View a markdown version of this page

Sperren oder Entsperren SSE-C für einen Allzweck-Bucket - Amazon Simple Storage Service
BerechtigungenÜberlegungen vor dem Blockieren der SSE-C Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sperren oder Entsperren SSE-C für einen Allzweck-Bucket

Ab April 2026 deaktiviert Amazon S3 automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets. Amazon S3 wurde auch SSE-C für bestehende Buckets in Konten ohne SSE-C verschlüsselte Objekte deaktiviert. Dies bedeutet, dass Anfragen zum Hochladen von Objekten mithilfe von HTTP standardmäßig mit einem AccessDenied HTTP-403-Fehler abgelehnt SSE-C werden.

SSE-C erfordert, dass Sie den Verschlüsselungsschlüssel bei jeder Anforderung zum Lesen oder Schreiben verschlüsselter Objekte angeben, was es schwierig macht, den Zugriff mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die mit Ihren Daten arbeiten. Die meisten Workloads verwenden stattdessen serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder AWS KMS-Schlüsseln (SSE-KMS).

Wenn Ihre Arbeitslast dies erfordert SSE-C, können Sie sie explizit aktivieren, indem Sie die Standardverschlüsselungskonfiguration für Ihren Bucket aktualisieren. Umgekehrt können Sie Buckets blockieren, wenn Sie bereits Buckets haben, die noch erlaubt sind, um neue SSE-C Uploads zu verhindern. SSE-C

Wenn für einen Bucket gesperrt SSE-C ist, werden alle,PutObject, CopyObjectPostObject, Multipart Upload- oder Replikationsanfragen, die SSE-C Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. AccessDenied Bestehende SSE-C verschlüsselte Objekte im Bucket sind davon nicht betroffen. Sie können sie trotzdem mit GetObject oder HeadObject durch Angabe der erforderlichen SSE-C Header lesen.

Diese Einstellung ist ein Parameter in der PutBucketEncryption API und kann auch über die S3-Konsole, AWS CLI oder AWS SDKs aktualisiert werden. Sie müssen die Berechtigung s3:PutEncryptionConfiguration haben.

Wichtig

Amazon Simple Storage Service wendet jetzt eine neue Standardsicherheitseinstellung für Buckets an, die automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets deaktiviert. Im April 2026 hat Amazon S3 ein Update bereitgestellt, sodass bei allen neuen Allzweck-Buckets die SSE-C Verschlüsselung für alle neuen Schreibanforderungen deaktiviert ist. Für bestehende Buckets AWS-Konten ohne SSE-C verschlüsselte Objekte wurde Amazon S3 auch SSE-C für alle neuen Schreibanforderungen deaktiviert. Mit dieser Änderung müssen Anwendungen, die SSE-C verschlüsselt werden müssen, bewusst aktiviert werden, SSE-C indem nach der Erstellung eines neuen Buckets der PutBucketEncryptionAPI-Vorgang verwendet wird. Weitere Informationen zu dieser Änderung finden Sie unterHäufig gestellte Fragen zur SSE-C Standardeinstellung für neue Buckets.

Berechtigungen

Verwenden Sie die PutBucketEncryption API oder die S3-Konsole, AWS SDKs oder AWS CLI, um Verschlüsselungstypen für einen Allzweck-Bucket zu blockieren oder zu entsperren. Sie müssen über die folgende Berechtigung verfügen:

  • s3:PutEncryptionConfiguration

Verwenden Sie die GetBucketEncryption API oder die S3-Konsole, AWS SDKs oder AWS CLI, um blockierte Verschlüsselungstypen für einen Allzweck-Bucket anzuzeigen. Sie benötigen die folgende Berechtigung:

  • s3:GetEncryptionConfiguration

Überlegungen vor dem Blockieren der SSE-C Verschlüsselung

Nach dem Blockieren SSE-C für einen beliebigen Bucket gilt das folgende Verschlüsselungsverhalten:

  • Es gibt keine Änderung an der Verschlüsselung der Objekte, die im Bucket vorhanden waren, bevor Sie die SSE-C Verschlüsselung blockiert haben.

  • Nachdem Sie die SSE-C Verschlüsselung blockiert haben, können Sie weiterhin HeadObject Anfragen für bereits vorhandene Objekte stellen GetObject , mit denen verschlüsselt wurde, SSE-C sofern Sie die erforderlichen SSE-C Header für die Anfragen angeben.

  • Wenn für einen Bucket gesperrt SSE-C ist, werden allePutObject, CopyObjectPostObject, oder Multipart Upload-Anfragen, die SSE-C Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. AccessDenied

  • Wenn ein Ziel-Bucket für die Replikation SSE-C blockiert wurde und die zu replizierenden Quellobjekte verschlüsselt sind SSE-C, schlägt die Replikation mit einem HTTP AccessDenied 403-Fehler fehl.

Wenn Sie überprüfen möchten, ob Sie in einem Ihrer Buckets SSE-C Verschlüsselung verwenden, bevor Sie diesen Verschlüsselungstyp blockieren, können Sie Tools verwenden, AWS CloudTrailum beispielsweise den Zugriff auf Ihre Daten zu überwachen. In diesem Blogbeitrag erfahren Sie, wie Sie Verschlüsselungsmethoden für Objekt-Uploads in Echtzeit überprüfen können. Sie können auch auf diesen re:POST-Artikel verweisen, der Sie durch die Abfrage von S3-Inventarberichten führt, um festzustellen, ob Sie verschlüsselte Objekte haben. SSE-C

Schritte

Sie können serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für einen Allzweck-Bucket blockieren oder entsperren, indem Sie die Amazon S3 S3-Konsole, die AWS Command Line Interface (AWS CLI), die Amazon S3 S3-REST-API und AWS SDKs verwenden.

So blockieren oder entsperren Sie die SSE-C Verschlüsselung für einen Bucket mithilfe der Amazon S3 S3-Konsole:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich die Option Buckets für allgemeine Zwecke aus.

  3. Wählen Sie den Bucket aus, für den Sie die SSE-C Verschlüsselung blockieren möchten.

  4. Wählen Sie die Registerkarte Eigenschaften für den Bucket aus.

  5. Navigieren Sie zum Eigenschaftenbereich für die Standardverschlüsselung für den Bucket und wählen Sie Bearbeiten aus.

  6. Markieren Sie im Abschnitt Blockierte Verschlüsselungstypen das Kästchen neben Server-side Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C), um die Verschlüsselung zu blockieren, oder deaktivieren Sie dieses Kästchen, um die SSE-C Verschlüsselung zuzulassen. SSE-C

  7. Wählen Sie Änderungen speichern aus.

Informationen zur Installation der AWS CLI finden Sie unter Installation der AWS CLI im AWS Command Line Interface Benutzerhandbuch.

Das folgende CLI-Beispiel zeigt Ihnen, wie Sie die SSE-C Verschlüsselung für einen Allzweck-Bucket mithilfe von blockieren oder entsperren AWS CLI. Um den Befehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.

Anfrage zum Blockieren der SSE-C Verschlüsselung für einen Allzweck-Bucket:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Anfrage zur Aktivierung der Verwendung von SSE-C Verschlüsselung in einem Allzweck-Bucket:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Die folgenden Beispiele zeigen Ihnen, wie Sie mithilfe der SDKs SSE-C verschlüsselte Schreibvorgänge in Ihre Allzweck-Buckets blockieren oder entsperren können AWS

Beispiel: PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt und blockiert wird SSE-S3 SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Beispiel — PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt SSE-S3 und die Blockierung aufgehoben wird SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Beispiel — PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt SSE-S3 und blockiert wird SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Beispiel — PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt SSE-S3 und die Blockierung aufgehoben wird SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Informationen zur Amazon S3 S3-REST-API-Unterstützung für das Blockieren oder Entsperren der SSE-C Verschlüsselung für einen Allzweck-Bucket finden Sie im folgenden Abschnitt in der Amazon Simple Storage Service API-Referenz: