Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket - Amazon Simple Storage Service
BerechtigungenÜberlegungen vor dem Blockieren der SSE-C-Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket

Die meisten modernen Anwendungsfälle in Amazon S3 verwenden keine serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) mehr, da ihr die Flexibilität der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) oder der serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) fehlt. AWS Die Anforderung von SSE-C, den Verschlüsselungsschlüssel bei jeder Interaktion mit Ihren SSE-C-verschlüsselten Daten bereitzustellen, macht es unpraktisch, Ihren SSEC-Schlüssel mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die Daten aus Ihren S3-Buckets lesen, um mit Ihren Daten zu arbeiten.

Um die serverseitigen Verschlüsselungstypen einzuschränken, die Sie in Ihren Allzweck-Buckets verwenden können, können Sie SSE-C-Schreibanforderungen blockieren, indem Sie Ihre Standardverschlüsselungskonfiguration für Ihre Buckets aktualisieren. Diese Konfiguration auf Bucket-Ebene blockiert Anfragen zum Hochladen von Objekten, die SSE-C spezifizieren. Wenn SSE-C für einen Bucket blockiert ist, werden allePutObject,, oder Multipart Upload- oder Replikationsanfragen CopyObjectPostObject, die die SSE-C-Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. AccessDenied

Diese Einstellung ist ein Parameter in der PutBucketEncryption API und kann auch mit der S3-Konsole, der AWS CLI und AWS SDKs, sofern Sie die s3:PutEncryptionConfiguration entsprechende Berechtigung haben, aktualisiert werden.

Gültige Werte sindSSE-C, was die SSE-C-Verschlüsselung für den Allzweck-Bucket blockiert, undNONE, was die Verwendung von SSE-C für Schreibvorgänge in den Bucket ermöglicht.

Wichtig

Ab April 2026 AWS wird die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Buckets deaktiviert. Darüber hinaus wird die SSE-C-Verschlüsselung für alle vorhandenen Buckets deaktiviert, die keine SSE-C-verschlüsselten AWS-Konten Daten enthalten. Aufgrund dieser Änderungen müssen die wenigen Anwendungen, die eine SSE-C-Verschlüsselung benötigen, nach der Erstellung des Buckets bewusst die Verwendung von SSE-C über die API aktivieren. PutBucketEncryption In diesen Fällen müssen Sie möglicherweise Automatisierungsskripts, CloudFormation Vorlagen oder andere Tools zur Infrastrukturkonfiguration aktualisieren, um diese Einstellungen zu konfigurieren. Weitere Informationen finden Sie im AWS Speicher-Blogbeitrag.

Berechtigungen

Verwenden Sie die PutBucketEncryption API oder die S3-Konsole oder AWS CLI AWS SDKs, um Verschlüsselungstypen für einen Allzweck-Bucket zu blockieren oder zu entsperren. Sie müssen über die folgende Berechtigung verfügen:

  • s3:PutEncryptionConfiguration

Verwenden Sie die GetBucketEncryption API oder die S3-Konsole oder AWS CLI AWS SDKs, um blockierte Verschlüsselungstypen für einen Allzweck-Bucket anzuzeigen. Sie benötigen die folgende Berechtigung:

  • s3:GetEncryptionConfiguration

Überlegungen vor dem Blockieren der SSE-C-Verschlüsselung

Nachdem Sie SSE-C für einen beliebigen Bucket blockiert haben, gilt das folgende Verschlüsselungsverhalten:

  • Es gibt keine Änderung an der Verschlüsselung der Objekte, die im Bucket vorhanden waren, bevor Sie die SSE-C-Verschlüsselung blockiert haben.

  • Nachdem Sie die SSEC-Verschlüsselung blockiert haben, können Sie weiterhin HeadObject Anfragen für bereits vorhandene, mit SSE-C verschlüsselte Objekte stellen GetObject , sofern Sie die erforderlichen SSEC-Header für die Anfragen angeben.

  • Wenn SSE-C für einen Bucket blockiert ist, werden alle,, oder Multipart Upload-Anfragen PutObjectCopyObject, die die SSE-C-Verschlüsselung spezifizierenPostObject, mit einem HTTP 403-Fehler zurückgewiesen. AccessDenied

  • Wenn in einem Ziel-Bucket für die Replikation SSE-C blockiert ist und die zu replizierenden Quellobjekte mit SSE-C verschlüsselt sind, schlägt die Replikation mit einem HTTP 403-Fehler fehl. AccessDenied

Wenn Sie überprüfen möchten, ob Sie in einem Ihrer Buckets SSE-C-Verschlüsselung verwenden, bevor Sie diesen Verschlüsselungstyp blockieren, können Sie Tools wie die Überwachung des Zugriffs auf Ihre Daten verwenden. AWS CloudTrail In diesem Blogbeitrag erfahren Sie, wie Sie Verschlüsselungsmethoden für Objekt-Uploads in Echtzeit überprüfen können. Sie können auch auf diesen re:POST-Artikel verweisen, der Sie durch die Abfrage von S3-Inventarberichten führt, um festzustellen, ob Sie über SSE-C-verschlüsselte Objekte verfügen.

Schritte

Sie können serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für einen Allzweck-Bucket blockieren oder entsperren, indem Sie die Amazon S3 S3-Konsole, die AWS Command Line Interface (AWS CLI), die Amazon S3 S3-REST-API und verwenden. AWS SDKs

So blockieren oder entsperren Sie die SSE-C-Verschlüsselung für einen Bucket mithilfe der Amazon S3 S3-Konsole:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich die Option Allzweck-Buckets aus.

  3. Wählen Sie den Bucket aus, für den Sie die SSE-C-Verschlüsselung blockieren möchten.

  4. Wählen Sie die Registerkarte Eigenschaften für den Bucket aus.

  5. Navigieren Sie zum Eigenschaftenbereich für die Standardverschlüsselung für den Bucket und wählen Sie Bearbeiten aus.

  6. Aktivieren Sie im Abschnitt Blockierte Verschlüsselungstypen das Kontrollkästchen neben Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C), um die SSE-C-Verschlüsselung zu blockieren, oder deaktivieren Sie dieses Kästchen, um SSE-C zuzulassen.

  7. Wählen Sie Änderungen speichern aus.

Informationen zur Installation der AWS CLI finden Sie unter Installation der AWS CLI im AWS Command Line Interface Benutzerhandbuch.

Das folgende CLI-Beispiel zeigt Ihnen, wie Sie die SSE-C-Verschlüsselung für einen Allzweck-Bucket mithilfe von blockieren oder entsperren. AWS CLI Um den Befehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.

Anfrage zum Blockieren der SSE-C-Verschlüsselung für einen Allzweck-Bucket:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Anfrage zur Aktivierung der Verwendung der SSE-C-Verschlüsselung in einem Allzweck-Bucket:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Die folgenden Beispiele zeigen Ihnen, wie Sie SSE-C-Verschlüsselungsschreibvorgänge in Ihre Allzweck-Buckets blockieren oder entsperren können, indem Sie den AWS SDKs

Beispiel: PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu blockieren

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Beispiel — PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu entsperren

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Beispiel — PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu blockieren

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Beispiel — PutBucketEncryption Anforderung, die Standardverschlüsselungskonfiguration auf SSE-S3 zu setzen und SSE-C zu entsperren

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Informationen zur Amazon S3 S3-REST-API-Unterstützung für das Blockieren oder Entsperren der SSE-C-Verschlüsselung für einen Allzweck-Bucket finden Sie im folgenden Abschnitt in der Amazon Simple Storage Service API-Referenz: