Konfigurieren Sie Ihren Bucket so, dass er einen S3-Bucket-Key mit SSE - KMS für neue Objekte verwendet - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie Ihren Bucket so, dass er einen S3-Bucket-Key mit SSE - KMS für neue Objekte verwendet

Wenn Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) konfigurieren, können Sie Ihren Bucket so konfigurieren, dass für neue Objekte ein S3-Bucket-Key für SSE - KMS verwendet wird. S3-Bucket-Keys reduzieren den Anforderungsverkehr von Amazon S3 zu AWS KMS und reduzieren die Kosten für SSE -KMS. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 Bucket Keys.

Sie können Ihren Bucket so konfigurieren, dass er einen S3-Bucket Key für SSE — KMS für neue Objekte verwendet, indem Sie die Amazon S3 S3-Konsole RESTAPI, AWS SDKs,, AWS Command Line Interface (AWS CLI) oder verwenden AWS CloudFormation. Wenn Sie einen S3-Bucket-Schlüssel für vorhandene Objekte aktivieren oder deaktivieren möchten, können Sie eine CopyObject-Operation verwenden. Weitere Informationen finden Sie unter Konfigurieren eines S3-Bucket-Schlüssels auf Objektebene und Verwenden von Batch-Operationen zur Aktivierung von S3-Bucket-Keys für SSE - KMS.

Wenn ein S3-Bucket Key für den Quell- oder Ziel-Bucket aktiviert ist, ist der Verschlüsselungskontext beispielsweise der Bucket Amazon Resource Name (ARN) und nicht das Objekt ARNarn:aws:s3:::bucket_ARN. Sie müssen Ihre IAM Richtlinien aktualisieren, um den Bucket ARN für den Verschlüsselungskontext verwenden zu können. Weitere Informationen finden Sie unter S3 Bucket-Schlüssel und Replikation.

Die folgenden Beispiele veranschaulichen, wie ein S3-Bucket-Schlüssel mit der Replikation funktioniert. Weitere Informationen finden Sie unter Replikation verschlüsselter Objekte (SSE-S3, SSE -, DSSE - KMSKMS, SSE -C)

Voraussetzungen

Bevor Sie Ihren Bucket für die Verwendung eines S3-Bucket-Schlüssels konfigurieren, lesen Sie Änderungen, die Sie vor dem Aktivieren eines S3-Bucket-Schlüssels beachten sollten.

Themen

    In der S3-Konsole können Sie einen S3-Bucket-Schlüssel für einen neuen oder vorhandenen Bucket aktivieren oder deaktivieren. Objekte in der S3-Konsole übernehmen ihre S3-Bucket-Schlüssel-Einstellung aus der Bucket-Konfiguration. Wenn Sie einen S3-Bucket Key für Ihren Bucket aktivieren, verwenden neue Objekte, die Sie in den Bucket hochladen, einen S3-Bucket Key für SSE -KMS.

    Hochladen, Kopieren oder Ändern von Objekten in Buckets, für die ein S3-Bucket-Schlüssel aktiviert ist

    Wenn Sie ein Objekt in einen Bucket hochladen oder kopieren, für den ein S3-Bucket-Schlüssel aktiviert ist, oder ein Objekt darin ändern, werden die Einstellung des S3-Bucket-Schlüssels für dieses Objekt möglicherweise aktualisiert, um sie an die Bucket-Konfiguration anzupassen.

    Wenn für ein Objekt bereits ein S3-Bucket-Schlüssel aktiviert ist, ändern sich die S3-Bucket-Schlüssel-Einstellungen für dieses Objekt nicht, wenn Sie das Objekt kopieren oder ändern. Wenn Sie jedoch ein Objekt ändern oder kopieren, für das kein S3-Bucket-Schlüssel aktiviert ist, und der Ziel-Bucket eine S3-Bucket-Schlüssel-Konfiguration hat, übernimmt das Objekt die S3-Bucket-Schlüssel-Einstellungen des Ziel-Buckets. Wenn beispielsweise für den Ziel-Bucket ein S3-Bucket-Schlüssel aktiviert ist, für das Quellobjekt jedoch nicht, wird ein S3-Bucket-Schlüssel für das Objekt aktiviert.

    So aktivieren Sie einen S3-Bucket-Schlüssel beim Erstellen eines neuen Buckets

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

    2. Wählen Sie im linken Navigationsbereich die Option Buckets aus.

    3. Wählen Sie Create Bucket (Bucket erstellen) aus.

    4. Geben Sie Ihren Bucket-Namen ein und wählen Sie Ihre AWS-Region aus.

    5. Wählen Sie unter Standardverschlüsselung für Verschlüsselungsschlüsseltyp die Option AWS Key Management Service Schlüssel (SSE-KMS) aus.

    6. Führen Sie unter AWS KMS Schlüssel einen der folgenden Schritte aus, um Ihren KMS Schlüssel auszuwählen:

      • Um aus einer Liste verfügbarer KMS Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem AWS KMS keys und wählen Sie dann Ihren KMSSchlüssel aus der Liste der verfügbaren Schlüssel aus.

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Entwicklerhandbuch.

      • Um den KMS Schlüssel einzugebenARN, wählen Sie Enter AWS KMS key ARN und geben Sie Ihren KMS Schlüssel ARN in das angezeigte Feld ein.

      • Um einen neuen, vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS key aus.

        Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter Creating Keys im AWS Key Management Service Developer Guide.

    7. Wählen Sie unter Bucket Key (Bucket-Schlüssel) die Option Enable (Aktivieren).

    8. Wählen Sie Create Bucket (Bucket erstellen) aus.

      Amazon S3 erstellt Ihren Bucket mit einem aktivierten S3-Bucket-Schlüssel. Neue Objekte, die Sie in den Bucket hochladen, verwenden einen S3-Bucket-Schlüssel. 

      Um einen S3-Bucket-Schlüssel zu deaktivieren, führen Sie die vorherigen Schritte aus und wählen Deaktivieren.

    So aktivieren Sie einen S3-Bucket-Schlüssel für einen vorhandenen Bucket

    1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

    2. Wählen Sie im linken Navigationsbereich Buckets aus.

    3. Wählen Sie in der Liste Buckets den Bucket, für den Sie einen S3-Bucket-Schlüssel aktivieren möchten.

    4. Wählen Sie die Registerkarte Eigenschaften aus.

    5. Wählen Sie unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.

    6. Wählen Sie unter Standardverschlüsselung für Verschlüsselungsschlüsseltyp die Option AWS Key Management Service Schlüssel (SSE-KMS) aus.

    7. Führen Sie unter AWS KMS Schlüssel einen der folgenden Schritte aus, um Ihren KMS Schlüssel auszuwählen:

      • Um aus einer Liste verfügbarer KMS Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem AWS KMS keys und wählen Sie dann Ihren KMSSchlüssel aus der Liste der verfügbaren Schlüssel aus.

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Entwicklerhandbuch.

      • Um den KMS Schlüssel einzugebenARN, wählen Sie Enter AWS KMS key ARN und geben Sie Ihren KMS Schlüssel ARN in das angezeigte Feld ein.

      • Um einen neuen, vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS key aus.

        Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter Creating Keys im AWS Key Management Service Developer Guide.

    8. Wählen Sie unter Bucket-Schlüssel die Option Aktivieren.

    9. Wählen Sie Save Changes (Änderungen speichern).

      Amazon S3 aktiviert einen S3-Bucket-Schlüssel für neue Objekte, die zu Ihrem Bucket hinzugefügt werden. Bestehende Objekte verwenden den S3-Bucket-Schlüssel nicht. Zum Konfigurieren eines S3-Bucket-Schlüssels für vorhandene Objekte können Sie eine CopyObject-Operation verwenden. Weitere Informationen finden Sie unter Konfigurieren eines S3-Bucket-Schlüssels auf Objektebene .

      Um einen S3-Bucket-Schlüssel zu deaktivieren, führen Sie die vorherigen Schritte aus und wählen Deaktivieren.

    Sie können PutBucketEncryptioneinen S3-Bucket-Key für Ihren Bucket aktivieren oder deaktivieren. Um einen S3-Bucket Key mit zu konfigurierenPutBucketEncryption, verwenden Sie den ServerSideEncryptionRuleDatentyp, der die Standardverschlüsselung mit SSE - beinhaltetKMS. Sie können optional auch einen vom Kunden verwalteten Schlüssel verwenden, indem Sie die KMS Schlüssel-ID für den vom Kunden verwalteten Schlüssel angeben. 

    Weitere Informationen und eine Beispielsyntax finden Sie unter PutBucketEncryption.

    Das folgende Beispiel aktiviert die Standard-Bucket-Verschlüsselung mit SSE - KMS und einem S3-Bucket-Schlüssel mithilfe von AWS SDK for Java.

    Java
    AmazonS3 s3client = AmazonS3ClientBuilder.standard()
    .withRegion(Regions.DEFAULT_REGION)
    .build();
    
ServerSideEncryptionByDefault serverSideEncryptionByDefault = new ServerSideEncryptionByDefault()
    .withSSEAlgorithm(SSEAlgorithm.KMS);
ServerSideEncryptionRule rule = new ServerSideEncryptionRule()
    .withApplyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
    .withBucketKeyEnabled(true);
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration =
    new ServerSideEncryptionConfiguration().withRules(Collections.singleton(rule));

SetBucketEncryptionRequest setBucketEncryptionRequest = new SetBucketEncryptionRequest()
    .withServerSideEncryptionConfiguration(serverSideEncryptionConfiguration)
    .withBucketName(bucketName);
            
s3client.setBucketEncryption(setBucketEncryptionRequest);

    Das folgende Beispiel aktiviert die Standard-Bucket-Verschlüsselung mit SSE - KMS und einem S3-Bucket-Schlüssel mithilfe von AWS CLI. Ersetzen Sie user input placeholders durch Ihre Informationen.

    aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

    Weitere Informationen zur Konfiguration eines S3-Bucket Keys mit AWS CloudFormation finden Sie unter AWS: :S3: :Bucket ServerSideEncryptionRule im AWS CloudFormation Benutzerhandbuch.