Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS)
Bei Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (DSSE-KMS) werden Objekte beim Upload auf Amazon S3 mit zwei Verschlüsselungsebenen versehen. DSSE-KMS hilft Ihnen dabei, Compliance-Standards, die eine Multi-Layer-Verschlüsselung Ihrer Daten erfordern, einfacher zu erfüllen und die volle Kontrolle über Ihre Verschlüsselungsschlüssel zu haben.
Das „Dual“ in DSSE-KMS bezieht sich auf zwei unabhängige AES-256-Verschlüsselungsebenen, die auf Ihre Daten angewendet werden:
Erste Ebene: Ihre Daten werden mit einem eindeutigen Datenverschlüsselungsschlüssel (DEK) verschlüsselt, der generiert wird von AWS KMS
Zweite Ebene: Die bereits verschlüsselten Daten werden erneut mit einem separaten AES-256-Verschlüsselungsschlüssel verschlüsselt, der von Amazon S3 verwaltet wird
Dies unterscheidet sich vom Standard-SSE-KMS, bei dem nur eine einzige Verschlüsselungsebene angewendet wird. Der duale Ansatz bietet erhöhte Sicherheit, indem sichergestellt wird, dass Ihre Daten auch dann, wenn eine Verschlüsselungsebene kompromittiert würde, durch die zweite Schicht geschützt bleiben. Diese zusätzliche Sicherheit geht mit einem erhöhten Verarbeitungsaufwand und höheren AWS KMS API-Aufrufen einher, was die höheren Kosten im Vergleich zu Standard-SSE-KMS erklärt. Weitere Informationen zur Preisgestaltung von DSSE-KMS finden Sie unter AWS KMS key Konzepte im AWS Key Management Service Entwicklerhandbuch und unter Preise.AWS KMS
Wenn Sie DSSE-KMS mit einem Amazon S3 S3-Bucket verwenden, müssen sich die AWS KMS Schlüssel in derselben Region wie der Bucket befinden. Wird DSSE-KMS für das Objekt angefordert, wird außerdem die S3-Prüfsumme, die Teil der Objektmetadaten des Objekts ist, in verschlüsselter Form gespeichert. Weitere Informationen zu Prüfsummen finden Sie unter Überprüfen der Objektintegrität in Amazon S3.
Anmerkung
S3-Bucket-Schlüssel werden für DSSE-KMS nicht unterstützt.
Die wichtigsten Unterschiede zwischen DSSE-KMS und Standard-SSE-KMS sind:
Verschlüsselungsebenen: DSSE-KMS wendet zwei unabhängige AES-256-Verschlüsselungsebenen an, während das Standard-SSE-KMS eine Schicht anwendet
Sicherheit: DSSE-KMS bietet verbesserten Schutz vor potenziellen Verschlüsselungsschwachstellen
Konformität: DSSE-KMS hilft bei der Erfüllung gesetzlicher Anforderungen, die eine mehrschichtige Verschlüsselung vorschreiben
Leistung: DSSE-KMS weist aufgrund der zusätzlichen Verschlüsselungsverarbeitung eine etwas höhere Latenz auf
Kosten: Bei DSSE-KMS fallen aufgrund des erhöhten Rechenaufwands und zusätzlicher Operationen höhere Gebühren an AWS KMS
Erfordert eine zweischichtige serverseitige Verschlüsselung mit (DSSE-KMS) AWS KMS keys
Wenn Sie die serverseitige Dual-Layer-Verschlüsselung aller Objekte in einem bestimmten Amazon-S3-Bucket anfordern möchten, können Sie eine Bucket-Richtlinie verwenden. Beispielsweise verweigert die folgende Bucket-Richtlinie jedem die Berechtigung zum Hochladen von Objekten (s3:PutObject), wenn die Anforderung nicht den Header x-amz-server-side-encryption enthält, der die serverseitige Verschlüsselung mit DSSE-KMS anfordert.
