Datenschutz durch Verschlüsselung - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz durch Verschlüsselung

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader im AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Dieser Datenschutz bezieht sich auf Daten bei der Übertragung (wenn sie zu Amazon S3 oder von diesem geschickt werden), ebenso wie auf ruhende Daten (die in Amazon-S3-Rechenzentren auf Datenträgern gespeichert sind). Sie können Daten während der Übertragung mithilfe von Secure Socket Layer/Transport Layer Security (SSL/TLS () oder clientseitiger Verschlüsselung schützen. Sie haben folgende Optionen, um Daten im Ruhezustand in Amazon S3 zu schützen:

  • Serverseitige Verschlüsselung — Amazon S3 verschlüsselt Ihre Objekte, bevor sie auf Festplatten in AWS Rechenzentren gespeichert werden, und entschlüsselt die Objekte dann, wenn Sie sie herunterladen.

    Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert und alle neuen Objekte, die in einen S3-Bucket hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Bucket in Amazon S3. Um einen anderen Verschlüsselungstyp zu verwenden, können Sie entweder den Typ der serverseitigen Verschlüsselung angeben, der in Ihren PUT S3-Anfragen verwendet werden soll, oder Sie können die Standardverschlüsselungskonfiguration im Ziel-Bucket aktualisieren.

    Wenn Sie in Ihren PUT Anfragen einen anderen Verschlüsselungstyp angeben möchten, können Sie serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS), zweischichtige serverseitige Verschlüsselung mit Schlüsseln (DSSE-KMS) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten AWS KMS Schlüsseln (SSE-C) verwenden. Wenn Sie im Ziel-Bucket eine andere Standardverschlüsselungskonfiguration festlegen möchten, können Sie SSE-KMS oder DSSE-KMS verwenden.

    Weitere Informationen zum Ändern der Standardverschlüsselungskonfiguration für Ihre Allzweck-Buckets finden Sie unter. Konfigurieren der Standardverschlüsselung

    Wenn Sie die Standardverschlüsselungskonfiguration Ihres Buckets auf SSE-KMS ändern, wird der Verschlüsselungstyp der vorhandenen Amazon S3 S3-Objekte im Bucket nicht geändert. Um den Verschlüsselungstyp Ihrer bereits vorhandenen Objekte zu ändern, nachdem Sie die Standardverschlüsselungskonfiguration auf SSE-KMS aktualisiert haben, können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3 Batch Operations eine Liste von Objekten zur Verfügung, und Batch Operations ruft die entsprechende API-Operation auf. Sie können die Kopieren von Objekten Aktion verwenden, um vorhandene Objekte zu kopieren, wodurch sie in denselben Bucket wie SSE-KMS-verschlüsselte Objekte zurückgeschrieben werden. Ein einzelner Batch-Operations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter Ausführen von Objektoperationen in großem Umfang mit Batch Operations und im AWS Speicher-Blogbeitrag So verschlüsseln Sie bestehende Objekte in Amazon S3 rückwirkend mithilfe von S3 Inventory, Amazon Athena und S3 Batch Operations.

    Weitere Informationen zu den einzelnen Optionen für die serverseitige Verschlüsselung finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

    Informationen zum Konfigurieren der serverseitigen Verschlüsselung finden Sie unter:

  • Clientseitige Verschlüsselung – Sie können Daten clientseitig verschlüsseln und die verschlüsselten Daten auf Amazon S3 hochladen. In diesem Fall verwalten Sie den Verschlüsselungsprozess, die Verschlüsselungsschlüssel und die zugehörigen Tools.

    Informationen zum Konfigurieren der clientseitigen Verschlüsselung finden Sie unter Schützen von Daten mithilfe der clientseitigen Verschlüsselung.

Wenn Sie feststellen möchten, welcher Prozentsatz Ihrer Speicherbytes verschlüsselt ist, können Sie die Metriken von Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter Bewertung Ihrer Speicheraktivität und -nutzung mit S3 Storage Lens. Eine vollständige Liste der Metriken finden Sie im Glossar der S3-Storage-Lens-Metriken.

Weitere Informationen zur serverseitigen Verschlüsselung und zur clientseitigen Verschlüsselung finden Sie in den unten aufgeführten Themen.

Themen