Verwenden von serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) - Amazon Simple Storage Service
Überlegungen vor der Verwendung von SSE-C

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

Die serverseitige Verschlüsselung dient zum Schutz ruhender Daten. Die serverseitige Verschlüsselung verschlüsselt nur die Objektdaten, nicht die Metadaten des Objekts. Sie können serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) in Ihren Allzweck-Buckets verwenden, um Ihre Daten mit Ihren eigenen Verschlüsselungsschlüsseln zu verschlüsseln. Mit dem Verschlüsselungsschlüssel, den Sie als Teil Ihrer Anforderung bereitstellen, verwaltet Amazon S3 die Datenverschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Sie müssen also für die Datenverschlüsselung und -entschlüsselung keinen Code mehr verwalten. Sie müssen nur noch die von Ihnen bereitgestellten Verschlüsselungsschlüssel verwalten.

In den meisten modernen Anwendungsfällen in Amazon S3 wird SSE-C nicht mehr verwendet, da es nicht über die Flexibilität einer serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) oder einer serverseitigen Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS) verfügt. Die Anforderung von SSE-C, den Verschlüsselungsschlüssel bei jeder Interaktion mit Ihren SSE-C-verschlüsselten Daten bereitzustellen, macht es unpraktisch, Ihren SSEC-Schlüssel mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die Daten aus Ihren S3-Buckets lesen, um mit Ihren Daten zu arbeiten. Aufgrund der weit verbreiteten Unterstützung von SSE-KMS verwenden die meisten modernen Workloads keine AWS SSE-C-Verschlüsselung, da ihr die Flexibilität von SSE-KMS fehlt. Weitere Informationen zu SSE-KMS finden Sie unter. Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)

Wenn Sie verhindern möchten, dass die SSE-C-Verschlüsselung für Objekte verwendet wird, die in Ihren Bucket geschrieben werden, können Sie die SSEC-Verschlüsselung blockieren, wenn Sie die Standardverschlüsselungskonfiguration Ihres Buckets ändern. Wenn SSE-C für einen Allzweck-Bucket blockiert ist, werden allePutObject,,, Mehrteiligen Upload- oder Replikationsanfragen CopyObjectPostObject, die die SSE-C-Verschlüsselung spezifizieren, mit einem Fehler zurückgewiesen. HTTP 403 AccessDenied Weitere Informationen zum Blockieren von SSE-C finden Sie unter. Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket

Für die Nutzung von SSE-C fallen keine zusätzlichen Gebühren an. Für Anforderungen zum Konfigurieren und Verwenden von SSE-C werden jedoch Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter Amazon S3 – Preise.

Wichtig

Ab April 2026 AWS wird die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Buckets deaktiviert. Darüber hinaus wird die SSE-C-Verschlüsselung für alle vorhandenen Buckets deaktiviert, die keine SSE-C-verschlüsselten AWS-Konten Daten enthalten. Aufgrund dieser Änderungen müssen die wenigen Anwendungen, die eine SSE-C-Verschlüsselung benötigen, nach der Erstellung des Buckets bewusst die Verwendung von SSE-C über die API aktivieren. PutBucketEncryption In diesen Fällen müssen Sie möglicherweise Automatisierungsskripts, CloudFormation Vorlagen oder andere Tools zur Infrastrukturkonfiguration aktualisieren, um diese Einstellungen zu konfigurieren. Weitere Informationen finden Sie im AWS Speicher-Blogbeitrag.

Überlegungen vor der Verwendung von SSE-C

  • S3 speichert den Verschlüsselungsschlüssel niemals, wenn Sie SSE-C verwenden. Sie müssen den Verschlüsselungsschlüssel jedes Mal angeben, wenn Sie möchten, dass jemand Ihre mit SSE-C verschlüsselten Daten von S3 herunterlädt.

    • Sie Verwalten ein Mapping, welcher Verschlüsselungsschlüssel für die Verschlüsselung welches Objekts verwendet wurde. Sie sind dafür verantwortlich, zu verwalten, welchen Verschlüsselungsschlüssel Sie für welches Objekt angegeben haben. Das bedeutet auch, dass Sie das Objekt verlieren, wenn Sie den Verschlüsselungsschlüssel verlieren.

    • Sie verwalten die Verschlüsselungsschlüssel auf der Clientseite, deshalb verwalten Sie auch alle zusätzlichen Sicherungsmechanismen auf der Clientseite, wie beispielsweise die Schlüsselrotation.

    • Dieses Design kann es schwierig machen, Ihren SSE-C-Schlüssel mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die Sie für die Bearbeitung Ihrer Daten benötigen. Aufgrund der weit verbreiteten Unterstützung von SSE-KMS verwenden die meisten modernen Workloads SSE-C nicht AWS, da es nicht über die Flexibilität von SSE-KMS verfügt. Weitere Informationen zu SSE-KMS finden Sie unter Verwenden der serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS). AWS

    • Das bedeutet, dass mit SSE-C verschlüsselte Objekte nicht nativ von Managed Services entschlüsselt werden können. AWS

  • Sie müssen HTTPS verwenden, wenn Sie SSEC-Header für Ihre Anfragen angeben.

    • Amazon S3 weist Anfragen über HTTP zurück, wenn SSE-C verwendet wird. Aus Sicherheitsgründen sollten Sie jeden Schlüssel, den Sie versehentlich mittels HTTP senden, als nicht vertrauenswürdig betrachten. Verwerfen Sie den Schlüssel und rotieren Sie ihn wie erforderlich.

  • Wenn Ihr Bucket versionierungsfähig ist, kann jede Objektversion, die Sie hochladen, ihren eigenen Verschlüsselungsschlüssel haben. Sie sind dafür verantwortlich, zu verwalten, welcher Verschlüsselungsschlüssel für welche Objektversion verwendet wurde.

  • SSE-C wird in der Amazon S3 S3-Konsole nicht unterstützt. Sie können die Amazon S3 S3-Konsole nicht verwenden, um ein Objekt hochzuladen und die SSE-C-Verschlüsselung anzugeben. Sie können die Konsole auch nicht verwenden, um ein vorhandenes Objekt zu aktualisieren (beispielsweise durch Ändern der Speicherklasse oder Hinzufügen von Metadaten), das mittels SSE-C gespeichert wurde.

Themen