View a markdown version of this page

Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket - Amazon Simple Storage Service
BerechtigungenÜberlegungen vor dem Blockieren der SSE-C-Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket

Ab April 2026 deaktiviert Amazon S3 automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets. Amazon S3 hat außerdem SSE-C für bestehende Buckets in Konten ohne SSE-C-verschlüsselte Objekte deaktiviert. Das bedeutet, dass Anfragen zum Hochladen von Objekten mit SSE-C standardmäßig mit einem HTTP 403-Fehler abgelehnt werden. AccessDenied

SSE-C erfordert, dass Sie den Verschlüsselungsschlüssel bei jeder Anforderung zum Lesen oder Schreiben verschlüsselter Objekte angeben, was es schwierig macht, den Zugriff mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die mit Ihren Daten arbeiten. Die meisten Workloads verwenden stattdessen serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder AWS KMS-Schlüsseln (SSE-KMS).

Wenn Ihr Workload SSE-C erfordert, können Sie es explizit aktivieren, indem Sie die Standardverschlüsselungskonfiguration für Ihren Bucket aktualisieren. Umgekehrt können Sie Buckets blockieren, in denen SSE-C weiterhin zulässig ist, um neue SSE-C-Uploads zu verhindern.

Wenn SSE-C für einen Bucket blockiert ist, werden alle,,, Multipart Upload- oder Replikationsanfragen PutObject CopyObjectPostObject, die die SSE-C-Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. AccessDenied Bestehende SSE-C-verschlüsselte Objekte im Bucket sind davon nicht betroffen. Sie können sie trotzdem mit GetObject oder durch Angabe der erforderlichen SSE-C-Header lesen. HeadObject

Diese Einstellung ist ein Parameter in der PutBucketEncryption API und kann auch über die S3-Konsole, AWS CLI oder aktualisiert werden AWS SDKs. Sie müssen die Berechtigung s3:PutEncryptionConfiguration haben.

Wichtig

Amazon Simple Storage Service wendet jetzt eine neue Standardsicherheitseinstellung für Buckets an, die automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets deaktiviert. Im April 2026 hat Amazon S3 ein Update bereitgestellt, sodass für alle neuen Allzweck-Buckets die SSE-C-Verschlüsselung für alle neuen Schreibanforderungen deaktiviert ist. Für bestehende Buckets AWS-Konten ohne SSE-C-verschlüsselte Objekte hat Amazon S3 auch SSE-C für alle neuen Schreibanforderungen deaktiviert. Aufgrund dieser Änderung müssen Anwendungen, die SSE-C-Verschlüsselung benötigen, SSE-C bewusst aktivieren, indem sie nach der Erstellung eines neuen Buckets den API-Vorgang verwenden. PutBucketEncryption Weitere Informationen zu dieser Änderung finden Sie unter. Häufig gestellte Fragen zur SSE-C-Standardeinstellung für neue Buckets

Berechtigungen

Verwenden Sie die PutBucketEncryption API oder die S3-Konsole oder AWS CLI AWS SDKs, um Verschlüsselungstypen für einen Allzweck-Bucket zu blockieren oder zu entsperren. Sie benötigen die folgende Berechtigung:

  • s3:PutEncryptionConfiguration

Verwenden Sie die GetBucketEncryption API oder die S3-Konsole oder AWS CLI AWS SDKs, um blockierte Verschlüsselungstypen für einen Allzweck-Bucket anzuzeigen. Sie benötigen die folgende Berechtigung:

  • s3:GetEncryptionConfiguration

Überlegungen vor dem Blockieren der SSE-C-Verschlüsselung

Nachdem Sie SSE-C für einen beliebigen Bucket blockiert haben, gilt das folgende Verschlüsselungsverhalten:

  • Es gibt keine Änderung an der Verschlüsselung der Objekte, die im Bucket vorhanden waren, bevor Sie die SSE-C-Verschlüsselung blockiert haben.

  • Nachdem Sie die SSE-C-Verschlüsselung blockiert haben, können Sie weiterhin HeadObject Anfragen für bereits vorhandene, mit SSE-C verschlüsselte Objekte stellen GetObject , sofern Sie die erforderlichen SSEC-Header für die Anfragen angeben.

  • Wenn SSE-C für einen Bucket blockiert ist, werden alle,, oder Multipart Upload-Anfragen PutObjectCopyObject, die die SSE-C-Verschlüsselung spezifizierenPostObject, mit einem HTTP 403-Fehler zurückgewiesen. AccessDenied

  • Wenn in einem Ziel-Bucket für die Replikation SSE-C blockiert ist und die zu replizierenden Quellobjekte mit SSE-C verschlüsselt sind, schlägt die Replikation mit einem HTTP 403-Fehler fehl. AccessDenied

Wenn Sie überprüfen möchten, ob Sie in einem Ihrer Buckets SSE-C-Verschlüsselung verwenden, bevor Sie diesen Verschlüsselungstyp blockieren, können Sie Tools wie die Überwachung des Zugriffs auf Ihre Daten verwenden. AWS CloudTrail In diesem Blogbeitrag erfahren Sie, wie Sie Verschlüsselungsmethoden für Objekt-Uploads in Echtzeit überprüfen können. Sie können auch auf diesen re:POST-Artikel verweisen, der Sie durch die Abfrage von S3-Inventarberichten führt, um festzustellen, ob Sie über SSE-C-verschlüsselte Objekte verfügen.

Schritte

Sie können serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für einen Allzweck-Bucket blockieren oder entsperren, indem Sie die Amazon S3 S3-Konsole, die AWS Command Line Interface (AWS CLI), die Amazon S3 S3-REST-API und verwenden. AWS SDKs

So blockieren oder entsperren Sie die SSE-C-Verschlüsselung für einen Bucket mithilfe der Amazon S3 S3-Konsole:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich die Option Allzweck-Buckets aus.

  3. Wählen Sie den Bucket aus, für den Sie die SSE-C-Verschlüsselung blockieren möchten.

  4. Wählen Sie die Registerkarte Eigenschaften für den Bucket aus.

  5. Navigieren Sie zum Eigenschaftenbereich für die Standardverschlüsselung für den Bucket und wählen Sie Bearbeiten aus.

  6. Aktivieren Sie im Abschnitt Blockierte Verschlüsselungstypen das Kontrollkästchen neben Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C), um die SSE-C-Verschlüsselung zu blockieren, oder deaktivieren Sie dieses Kästchen, um SSE-C zuzulassen.

  7. Wählen Sie Änderungen speichern aus.

Informationen zur Installation der AWS CLI finden Sie unter Installation der AWS CLI im AWS Command Line Interface Benutzerhandbuch.

Das folgende CLI-Beispiel zeigt Ihnen, wie Sie die SSE-C-Verschlüsselung für einen Allzweck-Bucket mithilfe von blockieren oder entsperren. AWS CLI Um den Befehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.

Anfrage zum Blockieren der SSE-C-Verschlüsselung für einen Allzweck-Bucket:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Anfrage zur Aktivierung der Verwendung der SSE-C-Verschlüsselung in einem Allzweck-Bucket:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Die folgenden Beispiele zeigen Ihnen, wie Sie SSE-C-Verschlüsselungsschreibvorgänge in Ihre Allzweck-Buckets blockieren oder entsperren können, indem Sie den AWS SDKs

Beispiel: PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu blockieren

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Beispiel — PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu entsperren

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Beispiel — PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu blockieren

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Beispiel — PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu entsperren

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Informationen zur Amazon S3 S3-REST-API-Unterstützung für das Blockieren oder Entsperren der SSE-C-Verschlüsselung für einen Allzweck-Bucket finden Sie im folgenden Abschnitt in der Amazon Simple Storage Service API-Referenz: