s3-demo-bucket-target-target/*"
]
},
{
"Sid": "S3BatchOperationsPolicyForManifestFile",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-manifest/*"
]
},
{
"Sid": "S3BatchOperationsPolicyForCompletionReport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-completion-report/*"
]
},
{
"Sid": "S3BatchOperationsPolicyManifestGeneration",
"Effect": "Allow",
"Action": [
"s3:PutInventoryConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-target"
]
},
{
"Sid": "AllowKMSOperationsForS3BatchOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:Encrypt",
"kms:ReEncrypt*"
],
"Resource": [ "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
]
}
]
}
```
Informationen zu den Vertrauens- und Berechtigungsrichtlinien, die Sie der IAM-Rolle zuordnen müssen, die der Dienstprinzipal von S3 Batch Operations annimmt, um Batch Operations-Jobs in Ihrem Namen auszuführen, finden Sie unter [Gewähren von Berechtigungen für Batchoperationen](batch-ops-iam-role-policies.md) und[Objektverschlüsselung aktualisieren](batch-ops-iam-role-policies.md#batch-ops-update-encryption-policies).
# Batch Operations Job zur Aktualisierung der Objektverschlüsselung erstellen
Um den serverseitigen Verschlüsselungstyp von mehr als einem Amazon S3 S3-Objekt mit einer einzigen Anfrage zu aktualisieren, können Sie S3 Batch Operations verwenden. Sie können S3 Batch Operations über die Amazon S3 S3-Konsole AWS Command Line Interface (AWS CLI) AWS SDKs oder die Amazon S3 S3-REST-API verwenden.
## Mit dem AWS CLI
Um die folgenden Befehle ausführen zu können, müssen Sie den AWS CLI installiert und konfiguriert haben. Falls Sie das nicht AWS CLI installiert haben, finden [Sie weitere Informationen unter Installieren oder Aktualisieren auf die neueste Version von AWS CLI](https://docs.aws.amazon.com//cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*.
Alternativ können Sie AWS CLI Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell AWS CloudShell ist eine browserbasierte, vorab authentifizierte Shell, die Sie direkt von der aus starten können. AWS-Managementkonsole[Weitere Informationen finden Sie unter Was ist? CloudShell](https://docs.aws.amazon.com//cloudshell/latest/userguide/welcome.html) und [Erste Schritte mit AWS CloudShell](https://docs.aws.amazon.com//cloudshell/latest/userguide/getting-started.html) im *AWS CloudShell Benutzerhandbuch*.
**Example 1 — Erstellen Sie einen Batch-Operationsauftrag, der verschlüsselte Objekte von einem KMS-Schlüssel AWS KMS key auf einen anderen aktualisiert**
Das folgende Beispiel zeigt, wie Sie einen S3 Batch Operations-Job erstellen, der die Verschlüsselungseinstellungen für mehrere Objekte in Ihrem Allzweck-Bucket aktualisiert. Dieser Befehl erstellt einen Job, der Objekte, die mit einem AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt wurden, so ändert, dass sie einen anderen KMS-Schlüssel verwenden. Dieser Job generiert und speichert auch ein Manifest der betroffenen Objekte und erstellt einen Bericht mit den Ergebnissen. Zur Verwendung dieses Befehls ersetzen Sie `user input placeholders` durch eigene Informationen.
```
aws s3control create-job --account-id account-id \
--no-confirmation-required \
--operation '{"S3UpdateObjectEncryption": { "ObjectEncryption": { "SSEKMS": { "KMSKeyArn": "KMS-key-ARN-to-apply", "BucketKeyEnabled": false } } } }' \
--report '{ "Enabled": true, "Bucket": "report-bucket-ARN", "Format": "Report_CSV_20180820", "Prefix": "report", "ReportScope": "AllTasks" }' \
--manifest-generator '{ "S3JobManifestGenerator": { "ExpectedBucketOwner": "account-id", "SourceBucket": "source-bucket-ARN", "EnableManifestOutput": true, "ManifestOutputLocation": { "Bucket": "manifest-bucket-ARN", "ManifestFormat": "S3InventoryReport_CSV_20211130", "ManifestPrefix": "manifest-prefix" }, "Filter": { "MatchAnyObjectEncryption": [{ "SSEKMS": { "KmsKeyArn": "kms-key-ARN-to-match" } }] } } }' \
--priority 1 \
--role-arn batch-operations-role-ARN
```
Um eine optimale Leistung zu erzielen, empfehlen wir, den `KmsKeyArn` Filter zusammen mit anderen Objektmetadatenfiltern wie `MatchAnyPrefix``CreatedAfter`, oder zu verwenden`MatchAnyStorageClass`.
**Example 2 — Erstellen Sie einen Batch Operations-Job, der SSE-S3-verschlüsselte Objekte auf SSE-KMS aktualisiert**
Das folgende Beispiel zeigt, wie Sie einen S3 Batch Operations-Job erstellen, der die Verschlüsselungseinstellungen für mehrere Objekte in Ihrem Allzweck-Bucket aktualisiert. Dieser Befehl erstellt einen Job, der Objekte, die mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verschlüsselt wurden, dahingehend ändert, dass stattdessen serverseitige Verschlüsselung mit AWS Key Management Service () -Schlüsseln (AWS KMS SSE-KMS) verwendet wird. Dieser Job generiert und speichert auch ein Manifest der betroffenen Objekte und erstellt einen Bericht über die Ergebnisse. Zur Verwendung dieses Befehls ersetzen Sie `user input placeholders` durch eigene Informationen.
```
aws s3control create-job --account-id account-id \
--no-confirmation-required \
--operation '{"S3UpdateObjectEncryption": { "ObjectEncryption": { "SSEKMS": { "KMSKeyArn": "KMS-key-ARN-to-apply", "BucketKeyEnabled": false } } } }' \
--report '{ "Enabled": true, "Bucket": "report-bucket-ARN", "Format": "Report_CSV_20180820", "Prefix": "report", "ReportScope": "AllTasks" }' \
--manifest-generator '{ "S3JobManifestGenerator": { "ExpectedBucketOwner": "account-id", "SourceBucket": "source-bucket-ARN", "EnableManifestOutput": true, "ManifestOutputLocation": { "Bucket": "manifest-bucket-ARN", "ManifestFormat": "S3InventoryReport_CSV_20211130", "ManifestPrefix": "manifest-prefix" }, "Filter": { "MatchAnyObjectEncryption": [{ "SSES3": {} }] } } }' \
--priority 1 \
--role-arn batch-operations-role-ARN
```
Um eine optimale Leistung zu erzielen, empfehlen wir, den `KmsKeyArn` Filter zusammen mit anderen Objektmetadatenfiltern wie `MatchAnyPrefix``CreatedAfter`, oder zu verwenden`MatchAnyStorageClass`.