Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sperren oder Entsperren SSE-C für einen Allzweck-Bucket
<a name="blocking-unblocking-s3-c-encryption-gpb"></a>

Ab April 2026 deaktiviert Amazon S3 automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets. Amazon S3 wurde auch SSE-C für bestehende Buckets in Konten ohne SSE-C verschlüsselte Objekte deaktiviert. Dies bedeutet, dass Anfragen zum Hochladen von Objekten mithilfe von HTTP standardmäßig mit einem `AccessDenied` HTTP-403-Fehler abgelehnt SSE-C werden.

SSE-C erfordert, dass Sie den Verschlüsselungsschlüssel bei jeder Anforderung zum Lesen oder Schreiben verschlüsselter Objekte angeben, was es schwierig macht, den Zugriff mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die mit Ihren Daten arbeiten. Die meisten Workloads verwenden stattdessen serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder AWS KMS-Schlüsseln (SSE-KMS).

Wenn Ihre Arbeitslast dies erfordert SSE-C, können Sie sie explizit aktivieren, indem Sie die Standardverschlüsselungskonfiguration für Ihren Bucket aktualisieren. Umgekehrt können Sie Buckets blockieren, wenn Sie bereits Buckets haben, die noch erlaubt sind, um neue SSE-C Uploads zu verhindern. SSE-C 

Wenn für einen Bucket gesperrt SSE-C ist, werden alle,`PutObject`, `CopyObject``PostObject`, Multipart Upload- oder Replikationsanfragen, die SSE-C Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. `AccessDenied` Bestehende SSE-C verschlüsselte Objekte im Bucket sind davon nicht betroffen. Sie können sie trotzdem mit `GetObject` oder `HeadObject` durch Angabe der erforderlichen SSE-C Header lesen.

Diese Einstellung ist ein Parameter in der `PutBucketEncryption` API und kann auch über die S3-Konsole, AWS CLI oder AWS SDKs aktualisiert werden. Sie müssen die Berechtigung `s3:PutEncryptionConfiguration` haben.

**Wichtig**  
Amazon Simple Storage Service wendet jetzt eine neue Standardsicherheitseinstellung für Buckets an, die automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets deaktiviert. Im April 2026 hat Amazon S3 ein Update bereitgestellt, sodass bei allen neuen Allzweck-Buckets die SSE-C Verschlüsselung für alle neuen Schreibanforderungen deaktiviert ist. Für bestehende Buckets AWS-Konten ohne SSE-C verschlüsselte Objekte wurde Amazon S3 auch SSE-C für alle neuen Schreibanforderungen deaktiviert. Mit dieser Änderung müssen Anwendungen, die SSE-C verschlüsselt werden müssen, bewusst aktiviert werden, SSE-C indem nach der Erstellung eines neuen Buckets der [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)API-Vorgang verwendet wird. Weitere Informationen zu dieser Änderung finden Sie unter[Häufig gestellte Fragen zur SSE-C Standardeinstellung für neue Buckets](default-s3-c-encryption-setting-faq.md).

## Berechtigungen
<a name="bucket-encryption-permissions"></a>

Verwenden Sie die `PutBucketEncryption` API oder die S3-Konsole, AWS SDKs oder AWS CLI, um Verschlüsselungstypen für einen Allzweck-Bucket zu blockieren oder zu entsperren. Sie müssen über die folgende Berechtigung verfügen:
+ `s3:PutEncryptionConfiguration`

Verwenden Sie die `GetBucketEncryption` API oder die S3-Konsole, AWS SDKs oder AWS CLI, um blockierte Verschlüsselungstypen für einen Allzweck-Bucket anzuzeigen. Sie benötigen die folgende Berechtigung:
+ `s3:GetEncryptionConfiguration`

## Überlegungen vor dem Blockieren der SSE-C Verschlüsselung
<a name="considerations-before-blocking-sse-c"></a>

Nach dem Blockieren SSE-C für einen beliebigen Bucket gilt das folgende Verschlüsselungsverhalten:
+ Es gibt keine Änderung an der Verschlüsselung der Objekte, die im Bucket vorhanden waren, bevor Sie die SSE-C Verschlüsselung blockiert haben.
+ Nachdem Sie die SSE-C Verschlüsselung blockiert haben, können Sie weiterhin HeadObject Anfragen für bereits vorhandene Objekte stellen GetObject , mit denen verschlüsselt wurde, SSE-C sofern Sie die erforderlichen SSE-C Header für die Anfragen angeben.
+ Wenn für einen Bucket gesperrt SSE-C ist, werden alle`PutObject`, `CopyObject``PostObject`, oder Multipart Upload-Anfragen, die SSE-C Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. `AccessDenied`
+ Wenn ein Ziel-Bucket für die Replikation SSE-C blockiert wurde und die zu replizierenden Quellobjekte verschlüsselt sind SSE-C, schlägt die Replikation mit einem HTTP `AccessDenied` 403-Fehler fehl.

Wenn Sie überprüfen möchten, ob Sie in einem Ihrer Buckets SSE-C Verschlüsselung verwenden, bevor Sie diesen Verschlüsselungstyp blockieren, können Sie Tools verwenden, [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)um beispielsweise den Zugriff auf Ihre Daten zu überwachen. In diesem [Blogbeitrag](https://aws.amazon.com/blogs/storage/auditing-amazon-s3-server-side-encryption-methods-for-object-uploads/) erfahren Sie, wie Sie Verschlüsselungsmethoden für Objekt-Uploads in Echtzeit überprüfen können. Sie können auch auf diesen [re:POST-Artikel](https://repost.aws/articles/ARhGC12rOiTBCKHcAe9GZXCA/how-to-detect-existing-use-of-sse-c-in-your-amazon-s3-buckets) verweisen, der Sie durch die Abfrage von S3-Inventarberichten führt, um festzustellen, ob Sie verschlüsselte Objekte haben. SSE-C

### Schritte
<a name="block-sse-c-gpb-steps"></a>

Sie können serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für einen Allzweck-Bucket blockieren oder entsperren, indem Sie die Amazon S3 S3-Konsole, die AWS Command Line Interface (AWS CLI), die Amazon S3 S3-REST-API und AWS SDKs verwenden.

### Verwenden der S3-Konsole
<a name="block-sse-c-gpb-console"></a>

So blockieren oder entsperren Sie die SSE-C Verschlüsselung für einen Bucket mithilfe der Amazon S3 S3-Konsole:

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

1. Wählen Sie im linken Navigationsbereich die Option **Buckets für allgemeine Zwecke** aus.

1. Wählen Sie den Bucket aus, für den Sie die SSE-C Verschlüsselung blockieren möchten.

1. Wählen Sie die Registerkarte **Eigenschaften** für den Bucket aus.

1. Navigieren Sie zum Eigenschaftenbereich für die **Standardverschlüsselung** für den Bucket und wählen Sie **Bearbeiten** aus.

1. Markieren Sie im Abschnitt **Blockierte Verschlüsselungstypen** das Kästchen neben **Server-side Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)**, um die Verschlüsselung zu blockieren, oder deaktivieren Sie dieses Kästchen, um die SSE-C Verschlüsselung zuzulassen. SSE-C

1. Wählen Sie **Änderungen speichern** aus.

### Verwendung der AWS CLI
<a name="block-sse-c-gpb-cli"></a>

Informationen zur Installation der AWS CLI finden Sie unter [Installation der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*.

Das folgende CLI-Beispiel zeigt Ihnen, wie Sie die SSE-C Verschlüsselung für einen Allzweck-Bucket mithilfe von blockieren oder entsperren AWS CLI. Um den Befehl zu verwenden, ersetzen Sie den {{user input placeholders}} durch Ihre eigenen Informationen.

**Anfrage zum Blockieren der SSE-C Verschlüsselung für einen Allzweck-Bucket:**

```
aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'
```

**Anfrage zur Aktivierung der Verwendung von SSE-C Verschlüsselung in einem Allzweck-Bucket:**

```
aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
```

## Verwendung der AWS SDKs
<a name="block-sse-c-gpb-sdks"></a>

------
#### [ SDK for Java 2.x ]

Die folgenden Beispiele zeigen Ihnen, wie Sie mithilfe der SDKs SSE-C verschlüsselte Schreibvorgänge in Ihre Allzweck-Buckets blockieren oder entsperren können AWS 

**Beispiel: PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt und blockiert wird SSE-S3 SSE-C**

```
S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
```

**Beispiel — PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt SSE-S3 und die Blockierung aufgehoben wird SSE-C**

```
S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
```

------
#### [ SDK for Python Boto3 ]

**Beispiel — PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt SSE-S3 und blockiert wird SSE-C**

```
s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)
```

**Beispiel — PutBucketEncryption Anfrage, auf die die Standardverschlüsselungskonfiguration gesetzt SSE-S3 und die Blockierung aufgehoben wird SSE-C**

```
s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)
```

------

## Verwenden der REST-API
<a name="bucket-tag-add-api"></a>

Informationen zur Amazon S3 S3-REST-API-Unterstützung für das Blockieren oder Entsperren der SSE-C Verschlüsselung für einen Allzweck-Bucket finden Sie im folgenden Abschnitt in der *Amazon Simple Storage Service API-Referenz:*
+ [BlockedEncryptionTypes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_BlockedEncryptionTypes.html)Datentyp, der im [ServerSideEncryptionRule](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ServerSideEncryptionRule.html)Datentyp der [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)und [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)API-Operationen verwendet wird.