Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS)
Bei Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (DSSE-KMS) werden Objekte beim Upload auf Amazon S3 mit zwei Verschlüsselungsebenen versehen. DSSE-KMS hilft Ihnen dabei, Compliance-Standards, die eine Multi-Layer-Verschlüsselung Ihrer Daten erfordern, einfacher zu erfüllen und die volle Kontrolle über Ihre Verschlüsselungsschlüssel zu haben.
Das "Dual" in DSSE-KMS bezieht sich auf zwei unabhängige AES-256-Verschlüsselungsebenen, die auf Ihre Daten angewendet werden:
Erste Ebene: Ihre Daten werden mit einem eindeutigen Datenverschlüsselungsschlüssel (DEK) verschlüsselt, der generiert wurde von AWS KMS
Zweite Schicht: Die bereits verschlüsselten Daten werden mit einem separaten, von Amazon S3 verwalteten AES-256-Schlüssel erneut verschlüsselt.
Dies unterscheidet sich vom Standard-SSE-KMS, das nur eine einzige Verschlüsselungsebene anwendet. Der zweischichtige Ansatz bietet eine erhöhte Sicherheit, da er gewährleistet, dass Ihre Daten auch bei einer Beeinträchtigung einer Verschlüsselungsschicht durch die zweite Schicht geschützt bleiben. Diese zusätzliche Sicherheit geht mit einem erhöhten Verarbeitungsaufwand und AWS KMS API-Aufrufen einher, was die höheren Kosten im Vergleich zu Standard-SSE-KMS erklärt. Weitere Informationen zur Preisgestaltung von DSSE-KMS finden Sie unter AWS KMS key Konzepte im AWS Key Management Service Entwicklerhandbuch und unter Preise.AWS KMS
Wenn Sie DSSE-KMS mit einem Amazon S3 S3-Bucket verwenden, müssen sich die AWS KMS Schlüssel in derselben Region wie der Bucket befinden. Wird DSSE-KMS für das Objekt angefordert, wird außerdem die S3-Prüfsumme, die Teil der Objektmetadaten des Objekts ist, in verschlüsselter Form gespeichert. Weitere Informationen zu Prüfsummen finden Sie unter Überprüfen der Objektintegrität in Amazon S3.
Anmerkung
S3-Bucket-Schlüssel werden für DSSE-KMS nicht unterstützt.
Die wichtigsten Unterschiede zwischen DSSE-KMS und Standard-SSE-KMS sind:
Verschlüsselungsebenen: DSSE-KMS wendet zwei unabhängige AES-256-Verschlüsselungsebenen an, während das Standard-SSE-KMS eine Ebene verwendet.
Sicherheit: DSSE-KMS bietet verbesserten Schutz gegen potenzielle Schwachstellen in der Verschlüsselung
Konformität: DSSE-KMS hilft bei der Erfüllung gesetzlicher Anforderungen, die eine mehrschichtige Verschlüsselung vorschreiben
Leistung: DSSE-KMS hat eine etwas höhere Latenzzeit aufgrund der zusätzlichen Verschlüsselungsverarbeitung
Kosten: Bei DSSE-KMS fallen aufgrund des erhöhten Rechenaufwands und zusätzlicher Operationen höhere Gebühren an AWS KMS
Erfordert eine zweischichtige serverseitige Verschlüsselung mit (DSSE-KMS) AWS KMS keys
Wenn Sie die serverseitige Dual-Layer-Verschlüsselung aller Objekte in einem bestimmten Amazon-S3-Bucket anfordern möchten, können Sie eine Bucket-Richtlinie verwenden. Beispielsweise verweigert die folgende Bucket-Richtlinie jedem die Berechtigung zum Hochladen von Objekten (s3:PutObject), wenn die Anforderung nicht den Header x-amz-server-side-encryption enthält, der die serverseitige Verschlüsselung mit DSSE-KMS anfordert.
