Objektverschlüsselung aktualisieren - Amazon Simple Storage Service
Einschränkungen und ÜberlegungenErforderliche Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Objektverschlüsselung aktualisieren

Sie können Amazon S3 Batch Operations verwenden, um umfangreiche Batch-Vorgänge für Amazon-S3-Objekte durchzuführen. Der Vorgang Batch UpdateObjectEncryptionOperations aktualisiert den serverseitigen Verschlüsselungstyp von mehr als einem Amazon S3 S3-Objekt mit einer einzigen Anfrage. Ein einziger UpdateObjectEncryption Operationsauftrag kann ein Manifest mit bis zu 20 Milliarden Objekten unterstützen.

Der UpdateObjectEncryption Vorgang wird für alle Amazon S3 S3-Speicherklassen unterstützt, die von Allzweck-Buckets unterstützt werden. Sie können den UpdateObjectEncryption Vorgang verwenden, um verschlüsselte Objekte von der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) zu AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) zu ändern oder S3-Bucket Keys anzuwenden. Sie können den UpdateObjectEncryption Vorgang auch verwenden, um den vom Kunden verwalteten KMS-Schlüssel, der zur Verschlüsselung Ihrer Daten verwendet wird, zu ändern, sodass Sie die benutzerdefinierten Schlüsselrotationsstandards einhalten können.

Wenn Sie einen Batch Operations-Job erstellen, können Sie eine Objektliste auf der Grundlage des Quellspeicherorts und der von Ihnen angegebenen Filterkriterien generieren. Sie können den MatchAnyObjectEncryption Filter verwenden, um eine Liste von Objekten aus Ihrem Bucket zu generieren, die Sie aktualisieren und in Ihr Manifest aufnehmen möchten. Die generierte Objektliste enthält nur Quell-Bucket-Objekte mit dem angegebenen serverseitigen Verschlüsselungstyp. Wenn Sie SSE-KMS auswählen, können Sie Ihre Ergebnisse optional weiter filtern, indem Sie einen bestimmten KMS-Schlüssel-ARN und den aktivierten Bucket Key-Status angeben. Weitere Informationen finden Sie unter JobManifestGeneratorFilterund SSEKMSFilterin der Amazon S3API-Referenz.

Einschränkungen und Überlegungen

Wenn Sie den Vorgang Batch UpdateObjectEncryption Operations verwenden, gelten die folgenden Einschränkungen und Überlegungen:

  • Der UpdateObjectEncryption Vorgang unterstützt keine unverschlüsselten Objekte oder Objekte, die entweder mit serverseitiger Dual-Layer-Verschlüsselung AWS KMS keys (DSSE-KMS) oder mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C) verschlüsselt wurden. Darüber hinaus können Sie keine Anfrage für den Verschlüsselungstyp SSE-S3 angeben. UpdateObjectEncryption

  • Sie können den UpdateObjectEncryption Vorgang verwenden, um Objekte in Buckets zu aktualisieren, für die S3-Versionierung aktiviert ist. Um den Verschlüsselungstyp einer bestimmten Version zu aktualisieren, müssen Sie in Ihrer UpdateObjectEncryption Anfrage eine Versions-ID angeben. Wenn Sie keine Versions-ID angeben, bezieht sich die UpdateObjectEncryption Anfrage auf die aktuelle Version des Objekts. Weitere Informationen über das S3-Versioning finden Sie unter Beibehalten mehrerer Versionen von Objekten mit der S3-Versionsverwaltung.

  • Der UpdateObjectEncryption Vorgang schlägt bei jedem Objekt fehl, auf das der Aufbewahrungsmodus S3 Object Lock oder Legal Hold angewendet wurde. Wenn für ein Objekt eine Aufbewahrungsfrist im Governance-Modus oder eine gesetzliche Aufbewahrungsfrist gilt, müssen Sie zuerst den Object Lock-Status für das Objekt entfernen, bevor Sie Ihre UpdateObjectEncryption Anfrage stellen. Sie können den UpdateObjectEncryption Vorgang nicht für Objekte verwenden, auf die eine Aufbewahrungsfrist für den Object Lock-Konformitätsmodus angewendet wurde. Weitere Informationen zur S3-Objektsperre finden Sie unter Sperren von Objekten mit Object Lock.

  • UpdateObjectEncryptionAnfragen für Quell-Buckets mit aktivierter Live-Replikation lösen keine Replikatereignisse im Ziel-Bucket aus. Wenn Sie den Verschlüsselungstyp von Objekten sowohl in Ihren Quell- als auch in Ihren Ziel-Buckets ändern möchten, müssen Sie separate UpdateObjectEncryption Anfragen für die Objekte in den Quell- und Ziel-Buckets initiieren.

  • Standardmäßig sind alle UpdateObjectEncryption Anfragen, die einen vom Kunden verwalteten KMS-Schlüssel angeben, auf KMS-Schlüssel beschränkt, die dem Bucket-Besitzer gehören. AWS-Konto Wenn Sie die Nutzung verwenden AWS Organizations, können Sie die Möglichkeit zur Nutzung AWS KMS keys von Benutzerkonten anderer Mitglieder innerhalb Ihrer Organisation beantragen, indem Sie sich an uns wenden AWS Support.

  • Wenn Sie S3 Batch Replication verwenden, um Datensätze regionsübergreifend zu replizieren und der serverseitige Verschlüsselungstyp Ihrer Objekte zuvor von SSE-S3 auf SSE-KMS aktualisiert wurde, benötigen Sie möglicherweise zusätzliche Berechtigungen. Für den Bucket der Quellregion benötigen Sie Berechtigungen. kms:decrypt Anschließend benötigen Sie die kms:encrypt Berechtigungen kms:decrypt und für den Bucket in der Zielregion.

  • Geben Sie in Ihrer UpdateObjectEncryption Anfrage einen vollständigen KMS-Schlüssel-ARN an. Sie können keinen Aliasnamen oder Alias-ARN verwenden. Sie können den vollständigen KMS-Schlüssel-ARN in der AWS-KMS-Konsole oder mithilfe der AWS KMS DescribeKey KMS-API ermitteln.

Mehr über UpdateObjectEncryption erfahren Sie unter Aktualisierung der serverseitigen Verschlüsselung für vorhandene Daten.

Erforderliche Berechtigungen

Um den UpdateObjectEncryption Vorgang durchzuführen, fügen Sie Ihrem IAM-Prinzipal AWS Identity and Access Management (Benutzer, Rolle oder Gruppe) die folgende (IAM-) Richtlinie hinzu. Um diese Richtlinie zu verwenden, amzn-s3-demo-bucket ersetzen Sie sie durch den Namen des Buckets, der die Objekte enthält, für die Sie die Verschlüsselung aktualisieren möchten. amzn-s3-demo-manifest-bucketErsetzen Sie es durch den Namen des Buckets, der Ihr Manifest enthält, und amzn-s3-demo-completion-report-bucket durch den Namen des Buckets, in dem Sie Ihren Abschlussbericht speichern möchten.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3BatchOperationsUpdateEncryption",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:UpdateObjectEncryption"
            ],
            "Resource": [
                 "arn:aws:s3:::amzn-s3-demo-bucket-target"
                "arn:aws:s3:::amzn-s3-demo-bucket-target-target/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForManifestFile",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-manifest/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForCompletionReport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-completion-report/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyManifestGeneration",
            "Effect": "Allow",
            "Action": [
                "s3:PutInventoryConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-target"
            ]
        },
        {
            "Sid": "AllowKMSOperationsForS3BatchOperations",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": [                "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
            ]
        }
    ]
}

Informationen zu den Vertrauens- und Berechtigungsrichtlinien, die Sie der IAM-Rolle zuordnen müssen, die der Dienstprinzipal von S3 Batch Operations annimmt, um Batch Operations-Jobs in Ihrem Namen auszuführen, finden Sie unter Gewähren von Berechtigungen für Batchoperationen undObjektverschlüsselung aktualisieren.