Konfigurieren der Standardverschlüsselung

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 API S3-Antwort-Header im AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Standardverschlüsselung FAQ.

In Amazon S3 S3-Buckets ist die Bucket-Verschlüsselung standardmäßig aktiviert, und neue Objekte werden automatisch mithilfe serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselung gilt für alle neuen Objekte in Ihren Amazon-S3-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und die Gewährung von Zugriffsrichtlinien, können Sie wählen, ob Sie serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-) oder eine zweischichtige serverseitige Verschlüsselung mit Schlüsseln (-KMS) verwenden möchten. AWS KMS DSSE KMS Weitere Hinweise zu SSE - KMS finden Sie unter. Geben Sie die serverseitige Verschlüsselung mit AWS KMS (SSE-KMS) an Weitere Informationen zu DSSE - finden KMS Sie unterVerwendung einer zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-) KMS.

Wenn Sie einen KMS Schlüssel verwenden möchten, der einem anderen Konto gehört, müssen Sie über die entsprechende Berechtigung verfügen. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS Schlüssel finden Sie im AWS Key Management Service Entwicklerhandbuch unter Erstellen von KMS Schlüsseln, die andere Konten verwenden können.

Wenn Sie die Standard-Bucket-Verschlüsselung auf SSE - setzenKMS, können Sie auch einen S3-Bucket-Key konfigurieren, um Ihre AWS KMS Anforderungskosten zu senken. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 Bucket Keys.

Anmerkung

Wenn Sie Ihre Standard-Bucket-Verschlüsselung auf SSE - setzenKMS, sollten Sie überprüfen, ob Ihre KMS Schlüssel-ID korrekt ist. PutBucketEncryption Amazon S3 validiert die in PutBucketEncryption Anfragen angegebene KMS Schlüssel-ID nicht.

Es gibt keine zusätzlichen Gebühren für die Nutzung von Standard-Verschlüsselung für S3-Buckets. Für Anforderungen zum Konfigurieren des Standardverschlüsselungsverhaltens werden Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise. Für SSE - KMS und DSSE - AWS KMS fallen Gebühren anKMS, die in den AWS KMS Preisen aufgeführt sind.

Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) wird für die Standardverschlüsselung nicht unterstützt.

Sie können die Amazon S3-Standardverschlüsselung für einen S3-Bucket konfigurieren, indem Sie die AWS SDKs Amazon S3 S3-Konsole RESTAPI, Amazon S3 und AWS Command Line Interface (AWS CLI) verwenden.

Änderungen, die Sie vor dem Aktivieren der Standardverschlüsselung beachten sollten

Nachdem Sie die Standard-Verschlüsselung für einen Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:

Es gibt keine Änderung der Verschlüsselung der Objekte, die vor der Aktivierung der Standard-Verschlüsselung im Bucket vorhanden waren.
Wenn Sie Objekte nach der Aktivierung der Standard-Verschlüsselung hochladen:
- Wenn Ihre PUT-Abfrage-Header keine Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Standardverschlüsselungseinstellungen des Buckets, um die Objekte zu verschlüsseln.
- Wenn Ihre PUT-Anfrage-Header Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Verschlüsselungsinformationen der PUT-Anfrage, um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden.
Wenn Sie die KMS Option SSE - KMS oder DSSE - für Ihre Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den Quoten für Anfragen pro Sekunde (RPS) von AWS KMS. Weitere Informationen zu AWS KMS -Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie unter Kontingente im Entwicklerhandbuch zu AWS Key Management Service .

Anmerkung

Objekte, die hochgeladen wurden, bevor die Standardverschlüsselung aktiviert wurde, werden nicht verschlüsselt. Weitere Informationen zum Verschlüsseln vorhandener Objekte finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

Konfigurieren der Standardverschlüsselung für einen Amazon-S3-Bucket

Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie im linken Navigationsbereich Buckets aus.
Wählen Sie in der Liste Buckets den Namen des von Ihnen erstellten Buckets aus.
Wählen Sie die Registerkarte Eigenschaften aus.
Wählen Sie unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.
Wählen Sie eine der folgenden Optionen unter Verschlüsselungstyp aus, um die Verschlüsselung zu konfigurieren:
- Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)
- Serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (-) SSE KMS
- Zweischichtige serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (-) DSSE KMS
  
  Wichtig
  Wenn Sie die KMS Optionen SSE - KMS oder DSSE - für Ihre Standardverschlüsselungskonfiguration verwenden, gelten für Sie die Kontingente für Anfragen pro Sekunde (RPS) von. AWS KMS Weitere Informationen zu AWS KMS Kontingenten und dazu, wie Sie eine Kontingenterhöhung beantragen können, finden Sie unter Kontingente im AWS Key Management Service Entwicklerhandbuch.
Buckets und neue Objekte werden standardmäßig mit SSE -S3 verschlüsselt, sofern Sie keine andere Standardverschlüsselung für Ihre Buckets angeben. Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

Weitere Informationen zur Datenverschlüsselung mit der serverseitigen Amazon-S3-Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden (SSE-S3).
Wenn Sie sich für serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS) oder Serverseitige Dual-Layer-Verschlüsselung mit AWS Key Management Service Schlüsseln (DSSE- KMS) entschieden haben, gehen Sie wie folgt vor:
1. Geben Sie unter AWS KMS Schlüssel Ihren KMS Schlüssel auf eine der folgenden Arten an:
  - Um aus einer Liste verfügbarer KMS Schlüssel zu wählen, wählen Sie Wählen Sie aus Ihrem AWS KMS keys und wählen Sie Ihren KMSSchlüssel aus der Liste der verfügbaren Schlüssel aus.
    
    Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Entwicklerhandbuch.
  - Um den KMS Schlüssel einzugebenARN, wählen Sie Enter AWS KMS key ARN und geben Sie Ihren KMS Schlüssel ARN in das angezeigte Feld ein.
  - Um einen neuen, vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS key aus.
    
    Weitere Informationen zum Erstellen eines AWS KMS key finden Sie unter Schlüssel erstellen im AWS Key Management Service Entwicklerhandbuch.
  Wichtig
  Sie können nur KMS Schlüssel verwenden, die im selben AWS-Region Bucket aktiviert sind. Wenn Sie „Aus Ihren KMS Schlüsseln auswählen“ wählen, listet die S3-Konsole nur 100 KMS Schlüssel pro Region auf. Wenn Sie mehr als 100 KMS Schlüssel in derselben Region haben, können Sie nur die ersten 100 KMS Schlüssel in der S3-Konsole sehen. Um einen KMS Schlüssel zu verwenden, der nicht in der Konsole aufgeführt ist, wählen Sie Enter AWS KMS key ARN und geben Sie den KMS Schlüssel einARN.
  Wenn Sie eine AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen symmetrischen KMS Verschlüsselungsschlüssel wählen. Amazon S3 unterstützt nur symmetrische KMS Verschlüsselungsschlüssel. Weitere Informationen zu diesen Schlüsseln finden Sie unter Symmetrische KMS Verschlüsselungsschlüssel im AWS Key Management Service Entwicklerhandbuch.
  
  Weitere Informationen zur Verwendung von SSE - KMS mit Amazon S3 finden Sie unterServerseitige Verschlüsselung mit AWS KMS Schlüsseln verwenden (SSE-) KMS. Weitere Informationen zur Verwendung von DSSE - KMS finden Sie unterVerwendung einer zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-) KMS.
2. Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung mit SSE - verwendetKMS, können Sie auch einen S3-Bucket-Key aktivieren. S3-Bucket-Keys senken die Kosten für die Verschlüsselung, indem sie den Anforderungsverkehr von Amazon S3 zu verringern AWS KMS. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 Bucket Keys.
  
  Um S3-Bucket-Schlüssel zu verwenden, wählen Sie unter Bucket Key (Bucket-Schlüssel) die Option Enable (Aktivieren).
  
  Anmerkung
  S3-Bucket-Keys werden für DSSE - nicht unterstütztKMS.
Wählen Sie Änderungen speichern.

Diese Beispiele zeigen Ihnen, wie Sie die Standardverschlüsselung mithilfe von SSE -S3 oder mithilfe von SSE - KMS mit einem S3-Bucket-Key konfigurieren.

Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets. Weitere Informationen AWS CLI zur Konfiguration der Standardverschlüsselung finden Sie unter put-bucket-encryption.

Beispiel — Standardverschlüsselung mit SSE -S3

In diesem Beispiel wird die Standardverschlüsselung von Buckets mit von Amazon S3 verwalteten Schlüsseln konfiguriert.


aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'

Beispiel — Standardverschlüsselung mit SSE — KMS unter Verwendung eines S3-Bucket-Keys

In diesem Beispiel wird die Standard-Bucket-Verschlüsselung mit SSE - KMS unter Verwendung eines S3-Bucket-Keys konfiguriert.


aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Verwenden Sie den REST API PutBucketEncryption Vorgang, um die Standardverschlüsselung zu aktivieren und den Typ der serverseitigen Verschlüsselung auf— SSE -S3KMS, SSE - oder DSSE - festzulegen. KMS

Weitere Informationen finden Sie unter PutBucketEncryptionin der Amazon Simple Storage Service API Reference.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Festlegen der Standard-Bucket-Verschlüsselung

Überwachen der Standard-Verschlüsselung