Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets
**Wichtig**
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader im AWS CLI und AWS SDKs verfügbar. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zur Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert und Objekte werden automatisch unter Verwendung der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselungseinstellung gilt für alle Objekte in Ihren Amazon-S3-Buckets.
Wenn Sie mehr Kontrolle über Ihre Schlüssel benötigen, z. B. bei der Verwaltung der Schlüsselrotation und der Gewährung von Zugriffsrichtlinien, können Sie zwischen serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) wählen. Weitere Informationen zum Bearbeiten von KMS-Schlüsseln finden Sie unter [Bearbeiten von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/editing-keys.html) im *Entwicklerhandbuch zu AWS Key Management Service *.
**Anmerkung**
Wir haben die Buckets geändert, sodass neue Objekt-Uploads automatisch verschlüsselt werden. Wenn Sie zuvor einen Bucket ohne Standardverschlüsselung erstellt haben, aktiviert Amazon S3 die Verschlüsselung für den Bucket standardmäßig mithilfe von SSE-S3. Die Standardverschlüsselungskonfiguration für einen vorhandenen Bucket, für den bereits SSE-S3 oder SSE-KMS konfiguriert ist, wird nicht geändert. Wenn Sie Ihre Objekte mit SSE-KMS verschlüsseln möchten, müssen Sie den Verschlüsselungstyp in Ihren Bucket-Einstellungen ändern. Weitere Informationen finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](UsingKMSEncryption.md).
Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung mit SSE-KMS verwendet, können Sie auch S3 Bucket Keys aktivieren, um den Anforderungsverkehr von Amazon S3 zu reduzieren AWS KMS und die Kosten für die Verschlüsselung zu senken. Weitere Informationen finden Sie unter [Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln](bucket-key.md).
Um Buckets zu identifizieren, für die SSE-KMS für die Standardverschlüsselung aktiviert ist, können Sie Metriken von Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter [Verwenden von S3 Storage Lens zum Schutz Ihrer Daten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-lens-data-protection.html?icmpid=docs_s3_user_guide_bucket-encryption.html).
Wenn Sie die serverseitige Verschlüsselung verwenden, verschlüsselt Amazon S3 ein Objekt vor dem Speichern auf der Festplatte und entschlüsselt es beim Herunterladen des Objekts. Weitere Informationen zum Schutz von Daten mithilfe der serverseitigen Verschlüsselung und der Verwaltung der Verschlüsselungsschlüssel finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung](serv-side-encryption.md).
Weitere Informationen zu den Berechtigungen, die für die Standardverschlüsselung erforderlich sind, finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) in der *API-Referenz zu Amazon Simple Storage Service*.
Sie können das standardmäßige Verschlüsselungsverhalten von Amazon S3 für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole AWS SDKs, der Amazon S3 S3-REST-API und der AWS Befehlszeilenschnittstelle (AWS CLI) konfigurieren.
**Verschlüsseln vorhandener Objekte**
Zum Verschlüsseln Ihrer vorhandenen nicht verschlüsselten Amazon-S3-Objekte können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3-Batch-Vorgänge eine Liste von Objekten bereit, für die Vorgänge ausgeführt werden sollen, und Batch-Vorgänge ruft die jeweilige API auf, um die angegebene Operation auszuführen. Mit der Operation [Batch Operations Copy](https://docs.aws.amazon.com/AmazonS3/latest/userguide/batch-ops-copy-object.html) können Sie vorhandenen nicht verschlüsselte Objekte kopieren und die neuen verschlüsselten Objekte in denselben Bucket schreiben. Ein einzelner Batch-Operations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter [Ausführen von Objektoperationen in großem Umfang mit Batch Operations](batch-ops.md) und im Beitrag des *AWS Storage Blog* [Encrypting objects with Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/).
Sie können auch vorhandene Objekte verschlüsseln, indem Sie die `CopyObject` API-Operation oder den `copy-object` AWS CLI Befehl verwenden. Weitere Informationen finden Sie unter AWS CLI und im Beitrag des *AWS Storage Blog* [Encrypting existing objects with Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-existing-amazon-s3-objects-with-the-aws-cli/).
**Anmerkung**
Amazon-S3-Buckets mit Standard-Bucket-Verschlüsselung, die auf SSE-KMS festgelegt ist, können nicht als Ziel-Buckets für [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md) verwendet werden. Für Zielbuckets des Server-Zugriffsprotokolls wird nur die Standard-Verschlüsselung SSE-S3 unterstützt.
## Verwenden der SSE-KMS-Verschlüsselung für kontoübergreifende Vorgänge
Beachten Sie Folgendes, wenn Sie kontoübergreifende Operationen verschlüsseln:
+ Wenn bei der Anfrage oder über die Standardverschlüsselungskonfiguration des Buckets kein AWS KMS key Amazon-Ressourcenname (ARN) oder Alias bereitgestellt wird, wird Von AWS verwalteter Schlüssel (`aws/s3`) verwendet.
+ Wenn Sie S3-Objekte hochladen oder auf sie zugreifen, indem Sie AWS Identity and Access Management (IAM) -Prinzipale verwenden, die mit Ihrem KMS-Schlüssel AWS-Konto identisch sind, können Sie () verwenden. Von AWS verwalteter Schlüssel `aws/s3`
+ Verwenden Sie einen vom Kunden verwalteten Schlüssel, wenn Sie kontoübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten. Sie können die Richtlinie eines vom Kunden verwalteten Schlüssel so konfigurieren, dass der Zugriff von einem anderen Konto aus möglich ist.
+ Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel angeben, empfehlen wir die Verwendung eines vollständig qualifizierten KMS-Schlüssel-ARN. Wenn Sie stattdessen einen KMS-Schlüsselalias verwenden, AWS KMS wird der Schlüssel im Konto des Anforderers aufgelöst. Dieses Verhalten kann dazu führen, dass Daten mit einem KMS-Schlüssel verschlüsselt werden, der dem Anforderer und nicht dem Bucket-Eigentümer gehört.
+ Sie müssen einen Schlüssel angeben, für den Ihnen (dem Anforderer) die Berechtigung `Encrypt` erteilt wurde. Weitere Informationen finden Sie unter [Schlüssel-Benutzern die Verwendung eines KMS-Schlüssels für kryptografische Operationen gestatten](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto) im *Entwicklerhandbuch zu AWS Key Management Service *.
Weitere Informationen darüber, wann vom Kunden verwaltete Schlüssel und AWS verwaltete KMS-Schlüssel verwendet werden [sollten, finden Sie unter Sollte ich einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel verwenden, um meine Objekte in Amazon S3 zu verschlüsseln?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-object-encryption-keys/)
## Verwenden der Standard-Verschlüsselung mit der Replikation
Wenn Sie die Standard-Verschlüsselung für einen Replikations-Ziel-Bucket aktivieren, gilt das folgende Verschlüsselungsverhalten:
+ Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standard-Verschlüsselung des Ziel-Buckets verschlüsselt. Infolgedessen unterscheiden sich die Entitäts-Tags (ETags) der Quellobjekte von denen ETags der Replikatobjekte. Wenn Sie Anwendungen haben, die dies verwenden ETags, müssen Sie diese Anwendungen aktualisieren, um diesen Unterschied zu berücksichtigen.
+ Wenn Objekte im Quell-Bucket mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3), serverseitiger Verschlüsselung mit () -Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket denselben Verschlüsselungstyp wie die Quellobjekte. Die Einstellungen der Standard-Verschlüsselung des Ziel-Buckets werden nicht verwendet.
Weitere Informationen über die Verwendung der Standard-Verschlüsselung mit SSE-KMS finden Sie unter [Replizieren verschlüsselter Objekte](replication-config-for-kms-objects.md).
## Verwenden von Amazon S3-Bucket-Schlüsseln mit Standard-Verschlüsselung
Wenn Sie Ihren Bucket so konfigurieren, dass SSE-KMS als Standardverschlüsselungsverhalten für neue Objekte verwendet wird, können Sie auch S3-Bucket-Schlüssel konfigurieren. S3-Bucket-Keys reduzieren die Anzahl der Transaktionen von Amazon S3, AWS KMS um die Kosten von SSE-KMS zu senken.
Wenn Sie Ihren Bucket so konfigurieren, dass er S3 Bucket Keys für SSE-KMS für neue Objekte verwendet, AWS KMS generiert es einen Schlüssel auf Bucket-Ebene, der verwendet wird, um einen eindeutigen [Datenschlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) für Objekte im Bucket zu erstellen. Dieser S3-Bucket-Key wird für einen begrenzten Zeitraum innerhalb von Amazon S3 verwendet, sodass Amazon S3 weniger Anfragen AWS KMS zum Abschluss von Verschlüsselungsvorgängen stellen muss.
Weitere Informationen zur Verwendung von S3-Bucket-Schlüsseln finden Sie unter [Verwenden von Amazon-S3-Bucket-Schlüssel](bucket-key.md).
# Konfigurieren der Standardverschlüsselung
**Wichtig**
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader im AWS CLI und AWS SDKs verfügbar. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zur Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Für Amazon-S3-Buckets ist die Bucket-Verschlüsselung standardmäßig aktiviert und neue Objekte werden automatisch unter Verwendung der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselung gilt für alle neuen Objekte in Ihren Amazon-S3-Buckets und es fallen keine Kosten für Sie an.
Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und der Zuweisung von Zugriffsrichtlinien, können Sie sich für die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) oder die zweischichtige serverseitige Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) entscheiden. Weitere Informationen zu SSE-KMS finden Sie unter [Angabe der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS)](specifying-kms-encryption.md). Weitere Informationen zu DSSE-KMS finden Sie unter [Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS)](UsingDSSEncryption.md).
Wenn Sie einen KMS-Schlüssel verwenden möchten, der sich im Besitz eines anderen Kontos befindet, müssen Sie über die Berechtigung zum Verwenden des Schlüssels verfügen. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS-Schlüssel finden Sie unter [Erstellen von KMS-Schlüsseln, die von anderen Konten verwendet werden können](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) im *Entwicklerhandbuch zu AWS Key Management Service *.
Wenn Sie die Standard-Bucket-Verschlüsselung auf SSE-KMS festlegen, können Sie auch einen S3-Bucket-Key konfigurieren, um Ihre Anforderungskosten zu senken. AWS KMS Weitere Informationen finden Sie unter [Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln](bucket-key.md).
**Anmerkung**
Wenn Sie Ihre Standard-Bucket-Verschlüsselung [PutBucketEncryption](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketEncryption.html)auf SSE-KMS setzen, sollten Sie überprüfen, ob Ihre KMS-Schlüssel-ID korrekt ist. Amazon S3 validiert die in PutBucketEncryption Anfragen angegebene KMS-Schlüssel-ID nicht.
Es gibt keine zusätzlichen Gebühren für die Nutzung von Standard-Verschlüsselung für S3-Buckets. Für Anforderungen zum Konfigurieren des Standardverschlüsselungsverhaltens werden Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/). [Für SSE-KMS und DSSE-KMS AWS KMS fallen Gebühren an, die in den Preisen aufgeführt sind.AWS KMS](https://aws.amazon.com/kms/pricing/)
Die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) wird für die Standardverschlüsselung nicht unterstützt.
Sie können die Amazon S3 S3-Standardverschlüsselung für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole, der AWS SDKs, der Amazon S3 S3-REST-API und der AWS Command Line Interface (AWS CLI) konfigurieren.
**Änderungen, die Sie vor dem Aktivieren der Standardverschlüsselung beachten sollten**
Nachdem Sie die Standard-Verschlüsselung für einen Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:
+ Es gibt keine Änderung der Verschlüsselung der Objekte, die vor der Aktivierung der Standard-Verschlüsselung im Bucket vorhanden waren.
+ Wenn Sie Objekte nach der Aktivierung der Standard-Verschlüsselung hochladen:
+ Wenn Ihre `PUT`-Abfrage-Header keine Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Standardverschlüsselungseinstellungen des Buckets, um die Objekte zu verschlüsseln.
+ Wenn Ihre `PUT`-Anfrage-Header Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Verschlüsselungsinformationen der `PUT`-Anfrage, um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden.
+ Wenn Sie die Option SSE-KMS oder DSSE-KMS für die Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den Kontingenten der Anforderungen pro Sekunde (RPS) von AWS KMS. Weitere Informationen zu AWS KMS -Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie unter [Kontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) im *Entwicklerhandbuch zu AWS Key Management Service *.
**Anmerkung**
Objekte, die hochgeladen wurden, bevor die Standardverschlüsselung aktiviert wurde, werden nicht verschlüsselt. Weitere Informationen zum Verschlüsseln vorhandener Objekte finden Sie unter [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](bucket-encryption.md).
## Verwenden der S3-Konsole
**Konfigurieren der Standardverschlüsselung für einen Amazon-S3-Bucket**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des von Ihnen erstellten Buckets aus.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Wählen Sie unter **Default encryption (Standard-Verschlüsselung)** **Edit (Bearbeiten)** aus.
1. Wählen Sie eine der folgenden Optionen unter **Verschlüsselungstyp** aus, um die Verschlüsselung zu konfigurieren:
+ **Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)**
+ **Serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS)**
+ **Zweischichtige serverseitige Verschlüsselung mit Schlüsseln (DSSE-KMS) AWS Key Management Service **
**Wichtig**
Wenn Sie die Optionen SSE-KMS oder DSSE-KMS für die Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den Kontingenten der Anforderungen pro Sekunde (RPS) von AWS KMS. *Weitere Informationen zu AWS KMS Kontingenten und zur Beantragung einer Kontingenterhöhung finden Sie unter [Kontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) im Entwicklerhandbuch.AWS Key Management Service *
Buckets und neue Objekte werden standardmäßig mit SSE-S3 verschlüsselt, sofern Sie keine andere Art der Standardverschlüsselung für Ihre Buckets angeben. Weitere Informationen zur Standardverschlüsselung finden Sie unter [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](bucket-encryption.md).
Weitere Informationen zur Datenverschlüsselung mit der serverseitigen Amazon-S3-Verschlüsselung finden Sie unter [Verwenden serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)](UsingServerSideEncryption.md).
1. Wenn Sie sich für **serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS)** oder **Serverseitige Dual-Layer-Verschlüsselung mit AWS Key Management Service Schlüsseln (DSSE-KMS**) entschieden haben, gehen Sie wie folgt vor:
1. Geben Sie unter **AWS KMS -Schlüssel** Ihren KMS-Schlüssel auf eine der folgenden Arten an:
+ Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem und **wählen Sie Ihren AWS KMS keys KMS-Schlüssel aus** **der Liste der verfügbaren Schlüssel** aus.
Sowohl der Von AWS verwalteter Schlüssel (`aws/s3`) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter [Kundenschlüssel und AWS Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) im *AWS Key Management Service Entwicklerhandbuch*.
+ Wählen Sie zum Eingeben des KMS-Schlüssel-ARN ** AWS KMS key -ARN eingeben** aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.
+ Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu **erstellen, wählen Sie Create a KMS Key** aus.
Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter [Creating Keys](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*.
**Wichtig**
Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket aktiviert sind. Wenn Sie **Choose from your KMS master keys (Auswahl aus Ihren KMS-Schlüsseln)** auswählen, listet die S3-Konsole nur 100 KMS-Schlüssel pro Region auf. Wenn Sie über mehr als 100 KMS-Schlüssel in derselben Region verfügen, können Sie nur die ersten 100 KMS-Schlüssel in der S3-Konsole sehen. Um einen nicht in der Konsole aufgeführten KMS-Schlüssel zu verwenden, wählen Sie ** AWS KMS key -ARN eingeben** aus und geben Sie den KMS-Schlüssel-ARN ein.
Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Weitere Informationen zu diesen Schlüsseln finden Sie unter [Symmetrische KMS-Verschlüsselungsschlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) im *Entwicklerhandbuch für AWS Key Management Service *.
Weitere Informationen zur Verwendung von SSE-KMS mit Amazon S3 finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](UsingKMSEncryption.md). Weitere Informationen zur Verwendung von DSSE-KMS finden Sie unter [Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS)](UsingDSSEncryption.md).
1. Wenn Sie Ihren Bucket für die Verwendung der Standardverschlüsselung mit SSE-KMS konfigurieren, können Sie auch einen S3-Bucket-Schlüssel aktivieren. S3-Bucket-Keys senken die Kosten für die Verschlüsselung, indem sie den Anforderungsverkehr von Amazon S3 zu verringern AWS KMS. Weitere Informationen finden Sie unter [Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln](bucket-key.md).
Um S3-Bucket-Schlüssel zu verwenden, wählen Sie unter **Bucket Key (Bucket-Schlüssel)** die Option **Enable (Aktivieren)**.
**Anmerkung**
S3-Bucket-Schlüssel werden für DSSE-KMS nicht unterstützt.
1. Wählen Sie **Änderungen speichern ** aus.
## Mit dem AWS CLI
Diese Beispiele zeigen Ihnen, wie Sie die Standardverschlüsselung mit SSE-S3 oder SSE-KMS mit einem S3-Bucket-Schlüssel konfigurieren.
Weitere Informationen zur Standardverschlüsselung finden Sie unter [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](bucket-encryption.md). Weitere Hinweise AWS CLI zur Konfiguration der Standardverschlüsselung finden Sie unter [put-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-encryption.html).
**Example – Standard-Verschlüsselung mit SSE-S3**
In diesem Beispiel wird die Standardverschlüsselung von Buckets mit von Amazon S3 verwalteten Schlüsseln konfiguriert.
```
aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256"
}
}
]
}'
```
**Example – Standard-Verschlüsselung mit SSE-KMS mit einem S3-Bucket-Schlüssel**
In diesem Beispiel wird die Standard-Bucket-Verschlüsselung mit SSE-KMS unter Verwendung eines S3-Bucket-Schlüssels konfiguriert.
```
aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "KMS-Key-ARN"
},
"BucketKeyEnabled": true
}
]
}'
```
## Verwenden der REST-API
Verwenden Sie die REST-API-Operation `PutBucketEncryption`, um die Standardverschlüsselung zu aktivieren und den Typ der serverseitigen Verschlüsselung festzulegen, der verwendet werden soll – SSE-S3, SSE-KMS oder DSSE-KMS.
Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Überwachung der Standardverschlüsselung mit AWS CloudTrail und Amazon EventBridge
**Wichtig**
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader im AWS CLI und AWS SDKs verfügbar. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zur Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Sie können Konfigurationsanforderungen zur Standardverschlüsselung für Amazon-S3-Buckets mithilfe von AWS CloudTrail -Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail Protokollen verwendet:
+ `PutBucketEncryption`
+ `GetBucketEncryption`
+ `DeleteBucketEncryption`
Sie können auch EventBridge Regeln erstellen, die den CloudTrail Ereignissen für diese API-Aufrufe entsprechen. Weitere Informationen zu CloudTrail Ereignissen finden Sie unter[Aktivieren der Protokollierung für Objekte in einem Bucket mit der Konsole](enable-cloudtrail-logging-for-s3.md#enable-cloudtrail-events). Weitere Informationen zu EventBridge Ereignissen finden Sie unter [Ereignisse von AWS-Services](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html).
Sie können CloudTrail Protokolle für Amazon S3-Aktionen auf Objektebene verwenden, um `POST` Anfragen an Amazon S3 nachzuverfolgen`PUT`. Sie können diese Aktionen verwenden, um zu überprüfen, ob die Standardverschlüsselung zum Verschlüsseln von Objekten verwendet wird, wenn eingehende Anfragen `PUT` keine Verschlüsselungs-Header haben.
Wenn Amazon S3 ein Objekt mit den Einstellungen der Standardverschlüsselung verschlüsselt, enthält das Protokoll eins der folgenden Felder als Name-Wert-Paar: `"SSEApplied":"Default_SSE_S3"`, `"SSEApplied":"Default_SSE_KMS"` oder `"SSEApplied":"Default_DSSE_KMS"`.
Wenn Amazon S3 ein Objekt mit den `PUT`-Verschlüsselungs-Headern verschlüsselt, enthält das Protokoll eins der folgenden Felder als Name-Wert-Paar: `"SSEApplied":"SSE_S3"`, `"SSEApplied":"SSE_KMS"`, `"SSEApplied":"DSSE_KMS"` oder `"SSEApplied":"SSE_C"`.
Diese Informationen sind für mehrteilige Uploads in den Anforderungen der API-Operation `InitiateMultipartUpload` enthalten. Weitere Informationen zur Verwendung von CloudTrail und finden Sie CloudWatch unter. [Protokollierung und Überwachung in Amazon S3](monitoring-overview.md)
# Häufig gestellte Fragen zur Standardverschlüsselung
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. SSE-S3, das den 256-Bit Advanced Encryption Standard (AES-256) verwendet, wird automatisch auf alle neuen Buckets und auf alle vorhandenen S3-Buckets angewendet, für die noch keine Standardverschlüsselung konfiguriert ist. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS Command Line Interface (AWS CLI) und im verfügbar. AWS SDKs
In den folgenden Abschnitten werden Fragen zu diesem Update beantwortet.
**Ändert Amazon S3 die Standardverschlüsselungseinstellungen für meine vorhandenen Buckets, für die bereits die Standardverschlüsselung konfiguriert ist?**
Nein. Es gibt keine Änderungen an der Standardverschlüsselungskonfiguration für einen vorhandenen Bucket, für den bereits SSE-S3 oder serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) konfiguriert ist. Weitere Informationen zum Festlegen des Standardverschlüsselungsverhalten für Buckets finden Sie unter [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](bucket-encryption.md). Weitere Informationen zu den Verschlüsselungseinstellungen von SSE-S3 und SSE-KMS finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung](serv-side-encryption.md).
**Wird die Standardverschlüsselung für meine vorhandenen Buckets aktiviert, für die keine Standardverschlüsselung konfiguriert ist?**
Ja. Amazon S3 konfiguriert jetzt die Standardverschlüsselung für alle vorhandenen unverschlüsselten Buckets für die serverseitige Verschlüsselung mit S3-verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsstufe für neue Objekte, die in diese Buckets hochgeladen werden. Objekte, die sich bereits in einem vorhandenen nicht verschlüsselten Bucket befinden, werden nicht automatisch verschlüsselt.
**Wie kann ich den Standardverschlüsselungsstatus neuer Objekt-Uploads einsehen?**
Derzeit können Sie den Standardverschlüsselungsstatus neuer Objekt-Uploads in den AWS CloudTrail Protokollen, S3 Inventory und S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS Command Line Interface (AWS CLI) und im anzeigen. AWS SDKs
+ Informationen zum [Anzeigen Ihrer CloudTrail Ereignisse finden Sie im *AWS CloudTrail Benutzerhandbuch* unter CloudTrail Ereignisse in der CloudTrail Konsole](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) anzeigen. CloudTrail Protokolle ermöglichen API-Tracking für `PUT` und `POST` Anfragen an Amazon S3. Wenn die Standardverschlüsselung zur Verschlüsselung von Objekten in Ihren Buckets verwendet wird, enthalten die CloudTrail Protokolle für `PUT` und `POST` API-Anfragen das folgende Feld als Name-Wert-Paar:. `"SSEApplied":"Default_SSE_S3"`
+ Um den automatischen Verschlüsselungsstatus neuer Objektuploads in S3 Inventar anzuzeigen, konfigurieren Sie einen S3-Inventarbericht, der das Feld **Verschlüsselungsmetadaten** enthält, und sehen Sie sich dann den Verschlüsselungsstatus jedes neuen Objekts im Bericht an. Weitere Informationen finden Sie unter [Einrichtung von Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configure-inventory.html#storage-inventory-setting-up).
+ Um den automatischen Verschlüsselungsstatus für neue Objektuploads in S3 Storage Lens anzuzeigen, konfigurieren Sie ein S3-Storage-Lens-Dashboard und sehen Sie sich die Metriken Verschlüsselte **Bytes** und **Anzahl verschlüsselter Objekte** in der Kategorie **Datenschutz** des Dashboards an. Weitere Informationen erhalten Sie unter [Verwenden der S3-Konsole](storage_lens_creating_dashboard.md#storage_lens_console_creating) und [Anzeigen von S3-Storage-Lens-Metriken in den Dashboards](storage_lens_view_metrics_dashboard.md).
+ Wenn Sie den Status der automatischen Verschlüsselung auf Bucket-Ebene in der Amazon-S3-Konsole anzeigen möchten, überprüfen Sie die **Standardverschlüsselung** Ihrer Amazon-S3-Buckets in der Amazon-S3-Konsole. Weitere Informationen finden Sie unter [Konfigurieren der Standardverschlüsselung](default-bucket-encryption.md).
+ Um den Status der automatischen Verschlüsselung als zusätzlichen Amazon S3 S3-API-Antwortheader in den AWS Command Line Interface (AWS CLI) und dem anzuzeigen AWS SDKs, überprüfen Sie den Antwort-Header, `x-amz-server-side-encryption` wenn Sie Objektaktionen verwenden APIs, z. B. [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)und [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html).
**Was muss ich tun, um von dieser Änderung zu profitieren?**
Sie müssen keine Änderungen an Ihren bestehenden Anwendungen vornehmen. Da die Standardverschlüsselung für alle Ihre Buckets aktiviert ist, werden alle neuen Objekte, die auf Amazon S3 hochgeladen werden, automatisch verschlüsselt.
**Kann ich die Verschlüsselung für die neuen Objekte deaktivieren, die in meinen Bucket geschrieben werden?**
Nein. SSE-S3 ist die neue Basisverschlüsselungsstufe, die auf alle neuen Objekte angewendet wird, die in Ihren Bucket hochgeladen werden. Sie können die Verschlüsselung für das Hochladen neuer Objekte nicht mehr deaktivieren.
**Werden sich meine Gebühren ändern?**
Nein. Die Standardverschlüsselung mit SSE-S3 ist ohne zusätzliche Kosten verfügbar. Speicherplatz, Anfragen und andere S3-Funktionen werden Ihnen wie gewohnt in Rechnung gestellt. Preisinformationen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
**Verschlüsselt Amazon S3 meine vorhandenen unverschlüsselten Objekte?**
Nein. Ab dem 5. Januar 2023 verschlüsselt Amazon S3 nur neue Objekt-Uploads automatisch. Zum Verschlüsseln bestehender Objekte können Sie S3-Batch-Operationen verwenden, um verschlüsselte Kopien Ihrer Objekte zu erstellen. Diese verschlüsselten Kopien behalten die vorhandenen Objektdaten und den Namen bei und werden mit den von Ihnen angegebenen Verschlüsselungsschlüsseln verschlüsselt. Weitere Informationen finden Sie unter [Encrypting objects with Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) im *AWS Storage Blog*.
**Ich habe vor dieser Version die Verschlüsselung für meine Buckets nicht aktiviert. Muss ich die Art und Weise, wie ich auf Objekte zugreife, ändern?**
Nein. Die Standardverschlüsselung mit SSE-S3 verschlüsselt Ihre Daten automatisch, während sie in Amazon S3 geschrieben werden, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen. Die Art und Weise, wie Sie auf automatisch verschlüsselte Objekte zugreifen, ändert sich nicht.
**Muss ich die Art und Weise, wie ich auf meine clientseitig verschlüsselten Objekte zugreife, ändern?**
Nein. Alle clientseitig verschlüsselten Objekte, die vor dem Hochladen in Amazon S3 verschlüsselt werden, kommen als verschlüsselte Geheimtextobjekte in Amazon S3 an. Diese Objekte verfügen jetzt über eine zusätzliche SSE-S3-Verschlüsselungsebene. Ihre Workloads, die clientseitig verschlüsselte Objekte verwenden, erfordern keine Änderungen an Ihren Client-Services oder Autorisierungseinstellungen.
**Anmerkung**
HashiCorp Terraform-Benutzer, die keine aktualisierte Version des AWS Anbieters verwenden, stellen möglicherweise eine unerwartete Abweichung fest, nachdem sie neue S3-Buckets ohne kundenspezifische Verschlüsselungskonfiguration erstellt haben. Um diese Abweichung zu vermeiden, aktualisieren Sie Ihre Terraform AWS Provider-Version auf eine der folgenden Versionen: eine beliebige 4.x Version,, oder. 3.76.1 2.70.4