Konfigurieren der Standardverschlüsselung

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in AWS CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS Command Line Interface und verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Für Amazon-S3-Buckets ist die Bucket-Verschlüsselung standardmäßig aktiviert und neue Objekte werden automatisch unter Verwendung der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselung gilt für alle neuen Objekte in Ihren Amazon-S3-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und der Zuweisung von Zugriffsrichtlinien, können Sie sich für die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) oder die zweischichtige serverseitige Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) entscheiden. Weitere Informationen zu SSE-KMS finden Sie unter Angeben der serverseitigen Verschlüsselung mit AWS KMS -(SSE-KMS). Weitere Informationen zu DSSE-KMS finden Sie unter Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS).

Wenn Sie einen KMS-Schlüssel verwenden möchten, der sich im Besitz eines anderen Kontos befindet, müssen Sie über die Berechtigung zum Verwenden des Schlüssels verfügen. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS-Schlüssel finden Sie unter Erstellen von KMS-Schlüsseln, die von anderen Konten verwendet werden können im Entwicklerhandbuch zu AWS Key Management Service .

Wenn Sie die Standard-Bucket-Verschlüsselung auf SSE-KMS festlegen, können Sie auch einen S3-Bucket-Key konfigurieren, um Ihre Anforderungskosten zu senken. AWS KMS Weitere Informationen finden Sie unter Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln.

Anmerkung

Wenn Sie Ihre Standard-Bucket-Verschlüsselung PutBucketEncryptionauf SSE-KMS setzen, sollten Sie überprüfen, ob Ihre KMS-Schlüssel-ID korrekt ist. Amazon S3 validiert die in PutBucketEncryption Anfragen angegebene KMS-Schlüssel-ID nicht.

Es gibt keine zusätzlichen Gebühren für die Nutzung von Standard-Verschlüsselung für S3-Buckets. Für Anforderungen zum Konfigurieren des Standardverschlüsselungsverhaltens werden Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise. Für SSE-KMS und DSSE-KMS AWS KMS fallen Gebühren an, die in den Preisen aufgeführt sind.AWS KMS

Die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) wird für die Standardverschlüsselung nicht unterstützt.

Sie können die Amazon S3 S3-Standardverschlüsselung für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole, der AWS SDKs, der Amazon S3 S3-REST-API und der AWS Command Line Interface (AWS CLI) konfigurieren.

Änderungen, die Sie vor dem Aktivieren der Standardverschlüsselung beachten sollten

Nachdem Sie die Standard-Verschlüsselung für einen Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:

Es gibt keine Änderung der Verschlüsselung der Objekte, die vor der Aktivierung der Standard-Verschlüsselung im Bucket vorhanden waren.
Wenn Sie Objekte nach der Aktivierung der Standard-Verschlüsselung hochladen:
- Wenn Ihre PUT-Abfrage-Header keine Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Standardverschlüsselungseinstellungen des Buckets, um die Objekte zu verschlüsseln.
- Wenn Ihre PUT-Anfrage-Header Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Verschlüsselungsinformationen der PUT-Anfrage, um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden.
Wenn Sie die Option SSE-KMS oder DSSE-KMS für die Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den Kontingenten der Anforderungen pro Sekunde (RPS) von AWS KMS. Weitere Informationen zu AWS KMS -Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie unter Kontingente im Entwicklerhandbuch zu AWS Key Management Service .

Anmerkung

Objekte, die hochgeladen wurden, bevor die Standardverschlüsselung aktiviert wurde, werden nicht verschlüsselt. Weitere Informationen zum Verschlüsseln vorhandener Objekte finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

Konfigurieren der Standardverschlüsselung für einen Amazon-S3-Bucket

Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.
Wählen Sie im linken Navigationsbereich Buckets aus.
Wählen Sie in der Liste Buckets den Namen des von Ihnen erstellten Buckets aus.
Wählen Sie die Registerkarte Eigenschaften aus.
Wählen Sie unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.
Wählen Sie eine der folgenden Optionen unter Verschlüsselungstyp aus, um die Verschlüsselung zu konfigurieren:
- Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)
- Serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS)
- Zweischichtige serverseitige Verschlüsselung mit Schlüsseln (DSSE-KMS) AWS Key Management Service
  
  Wichtig
  Wenn Sie die Optionen SSE-KMS oder DSSE-KMS für die Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den Kontingenten der Anforderungen pro Sekunde (RPS) von AWS KMS. Weitere Informationen zu AWS KMS Kontingenten und zur Beantragung einer Kontingenterhöhung finden Sie unter Kontingente im Entwicklerhandbuch.AWS Key Management Service
Buckets und neue Objekte werden standardmäßig mit SSE-S3 verschlüsselt, sofern Sie keine andere Art der Standardverschlüsselung für Ihre Buckets angeben. Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

Weitere Informationen zur Datenverschlüsselung mit der serverseitigen Amazon-S3-Verschlüsselung finden Sie unter Verwenden serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).
Wenn Sie sich für serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS) oder Serverseitige Dual-Layer-Verschlüsselung mit AWS Key Management Service Schlüsseln (DSSE-KMS) entschieden haben, gehen Sie wie folgt vor:
1. Geben Sie unter AWS KMS -Schlüssel Ihren KMS-Schlüssel auf eine der folgenden Arten an:
  - Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem und wählen Sie Ihren AWS KMS keys KMS-Schlüssel aus der Liste der verfügbaren Schlüssel aus.
    
    Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Entwicklerhandbuch.
  - Wählen Sie zum Eingeben des KMS-Schlüssel-ARN AWS KMS key -ARN eingeben aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.
  - Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS Key aus.
    
    Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter Creating Keys im AWS Key Management Service Developer Guide.
  Wichtig
  Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket aktiviert sind. Wenn Sie Choose from your KMS master keys (Auswahl aus Ihren KMS-Schlüsseln) auswählen, listet die S3-Konsole nur 100 KMS-Schlüssel pro Region auf. Wenn Sie über mehr als 100 KMS-Schlüssel in derselben Region verfügen, können Sie nur die ersten 100 KMS-Schlüssel in der S3-Konsole sehen. Um einen nicht in der Konsole aufgeführten KMS-Schlüssel zu verwenden, wählen Sie AWS KMS key -ARN eingeben aus und geben Sie den KMS-Schlüssel-ARN ein.
  Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Weitere Informationen zu diesen Schlüsseln finden Sie unter Symmetrische KMS-Verschlüsselungsschlüssel im Entwicklerhandbuch für AWS Key Management Service .
  
  Weitere Informationen zur Verwendung von SSE-KMS mit Amazon S3 finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS). Weitere Informationen zur Verwendung von DSSE-KMS finden Sie unter Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS).
2. Wenn Sie Ihren Bucket für die Verwendung der Standardverschlüsselung mit SSE-KMS konfigurieren, können Sie auch einen S3-Bucket-Schlüssel aktivieren. S3-Bucket-Keys senken die Kosten für die Verschlüsselung, indem sie den Anforderungsverkehr von Amazon S3 zu verringern AWS KMS. Weitere Informationen finden Sie unter Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln.
  
  Um S3-Bucket-Schlüssel zu verwenden, wählen Sie unter Bucket Key (Bucket-Schlüssel) die Option Enable (Aktivieren).
  
  Anmerkung
  S3-Bucket-Schlüssel werden für DSSE-KMS nicht unterstützt.
Wählen Sie Änderungen speichern aus.

Diese Beispiele zeigen Ihnen, wie Sie die Standardverschlüsselung mit SSE-S3 oder SSE-KMS mit einem S3-Bucket-Schlüssel konfigurieren.

Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets. Weitere Hinweise AWS CLI zur Konfiguration der Standardverschlüsselung finden Sie unter put-bucket-encryption.

Beispiel – Standard-Verschlüsselung mit SSE-S3

In diesem Beispiel wird die Standardverschlüsselung von Buckets mit von Amazon S3 verwalteten Schlüsseln konfiguriert.


aws s3api put-bucket-encryption --bucket DOC-EXAMPLE-BUCKET --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'

Beispiel – Standard-Verschlüsselung mit SSE-KMS mit einem S3-Bucket-Schlüssel

In diesem Beispiel wird die Standard-Bucket-Verschlüsselung mit SSE-KMS unter Verwendung eines S3-Bucket-Schlüssels konfiguriert.


aws s3api put-bucket-encryption --bucket DOC-EXAMPLE-BUCKET --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Verwenden Sie die REST-API-Operation PutBucketEncryption, um die Standardverschlüsselung zu aktivieren und den Typ der serverseitigen Verschlüsselung festzulegen, der verwendet werden soll – SSE-S3, SSE-KMS oder DSSE-KMS.

Weitere Informationen finden Sie unter PutBucketEncryption in der API-Referenz zu Amazon Simple Storage Service.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Festlegen der Standard-Bucket-Verschlüsselung

Überwachen der Standard-Verschlüsselung