Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwendung der serverseitigen Verschlüsselung mit Schlüsseln (SSE-KMS) in Verzeichnis-Buckets AWS KMS
<a name="s3-express-UsingKMSEncryption"></a>

 Die darin enthaltenen Sicherheitskontrollen AWS KMS können Ihnen dabei helfen, die Compliance-Anforderungen im Zusammenhang mit der Verschlüsselung zu erfüllen. Sie können Verzeichnis-Buckets so konfigurieren, dass sie serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwenden und diese KMS-Schlüssel verwenden, um Ihre Daten in Amazon S3-Verzeichnis-Buckets zu schützen. Weitere Informationen zu SSE-KMS finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](UsingKMSEncryption.md).

**Berechtigungen**  
Um ein mit Amazon S3 verschlüsseltes Objekt hoch- oder von Amazon S3 hoch `kms:GenerateDataKey` - oder herunterzuladen, benötigen Sie `kms:Decrypt` Berechtigungen für den Schlüssel. AWS KMS key Weitere Informationen finden Sie unter [Schlüssel-Benutzern die Verwendung eines KMS-Schlüssels für kryptografische Operationen gestatten](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto) im *Entwicklerhandbuch zu AWS Key Management Service *. Informationen zu den AWS KMS Berechtigungen, die für mehrteilige Uploads erforderlich sind, finden Sie unter. [API für mehrteilige Uploads und Berechtigungen](mpuoverview.md#mpuAndPermissions)

Weitere Informationen zu KMS-Schlüsseln für SSE-KMS finden Sie unter [Angabe der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS)](specifying-kms-encryption.md).

**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Verwenden der SSE-KMS-Verschlüsselung für kontoübergreifende Vorgänge](#s3-express-bucket-encryption-update-bucket-policy)
+ [Amazon-S3-Bucket-Schlüssel](#s3-express-sse-kms-bucket-keys)
+ [SSE-KMS erforderlich](#s3-express-require-sse-kms)
+ [Verschlüsselungskontext](#s3-express-encryption-context)
+ [Senden von Anfragen für AWS KMS verschlüsselte Objekte](#s3-express-aws-signature-version-4-sse-kms)
+ [Prüfen der SSE-KMS-Verschlüsselung in Verzeichnis-Buckets](#s3-express-bucket-encryption-sse-auditing)
+ [Spezifizierung der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS) für das Hochladen neuer Objekte in Verzeichnis-Buckets](s3-express-specifying-kms-encryption.md)

## AWS KMS keys
<a name="s3-express-aws-managed-customer-managed-keys"></a>

Ihre SSE-KMS-Konfiguration kann für die gesamte Lebensdauer des Buckets nur einen [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pro Verzeichnis-Bucket unterstützen. Der [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) wird nicht unterstützt. Nachdem Sie einen vom Kunden verwalteten Schlüssel für SSE-KMS angegeben haben, können Sie den vom Kunden verwalteten Schlüssel für die SSE-KMS-Konfiguration des Buckets nicht mehr überschreiben.

Sie können den vom Kunden verwalteten Schlüssel, den Sie für die SSE-KMS-Konfiguration des Buckets angegeben haben, wie folgt identifizieren:
+ Sie stellen eine `HeadObject` API-Operationsanforderung, um den Wert von `x-amz-server-side-encryption-aws-kms-key-id` in Ihrer Antwort zu ermitteln.

Um einen neuen, vom Kunden verwalteten Schlüssel für Ihre Daten zu verwenden, empfehlen wir, Ihre vorhandenen Objekte mit einem neuen vom Kunden verwalteten Schlüssel in einen neuen Verzeichnis-Bucket zu kopieren.

Wenn Sie einen [vom Kunden verwalteten AWS KMS -Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung in Ihrem Verzeichnis-Bucket angeben, verwenden Sie nur die Schlüssel-ID oder den Schlüssel-ARN. Das Schlüsselaliasformat des KMS-Schlüssels wird nicht unterstützt.

Weitere Informationen zu KMS-Schlüsseln für SSE-KMS finden Sie unter [AWS KMS keys](UsingKMSEncryption.md#aws-managed-customer-managed-keys).

## Verwenden der SSE-KMS-Verschlüsselung für kontoübergreifende Vorgänge
<a name="s3-express-bucket-encryption-update-bucket-policy"></a>

Beachten Sie Folgendes, wenn Sie kontoübergreifende Operationen in Verzeichnis-Buckets verschlüsseln:
+ Wenn Sie kontoübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten, können Sie eine Richtlinie konfigurieren, die einen vom Kunden verwalteten Schlüssel vorsieht, um den Zugriff von einem anderen Konto aus zu ermöglichen.
+ Um einen vom Kunden verwalteten Schlüssel anzugeben, müssen Sie einen vollqualifizierten KMS-Schlüssel-ARN verwenden.

## Amazon-S3-Bucket-Schlüssel
<a name="s3-express-sse-kms-bucket-keys"></a>

S3 Bucket Keys sind immer für `GET`- und `PUT`-Vorgänge in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden. S3 Bucket Keys werden nicht unterstützt, wenn Sie SSE-KMS-verschlüsselte Objekte von Allzweck-Buckets zu Verzeichnis-Buckets, von Verzeichnis-Buckets zu Allzweck-Buckets oder zwischen Verzeichnis-Buckets über [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [die Copy-Operation in Batch Operations](directory-buckets-objects-Batch-Ops.md) oder [die import-Aufgaben](create-import-job.md) kopieren. In diesem Fall ruft Amazon S3 AWS KMS jedes Mal, wenn eine Kopieranforderung für ein KMS-verschlüsseltes Objekt gestellt wird, auf.

Bei [API-Vorgängen an zonalen Endpunkten (Objektebene)](s3-express-differences.md#s3-express-differences-api-operations) mit Ausnahme von und authentifizieren [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)autorisieren Sie Anfragen mit geringer Latenz. [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren `CreateSession`-Anforderungen oder `PUT`-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. Um neue Objekte in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (also einem [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)) angeben. Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit SSE-KMS- und S3-Bucket -Schlüsseln ver- und entschlüsselt. Weitere Informationen zum Verhalten, das die Verschlüsselung in Verzeichnis-Buckets außer Kraft setzt, finden Sie unter [Serverseitige Verschlüsselung für Uploads neuer Objekte angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html). AWS KMS 

S3-Bucket-Keys werden für einen begrenzten Zeitraum in Amazon S3 verwendet, sodass Amazon S3 keine Anfragen mehr stellen muss, AWS KMS um Verschlüsselungsvorgänge abzuschließen. Weitere Informationen zur Verwendung von S3-Bucket-Schlüsseln finden Sie unter [Amazon-S3-Bucket-Schlüssel](UsingKMSEncryption.md#sse-kms-bucket-keys) und [Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln](bucket-key.md).

## SSE-KMS erforderlich
<a name="s3-express-require-sse-kms"></a>

Um SSE-KMS für alle Objekte in einem bestimmten Verzeichnis-Bucket zu erzwingen, können Sie eine Bucket-Richtlinie verwenden. Wenn Sie beispielsweise die `CreateSession`-API-Operation verwenden, um die Berechtigung zum Hochladen eines neuen Objekts (`PutObject`, `CopyObject` und`CreateMultipartUpload`) zu erteilen, verweigert die folgende Bucket-Richtlinie jedem die Upload-Objektberechtigung (`s3express:CreateSession`), wenn die `CreateSession`-Anforderung keinen `x-amz-server-side-encryption-aws-kms-key-id`-Header enthält, der SSE-KMS anfordert.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"UploadObjectPolicy",
   "Statement":[{
         "Sid":"DenyObjectsThatAreNotSSEKMS",
         "Effect":"Deny",
         "Principal":"*",
         "Action":"s3express:CreateSession",
         "Resource":"arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
         "Condition":{
            "Null":{
               "s3express:x-amz-server-side-encryption-aws-kms-key-id":"true"
            }
         }
      }
   ]
}
```

------

Um zu verlangen, dass ein bestimmter AWS KMS key Schlüssel zum Verschlüsseln der Objekte in einem Bucket verwendet wird, können Sie den `s3express:x-amz-server-side-encryption-aws-kms-key-id` Bedingungsschlüssel verwenden. Um den KMS-Schlüssel anzugeben, müssen Sie einen Schlüssel mit dem folgenden `arn:aws:kms:region:acct-id:key/key-id` Format verwenden: Amazon Resource Name (ARN). AWS Identity and Access Management überprüft nicht, ob die Zeichenfolge für `s3express:x-amz-server-side-encryption-aws-kms-key-id` existiert. Die AWS KMS Schlüssel-ID, die Amazon S3 für die Objektverschlüsselung verwendet, muss mit der AWS KMS Schlüssel-ID in der Richtlinie übereinstimmen, andernfalls lehnt Amazon S3 die Anfrage ab.

Weitere Informationen zum Verwenden von SSE-KMS für das Hochladen neuer Objekte finden Sie unter. [Spezifizierung der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS) für das Hochladen neuer Objekte in Verzeichnis-Buckets](s3-express-specifying-kms-encryption.md)

Eine vollständige Liste spezifischer Bedingungsschlüssel für Verzeichnis-Buckets finden Sie unter [Autorisieren regionaler Endpunkt-API-Operationen mit IAM](s3-express-security-iam.md).

## Verschlüsselungskontext
<a name="s3-express-encryption-context"></a>

Für Verzeichnis-Buckets ist ein *Verschlüsselungskontext* ein Satz von Schlüssel-Wert-Paaren, die kontextbezogene Informationen zu den Daten enthalten. Ein zusätzlicher Wert für den Verschlüsselungskontext wird nicht unterstützt. Weitere Informationen zum Thema Verschlüsselungskontext finden Sie unter [Verschlüsselungskontext](UsingKMSEncryption.md#encryption-context). 



Wenn Sie SSE-KMS für einen Verzeichnis-Bucket verwenden, verwendet Amazon S3 standardmäßig den Bucket-ARN (Amazon-Ressourcenname) als Verschlüsselungskontextpaar:

```
arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3
```

Stellen Sie sicher, dass Ihre IAM-Richtlinien oder AWS KMS Schlüsselrichtlinien Ihren Bucket-ARN als Verschlüsselungskontext verwenden.

Sie können optional ein explizites Verschlüsselungskontextpaar angeben, indem Sie den `x-amz-server-side-encryption-context` Header in einer API-Anfrage für zonale Endpunkte verwenden, z. B. [ CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html#API_CreateSession_RequestSyntax) Der Wert dieses Headers ist eine Base64-kodierte Zeichenfolge einer UTF-8-kodierten JSON-Datei, die den Verschlüsselungskontext als Schlüssel-Wert-Paare enthält. Für Verzeichnis-Buckets muss der Verschlüsselungskontext dem Standardverschlüsselungskontext entsprechen – dem Bucket-ARN (Amazon-Ressourcenname). Da der Verschlüsselungskontext nicht verschlüsselt ist, sollte er keine sensiblen Informationen enthalten.

Sie können den Verschlüsselungskontext verwenden, um Ihre kryptografischen Vorgänge zu identifizieren und zu kategorisieren. Sie können auch den ARN-Wert des standardmäßigen Verschlüsselungskontextes verwenden, um relevante Anfragen nachzuverfolgen, AWS CloudTrail indem Sie sich ansehen, welcher Verzeichnis-Bucket ARN mit welchem Verschlüsselungsschlüssel verwendet wurde.

Wenn Sie SSE-KMS im `requestParameters` Feld einer CloudTrail Protokolldatei für einen Verzeichnis-Bucket verwenden, ist der Verschlüsselungskontextwert der ARN des Buckets. 

```
"encryptionContext": {
    "aws:s3express:arn": "arn:aws:s3:::arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
}
```

Außerdem protokollieren Ihre AWS KMS CloudTrail Ereignisse bei der Objektverschlüsselung mit SSE-KMS in einem Verzeichnis-Bucket Ihren Bucket-ARN anstelle Ihres Objekt-ARN. 

## Senden von Anfragen für AWS KMS verschlüsselte Objekte
<a name="s3-express-aws-signature-version-4-sse-kms"></a>

Auf Verzeichnis-Buckets kann nur über HTTPS (TLS) zugegriffen werden. Außerdem signieren Verzeichnis-Buckets Anfragen mithilfe von AWS Signature Version 4 (Sigv4). Weitere Hinweise zum Senden von Anfragen für AWS KMS verschlüsselte Objekte finden Sie unter. [Senden von Anfragen für AWS KMS verschlüsselte Objekte](UsingKMSEncryption.md#aws-signature-version-4-sse-kms)

Wenn Ihr Objekt SSE-KMS verwendet, dürfen Sie keine Verschlüsselungsanforderungs-Header für `GET`- und `HEAD`-Anforderungen senden. Andernfalls erhalten Sie den Fehler HTTP 400 Bad Request.

## Prüfen der SSE-KMS-Verschlüsselung in Verzeichnis-Buckets
<a name="s3-express-bucket-encryption-sse-auditing"></a>

Um die Verwendung Ihrer AWS KMS Schlüssel für Ihre SSE-KMS-verschlüsselten Daten zu überprüfen, können Sie Protokolle verwenden AWS CloudTrail . Sie können Einblick in Ihre [kryptografischen Operationen](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations) wie und erhalten. [https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html) CloudTrail unterstützt zahlreiche [Attributwerte](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle. 

**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Verwenden der SSE-KMS-Verschlüsselung für kontoübergreifende Vorgänge](#s3-express-bucket-encryption-update-bucket-policy)
+ [Amazon-S3-Bucket-Schlüssel](#s3-express-sse-kms-bucket-keys)
+ [SSE-KMS erforderlich](#s3-express-require-sse-kms)
+ [Verschlüsselungskontext](#s3-express-encryption-context)
+ [Senden von Anfragen für AWS KMS verschlüsselte Objekte](#s3-express-aws-signature-version-4-sse-kms)
+ [Prüfen der SSE-KMS-Verschlüsselung in Verzeichnis-Buckets](#s3-express-bucket-encryption-sse-auditing)
+ [Spezifizierung der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS) für das Hochladen neuer Objekte in Verzeichnis-Buckets](s3-express-specifying-kms-encryption.md)

# Spezifizierung der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS) für das Hochladen neuer Objekte in Verzeichnis-Buckets
<a name="s3-express-specifying-kms-encryption"></a>

Für Verzeichnis-Buckets können Sie zur Verschlüsselung Ihrer Daten mit serverseitiger Verschlüsselung entweder serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) (Standard) oder serverseitige Verschlüsselung mit AWS Key Management Service () -Schlüsseln (SSE-KMS) verwenden.AWS KMS Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren `CreateSession`-Anforderungen oder `PUT`-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. [Weitere Informationen zum Verhalten, das die Verschlüsselung in Verzeichnis-Buckets außer Kraft setzt, finden Sie unter Serverseitige Verschlüsselung für neue Objekt-Uploads angeben. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)

Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert und alle neuen Objekte, die in einen S3-Bucket hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Bucket in Amazon S3. Wenn Sie einen anderen Verschlüsselungstyp für einen Verzeichnis-Bucket angeben möchten, können Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) verwenden. Um neue Objekte in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (also einem [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)) angeben. Der [Von AWS verwalteter Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) wird nicht unterstützt. Ihre SSE-KMS-Konfiguration kann für die gesamte Lebensdauer des Buckets nur einen [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pro Verzeichnis-Bucket unterstützen. Nachdem Sie einen vom Kunden verwalteten Schlüssel für SSE-KMS angegeben haben, können Sie den vom Kunden verwalteten Schlüssel für die SSE-KMS-Konfiguration des Buckets nicht mehr überschreiben. Wenn Sie dann serverseitige Verschlüsselungseinstellungen für neue Objekte mit SSE-KMS angeben, müssen Sie sicherstellen, dass der Verschlüsselungsschlüssel derselbe vom Kunden verwaltete Schlüssel ist, den Sie für die Standardverschlüsselungskonfiguration des Verzeichnis-Buckets angegeben haben. Um einen neuen, vom Kunden verwalteten Schlüssel für Ihre Daten zu verwenden, empfehlen wir, Ihre vorhandenen Objekte mit einem neuen vom Kunden verwalteten Schlüssel in einen neuen Verzeichnis-Bucket zu kopieren.

Sie können die Verschlüsselung anwenden, wenn Sie entweder ein neues Objekt hochladen oder ein vorhandenes Objekt kopieren. Wenn Sie die Verschlüsselung eines Objekts ändern, wird ein neues Objekt erstellt, um das alte zu ersetzen.

Sie können SSE-KMS mithilfe der REST-API-Operationen, AWS SDKs und () angeben. AWS Command Line Interface AWS CLI

**Anmerkung**  
 Bei Verzeichnis-Buckets ist das Überschreibungsverhalten der Verschlüsselung wie folgt:   
Wenn Sie die REST-API verwenden [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html), um API-Anfragen für zonale Endpunkte zu authentifizieren und zu autorisieren [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), können Sie die Verschlüsselungseinstellungen für SSE-S3 oder SSE-KMS nur dann überschreiben, wenn Sie zuvor die [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)Standardverschlüsselung des Buckets mit SSE-KMS angegeben haben.
Wenn Sie [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)mit AWS CLI oder die verwenden, um API-Anfragen für zonale Endpunkte AWS SDKs zu authentifizieren und zu autorisieren, können Sie die Verschlüsselungseinstellungen in keiner Weise überschreiben. [CopyObject[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
Wenn Sie [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)Anfragen stellen, können Sie die Verschlüsselungseinstellungen für SSE-S3 oder SSE-KMS nur dann überschreiben, wenn Sie zuvor die Standardverschlüsselung des Buckets mit SSE-KMS angegeben haben. Wenn Sie [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)Anfragen stellen, können Sie die Verschlüsselungseinstellungen nicht überschreiben.
Sie können Multiregion AWS KMS keys in Amazon S3 verwenden. Amazon S3 behandelt jedoch derzeit Multi-Regions-Schlüssel wie Einzel-Regions-Schlüssel und verwendet nicht die Multi-Regions-Funktionen des Schlüssels. Weitere Informationen finden Sie unter [Using multi-Region keys (Verwenden von Multi-Regions-Zugriffpunkt-Schlüsseln)](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie einen KMS-Schlüssel verwenden möchten, der sich im Besitz eines anderen Kontos befindet, müssen Sie über die Berechtigung zum Verwenden des Schlüssels verfügen. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS-Schlüssel finden Sie unter [Erstellen von KMS-Schlüsseln, die von anderen Konten verwendet werden können](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) im *Entwicklerhandbuch zu AWS Key Management Service *. 

## Verwenden der REST-API
<a name="s3-express-KMSUsingRESTAPI"></a>

**Anmerkung**  
 Pro Verzeichnis-Bucket wird für die gesamte Lebensdauer des Buckets nur ein [vom Kunden verwalteter Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) unterstützt. Der [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) wird nicht unterstützt. Nachdem Sie SSE-KMS als Standardverschlüsselungskonfiguration Ihres Buckets mit einem vom Kunden verwalteten Schlüssel angegeben haben, können Sie den vom Kunden verwalteten Schlüssel für die SSE-KMS-Konfiguration des Buckets nicht mehr ändern. 

Bei [API-Vorgängen an zonalen Endpunkten (Objektebene)](s3-express-differences.md#s3-express-differences-api-operations) mit Ausnahme von und authentifizieren [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)autorisieren Sie Anfragen mit geringer Latenz. [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschten Verschlüsselungskonfigurationen verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren `CreateSession`-Anforderungen oder `PUT`-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. Um neue Objekte in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (also einem [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)) angeben. Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit SSE-KMS- und S3-Bucket -Schlüsseln ver- und entschlüsselt. Weitere Informationen zum Verhalten, das die Verschlüsselung in Verzeichnis-Buckets außer Kraft setzt, finden Sie unter [Serverseitige Verschlüsselung für Uploads neuer Objekte angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html). AWS KMS 

Bei API-Aufrufen für zonale Endpunkte (außer [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), die die REST-API verwenden, können Sie die Werte der Verschlüsselungseinstellungen (`x-amz-server-side-encryption`, `x-amz-server-side-encryption-aws-kms-key-id``x-amz-server-side-encryption-context`, und`x-amz-server-side-encryption-bucket-key-enabled`) aus der Anfrage nicht überschreiben. `CreateSession` Sie müssen diese Werte für die Verschlüsselungseinstellungen nicht explizit in API-Aufrufen für zonale Endpunkte angeben. Amazon S3 verwendet die Werte der Verschlüsselungseinstellungen aus der `CreateSession`-Anforderung, um neue Objekte im Verzeichnis-Bucket zu schützen. 

**Anmerkung**  
Wenn Sie das AWS CLI oder das AWS SDKs, für verwenden, wird das Sitzungstoken automatisch aktualisiert`CreateSession`, um Dienstunterbrechungen zu vermeiden, wenn eine Sitzung abläuft. Das AWS CLI oder sie AWS SDKs verwenden die Standardverschlüsselungskonfiguration des Buckets für die `CreateSession` Anfrage. Das Überschreiben der Werte der Verschlüsselungseinstellungen in der `CreateSession`-Anforderung wird nicht unterstützt. Außerdem wird es bei API-Aufrufen für zonale Endpunkte (außer [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) nicht unterstützt, die Werte der Verschlüsselungseinstellungen aus der `CreateSession` Anfrage zu überschreiben. 

[Um neue Objektkopien in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (insbesondere einem vom Kunden verwalteten Schlüssel) angeben. [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Wenn Sie dann serverseitige Verschlüsselungseinstellungen für neue Objektkopien mit SSE-KMS angeben, müssen Sie sicherstellen, dass der Verschlüsselungsschlüssel derselbe vom Kunden verwaltete Schlüssel ist, den Sie für die Standardverschlüsselungskonfiguration des Verzeichnis-Buckets angegeben haben. [Um neue Objektteilkopien in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (insbesondere einem vom Kunden verwalteten Schlüssel) angeben. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Sie können keine serverseitigen Verschlüsselungseinstellungen für neue Objektteilkopien mit SSE-KMS in den Anforderungsheadern angeben. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Außerdem müssen die Verschlüsselungseinstellungen, die Sie in der [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)Anfrage angeben, mit der Standardverschlüsselungskonfiguration des Ziel-Buckets übereinstimmen. 



**Topics**
+ [Amazon-S3-REST-API-Vorgänge, die SSE-KMS unterstützen](#s3-express-sse-request-headers-kms)
+ [Verschlüsselungskontext (`x-amz-server-side-encryption-context`)](#s3-express-s3-kms-encryption-context)
+ [AWS KMS Schlüssel-ID () `x-amz-server-side-encryption-aws-kms-key-id`](#s3-express-s3-kms-key-id-api)
+ [S3 Bucket Keys (`x-amz-server-side-encryption-aws-bucket-key-enabled`)](#s3-express-bucket-key-api)

### Amazon-S3-REST-API-Vorgänge, die SSE-KMS unterstützen
<a name="s3-express-sse-request-headers-kms"></a>

Die folgenden REST-API-Operationen akzeptieren die Anforderungs-Header `x-amz-server-side-encryption`, `x-amz-server-side-encryption-aws-kms-key-id` und `x-amz-server-side-encryption-context`.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)— Wenn Sie API-Operationen für zonale Endpunkte (Objektebene) (außer CopyObject und UploadPartCopy) verwenden, können Sie diese Anforderungsheader angeben. 
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) – Wenn Sie Daten über die `PUT`-API-Operation hochladen, können Sie diese Anforderungs-Header angeben. 
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) – Wenn Sie ein Objekt kopieren, erhalten Sie ein Quell- und ein Zielobjekt. Wenn Sie SSE-KMS-Header mit der `CopyObject`-Operation übergeben, werden sie nur auf das Zielobjekt angewendet.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) – Wenn Sie große Objekte über die API-Operation für mehrteilige Uploads hochladen, können Sie diese Header angeben. Sie geben diese Header in der `CreateMultipartUpload`-Anforderung an.

Die Antwort-Header der folgenden REST-API-Operationen geben den Header `x-amz-server-side-encryption` zurück, wenn ein Objekt unter Verwendung der serverseitigen Verschlüsselung gespeichert wird.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)

**Wichtig**  
Alle `GET`- und `PUT`-Anforderungen für ein durch AWS KMS geschütztes Objekt schlagen fehl, wenn diese Anforderungen nicht über Transport Layer Security (TLS) oder Signature Version 4 gestellt werden.
Wenn Ihr Objekt SSE-KMS verwendet, senden Sie keine Header für `GET` Verschlüsselungsanfragen für Anfragen und `HEAD` Anfragen, da Sie sonst einen HTTP 400-Fehler erhalten. BadRequest

### Verschlüsselungskontext (`x-amz-server-side-encryption-context`)
<a name="s3-express-s3-kms-encryption-context"></a>

Wenn Sie `x-amz-server-side-encryption:aws:kms` angeben, unterstützt die Amazon-S3-API optional das Bereitstellen eines expliziten Verschlüsselungskontexts mit dem `x-amz-server-side-encryption-context`-Header. Für Verzeichnis-Buckets ist ein Verschlüsselungskontext ein Satz von Schlüssel-Wert-Paaren, die kontextbezogene Informationen zu den Daten enthalten. Der Wert muss dem Standard-Verschlüsselungskontext entsprechen – dem Amazon-Ressourcennamen (ARN) für den Bucket. Ein zusätzlicher Wert für den Verschlüsselungskontext wird nicht unterstützt. 

Weitere Informationen zum Verschlüsselungskontext in Verzeichnis-Buckets finden Sie unter [Verschlüsselungskontext](s3-express-UsingKMSEncryption.md#s3-express-encryption-context). Allgemeine Informationen zum Verschlüsselungs-Kontext finden Sie unter [AWS Key Management Service Concepts – Encryption Context (Konzepte – Verschlüsselungs-Kontext)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) im *AWS Key Management Service -Entwicklerhandbuch*. 

### AWS KMS Schlüssel-ID () `x-amz-server-side-encryption-aws-kms-key-id`
<a name="s3-express-s3-kms-key-id-api"></a>

Sie können den Header `x-amz-server-side-encryption-aws-kms-key-id` verwenden, um die ID des vom Kunden verwalteten Schlüssels anzugeben, der zum Schutz der Daten verwendet wird.

Ihre SSE-KMS-Konfiguration kann für die gesamte Lebensdauer des Buckets nur einen [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pro Verzeichnis-Bucket unterstützen. Der [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) wird nicht unterstützt. Nachdem Sie einen vom Kunden verwalteten Schlüssel für SSE-KMS angegeben haben, können Sie den vom Kunden verwalteten Schlüssel für die SSE-KMS-Konfiguration des Buckets nicht mehr überschreiben.

Sie können den vom Kunden verwalteten Schlüssel, den Sie für die SSE-KMS-Konfiguration des Buckets angegeben haben, wie folgt identifizieren:
+ Sie stellen eine `HeadObject` API-Operationsanforderung, um den Wert von `x-amz-server-side-encryption-aws-kms-key-id` in Ihrer Antwort zu ermitteln.

Um einen neuen, vom Kunden verwalteten Schlüssel für Ihre Daten zu verwenden, empfehlen wir, Ihre vorhandenen Objekte mit einem neuen vom Kunden verwalteten Schlüssel in einen neuen Verzeichnis-Bucket zu kopieren.

Weitere Informationen zum Verschlüsselungskontext in Verzeichnis-Buckets finden Sie unter [AWS KMS keys](s3-express-UsingKMSEncryption.md#s3-express-aws-managed-customer-managed-keys). 

### S3 Bucket Keys (`x-amz-server-side-encryption-aws-bucket-key-enabled`)
<a name="s3-express-bucket-key-api"></a>

S3 Bucket Keys sind immer für `GET`- und `PUT`-Vorgänge in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden. S3 Bucket Keys werden nicht unterstützt, wenn Sie SSE-KMS-verschlüsselte Objekte von Allzweck-Buckets zu Verzeichnis-Buckets, von Verzeichnis-Buckets zu Allzweck-Buckets oder zwischen Verzeichnis-Buckets über [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [die Copy-Operation in Batch Operations](directory-buckets-objects-Batch-Ops.md) oder [die import-Aufgaben](create-import-job.md) kopieren. In diesem Fall ruft Amazon S3 AWS KMS jedes Mal, wenn eine Kopieranforderung für ein KMS-verschlüsseltes Objekt gestellt wird, auf. Weitere Informationen zu den S3-Bucket-Schlüsseln in Verzeichnis-Buckets finden Sie unter [Verschlüsselungskontext](s3-express-UsingKMSEncryption.md#s3-express-encryption-context). 

## Mit dem AWS CLI
<a name="s3-express-KMSUsingCLI"></a>

**Anmerkung**  
Wenn Sie das AWS CLI, für verwenden, wird das Sitzungstoken automatisch aktualisiert`CreateSession`, um Dienstunterbrechungen zu vermeiden, wenn eine Sitzung abläuft. Das Überschreiben der Werte der Verschlüsselungseinstellungen in der `CreateSession`-Anforderung wird nicht unterstützt. Außerdem wird es bei API-Aufrufen für zonale Endpunkte (außer [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) nicht unterstützt, die Werte der Verschlüsselungseinstellungen aus der Anfrage zu überschreiben. `CreateSession`   
Um neue Objekte in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (also einem vom Kunden verwalteten Schlüssel) angeben. Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit SSE-KMS- und S3-Bucket -Schlüsseln ver- und entschlüsselt.

Um die folgenden AWS CLI Beispielbefehle zu verwenden, ersetzen Sie sie durch Ihre eigenen Informationen. `user input placeholders`

Wenn Sie ein neues Objekt hochladen oder ein vorhandenes Objekt kopieren, können Sie die Verwendung einer serverseitigen Verschlüsselung mit AWS KMS Schlüsseln zur Verschlüsselung Ihrer Daten angeben. Verwenden Sie dazu den Befehl `put-bucket-encryption`, um die Standardverschlüsselungskonfiguration des Verzeichnis-Buckets auf SSE-KMS (`aws:kms`) festzulegen. Fügen Sie der Anforderung insbesondere den `--server-side-encryption aws:kms`-Header hinzu. Verwenden Sie den`--ssekms-key-id example-key-id`, um Ihren vom [Kunden verwalteten AWS KMS Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#customer-cmk) hinzuzufügen, den Sie erstellt haben. Wenn Sie angeben`--server-side-encryption aws:kms`, müssen Sie eine AWS KMS Schlüssel-ID Ihres vom Kunden verwalteten Schlüssels angeben. Directory-Buckets verwenden keinen AWS verwalteten Schlüssel. Ein Beispielbefehl finden Sie unter [Verwenden Sie den AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli). 

Wenn Sie dann ein neues Objekt mit dem folgenden Befehl hochladen, verwendet Amazon S3 die Bucket-Einstellungen für die Standardverschlüsselung, um das Objekt standardmäßig zu verschlüsseln.

```
aws s3api put-object --bucket bucket-base-name--zone-id--x-s3 --key example-object-key --body filepath
```

Sie müssen Ihren API-Operationen für zonale Endpunkte `-\-bucket-key-enabled` nicht explizit hinzufügen. S3 Bucket Keys sind immer für `GET`- und `PUT`-Vorgänge in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden. S3 Bucket Keys werden nicht unterstützt, wenn Sie SSE-KMS-verschlüsselte Objekte von Allzweck-Buckets zu Verzeichnis-Buckets, von Verzeichnis-Buckets zu Allzweck-Buckets oder zwischen Verzeichnis-Buckets über [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [die Copy-Operation in Batch Operations](directory-buckets-objects-Batch-Ops.md) oder [die import-Aufgaben](create-import-job.md) kopieren. In diesem Fall ruft Amazon S3 AWS KMS jedes Mal, wenn eine Kopieranforderung für ein KMS-verschlüsseltes Objekt gestellt wird, auf.

Sie können ein Objekt aus einem Quell-Bucket (z. B. einem Allzweck-Bucket) in einen neuen Bucket (z. B. einen Verzeichnis-Bucket) kopieren und die SSE-KMS-Verschlüsselung für die Zielobjekte verwenden. Verwenden Sie dazu den Befehl `put-bucket-encryption`, um die Standardverschlüsselungskonfiguration des Ziel-Buckets (z. B. eines Verzeichnis-Buckets) auf SSE-KMS (`aws:kms`) festzulegen. Ein Beispielbefehl finden Sie unter [Verwenden Sie den AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli). Wenn Sie dann ein Objekt mit dem folgenden Befehl kopieren, verwendet Amazon S3 die Bucket-Einstellungen für die Standardverschlüsselung, um das Objekt standardmäßig zu verschlüsseln.

```
aws s3api copy-object --copy-source amzn-s3-demo-bucket/example-object-key --bucket bucket-base-name--zone-id--x-s3 --key example-object-key  
```

## Mit dem AWS SDKs
<a name="s3-express-kms-using-sdks"></a>

Bei der Verwendung AWS SDKs können Sie Amazon S3 AWS KMS keys für die serverseitige Verschlüsselung anfordern. Die folgenden Beispiele zeigen, wie SSE-KMS mit dem AWS SDKs für Java und .NET verwendet wird. Informationen zu anderen SDKs finden Sie im AWS Developer Center unter [Beispielcode und Bibliotheken](https://aws.amazon.com/code).

**Anmerkung**  
Wenn Sie AWS SDKs, für verwenden, wird das Sitzungstoken automatisch aktualisiert`CreateSession`, um Dienstunterbrechungen zu vermeiden, wenn eine Sitzung abläuft. Das Überschreiben der Werte der Verschlüsselungseinstellungen in der `CreateSession`-Anforderung wird nicht unterstützt. Außerdem wird es bei API-Aufrufen für zonale Endpunkte (außer [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) nicht unterstützt, die Werte der Verschlüsselungseinstellungen aus der Anfrage zu überschreiben. `CreateSession`   
Um neue Objekte in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (also einem vom Kunden verwalteten Schlüssel) angeben. Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit SSE-KMS- und S3-Bucket -Schlüsseln ver- und entschlüsselt.  
Weitere Hinweise zur Verwendung AWS SDKs , um die Standardverschlüsselungskonfiguration eines Verzeichnis-Buckets auf SSE-KMS festzulegen, finden Sie unter. [Unter Verwendung der AWS SDKs](s3-express-bucket-encryption.md#s3-express-kms-put-bucket-encryption-using-sdks)

**Wichtig**  
Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Weitere Informationen zu diesen Schlüsseln finden Sie unter [Symmetrische KMS-Verschlüsselungsschlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) im *Entwicklerhandbuch für AWS Key Management Service *.

Weitere Informationen zur Erstellung von kundenverwalteten Schlüsseln finden Sie unter [Programming the AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) im *AWS Key Management Service Developer* Guide.