View a markdown version of this page

Konfigurieren der Standardverschlüsselung - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren der Standardverschlüsselung

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS CLI und verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

In Amazon S3 S3-Buckets ist die Bucket-Verschlüsselung standardmäßig aktiviert, und neue Objekte werden automatisch mithilfe serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln () SSE-S3 verschlüsselt. Diese Verschlüsselung gilt für alle neuen Objekte in Ihren Amazon-S3-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und die Gewährung von Zugriffsrichtlinien, können Sie wählen, ob Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln () oder die zweischichtige serverseitige Verschlüsselung mit Schlüsseln (SSE-KMS) verwenden möchten. AWS KMS DSSE-KMS Weitere Informationen SSE-KMS zu finden Sie unter. Geben Sie die serverseitige Verschlüsselung an mit AWS KMS (SSE-KMS) Weitere Informationen zu finden DSSE-KMS Sie unterVerwenden Sie serverseitige Dual-Layer-Verschlüsselung mit AWS KMS Schlüssel () DSSE-KMS.

Wenn Sie einen KMS-Schlüssel verwenden möchten, der sich im Besitz eines anderen Kontos befindet, müssen Sie über die Berechtigung zum Verwenden des Schlüssels verfügen. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS-Schlüssel finden Sie unter Erstellen von KMS-Schlüsseln, die von anderen Konten verwendet werden können im Entwicklerhandbuch zu AWS Key Management Service .

Wenn Sie die Standard-Bucket-Verschlüsselung auf einstellen SSE-KMS, können Sie auch einen S3-Bucket-Key konfigurieren, um Ihre AWS KMS Anforderungskosten zu senken. Weitere Informationen finden Sie unter Senkung der Kosten SSE-KMS mit Amazon S3 Bucket Keys.

Anmerkung

Wenn Sie Ihre Standard-Bucket-Verschlüsselung PutBucketEncryptionauf einstellen SSE-KMS, sollten Sie überprüfen, ob Ihre KMS-Schlüssel-ID korrekt ist. Amazon S3 validiert die in PutBucketEncryption Anfragen angegebene KMS-Schlüssel-ID nicht.

Es gibt keine zusätzlichen Gebühren für die Nutzung von Standard-Verschlüsselung für S3-Buckets. Für Anforderungen zum Konfigurieren des Standardverschlüsselungsverhaltens werden Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise. Für SSE-KMS und AWS KMS fallen Gebühren an DSSE-KMS, die zu den AWS KMS Preisen aufgeführt sind.

Server-side Die Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) wird für die Standardverschlüsselung nicht unterstützt.

Sie können die Amazon S3 S3-Standardverschlüsselung für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole, der AWS SDKs, der Amazon S3 S3-REST-API und der AWS Command Line Interface (AWS CLI) konfigurieren.

Änderungen, die Sie vor dem Aktivieren der Standardverschlüsselung beachten sollten

Nachdem Sie die Standard-Verschlüsselung für einen Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:

  • Es gibt keine Änderung der Verschlüsselung der Objekte, die vor der Aktivierung der Standard-Verschlüsselung im Bucket vorhanden waren.

  • Wenn Sie Objekte nach der Aktivierung der Standard-Verschlüsselung hochladen:

    • Wenn Ihre PUT-Abfrage-Header keine Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Standardverschlüsselungseinstellungen des Buckets, um die Objekte zu verschlüsseln.

    • Wenn Ihre PUT-Anfrage-Header Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Verschlüsselungsinformationen der PUT-Anfrage, um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden.

  • Wenn Sie die DSSE-KMS Option SSE-KMS oder für Ihre Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den RPS-Kontingenten (Anfragen pro Sekunde) von. AWS KMS Weitere Informationen zu AWS KMS -Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie unter Kontingente im Entwicklerhandbuch zu AWS Key Management Service .

  • Wenn dieser Bucket als Ziel für die Serverzugriffsprotokollierung verwendet wird, muss der Ziel-Bucket verwaltete Amazon S3 S3-Schlüssel (SSE-S3) verwenden. Wenn der Ziel-Bucket die SSE-KMS Standardverschlüsselung verwendet, liefert Amazon S3 möglicherweise Protokollobjekte, die mit einem Schlüssel verschlüsselt sind, auf den Sie nicht zugreifen können. Um dieses Problem zu beheben, ändern Sie die Standardverschlüsselung des Ziel-Buckets auf SSE-S3. Weitere Informationen zu Server-Zugriffsprotokollen finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Anmerkung

Objekte, die hochgeladen wurden, bevor die Standardverschlüsselung aktiviert wurde, werden nicht verschlüsselt. Weitere Informationen zum Verschlüsseln vorhandener Objekte finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

Konfigurieren der Standardverschlüsselung für einen Amazon-S3-Bucket
  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie in der Liste Buckets den Namen des von Ihnen erstellten Buckets aus.

  4. Wählen Sie die Registerkarte Eigenschaften aus.

  5. Wählen Sie unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.

  6. Wählen Sie eine der folgenden Optionen unter Verschlüsselungstyp aus, um die Verschlüsselung zu konfigurieren:

    • Server-side Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)

    • Server-side Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS)

    • Dual-layer serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln () DSSE-KMS

      Wichtig

      Wenn Sie die DSSE-KMS Optionen SSE-KMS oder für Ihre standardmäßige Verschlüsselungskonfiguration verwenden, gelten für Sie die RPS-Kontingente (Anfragen pro Sekunde) von. AWS KMS Weitere Informationen zu AWS KMS Kontingenten und dazu, wie Sie eine Kontingenterhöhung beantragen können, finden Sie unter Kontingente im AWS Key Management Service Entwicklerhandbuch.

    Buckets und neue Objekte werden standardmäßig mit verschlüsselt SSE-S3, sofern Sie keine andere Standardverschlüsselung für Ihre Buckets angeben. Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

    Weitere Informationen zur Datenverschlüsselung mit der serverseitigen Amazon-S3-Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden () SSE-S3.

  7. Wenn Sie sich für die Server-side Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS) oder die Dual-layer serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (DSSE-KMS) entschieden haben, gehen Sie wie folgt vor:

    1. Geben Sie unter AWS KMS -Schlüssel Ihren KMS-Schlüssel auf eine der folgenden Arten an:

      • Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem AWS KMS keys und wählen Sie Ihren KMS-Schlüssel aus der Liste der verfügbaren Schlüssel aus.

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Entwicklerhandbuch.

      • Wählen Sie zum Eingeben des KMS-Schlüssel-ARN AWS KMS key -ARN eingeben aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.

      • Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS Key aus.

        Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter Creating Keys im AWS Key Management Service Developer Guide.

      Wichtig

      Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket aktiviert sind. Wenn Sie Choose from your KMS master keys (Auswahl aus Ihren KMS-Schlüsseln) auswählen, listet die S3-Konsole nur 100 KMS-Schlüssel pro Region auf. Wenn Sie über mehr als 100 KMS-Schlüssel in derselben Region verfügen, können Sie nur die ersten 100 KMS-Schlüssel in der S3-Konsole sehen. Um einen nicht in der Konsole aufgeführten KMS-Schlüssel zu verwenden, wählen Sie AWS KMS key -ARN eingeben aus und geben Sie den KMS-Schlüssel-ARN ein.

      Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Weitere Informationen zu diesen Schlüsseln finden Sie unter Symmetrische KMS-Verschlüsselungsschlüssel im Entwicklerhandbuch für AWS Key Management Service .

      Weitere Informationen zur Verwendung SSE-KMS mit Amazon S3 finden Sie unterVerwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüssel () SSE-KMS. Weitere Informationen zur Verwendung finden DSSE-KMS Sie unterVerwenden Sie serverseitige Dual-Layer-Verschlüsselung mit AWS KMS Schlüssel () DSSE-KMS.

    2. Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung verwendet SSE-KMS, können Sie auch einen S3-Bucket-Key aktivieren. S3-Bucket-Keys senken die Kosten für die Verschlüsselung, indem sie den Anforderungsverkehr von Amazon S3 zu verringern AWS KMS. Weitere Informationen finden Sie unter Senkung der Kosten SSE-KMS mit Amazon S3 Bucket Keys.

      Um S3-Bucket-Schlüssel zu verwenden, wählen Sie unter Bucket Key (Bucket-Schlüssel) die Option Enable (Aktivieren).

      Anmerkung

      S3-Bucket-Keys werden nicht unterstützt für DSSE-KMS.

  8. Wählen Sie Änderungen speichern aus.

Diese Beispiele zeigen Ihnen, wie Sie die Standardverschlüsselung mithilfe SSE-S3 oder SSE-KMS mithilfe eines S3-Bucket-Keys konfigurieren.

Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets. Weitere Informationen zur Konfiguration der AWS CLI Standardverschlüsselung finden Sie unter put-bucket-encryption.

Beispiel— Standardverschlüsselung mit SSE-S3

In diesem Beispiel wird die Standardverschlüsselung von Buckets mit von Amazon S3 verwalteten Schlüsseln konfiguriert.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "AES256" } } ] }'
Beispiel— Standardverschlüsselung mit SSE-KMS Verwendung eines S3-Bucket-Keys

In diesem Beispiel wird die Standard-Bucket-Verschlüsselung SSE-KMS mithilfe eines S3-Bucket-Keys konfiguriert.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "KMS-Key-ARN" }, "BucketKeyEnabled": true } ] }'

Verwenden Sie den PutBucketEncryption REST-API-Vorgang, um die Standardverschlüsselung zu aktivieren und den Typ der serverseitigen Verschlüsselung auf— SSE-S3 SSE-KMS, oder festzulegen. DSSE-KMS

Weitere Informationen finden Sie unter PutBucketEncryption in der API-Referenz zu Amazon Simple Storage Service.