View a markdown version of this page

Konfiguration Ihres Buckets für die Verwendung eines S3-Bucket-Keys SSE-KMS für neue Objekte - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration Ihres Buckets für die Verwendung eines S3-Bucket-Keys SSE-KMS für neue Objekte

Wenn Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) konfigurieren, können Sie Ihren Bucket so konfigurieren, dass für SSE-KMS neue Objekte ein S3-Bucket-Key verwendet wird. S3-Bucket-Keys reduzieren den Anforderungsverkehr von Amazon S3 zu AWS KMS und reduzieren die Kosten von SSE-KMS. Weitere Informationen finden Sie unter Senkung der Kosten SSE-KMS mit Amazon S3 Bucket Keys.

Sie können Ihren Bucket so konfigurieren, dass er einen S3-Bucket Key für SSE-KMS neue Objekte verwendet, indem Sie die Amazon S3 S3-Konsole, die REST-API, AWS SDKs, AWS Command Line Interface (AWS CLI) oder CloudFormation verwenden. Wenn Sie einen S3-Bucket-Schlüssel für vorhandene Objekte aktivieren oder deaktivieren möchten, können Sie eine CopyObject-Operation verwenden. Weitere Informationen finden Sie unter Konfigurieren eines S3-Bucket-Schlüssels auf Objektebene und Verwenden von Batch-Operationen zur Aktivierung von S3-Bucket-Keys für SSE-KMS.

Wenn ein S3-Bucket-Schlüssel für den Quell- oder Ziel-Bucket aktiviert ist, ist der Verschlüsselungskontext der Bucket-Amazon-Ressourcenname (ARN), nicht der Objekt-ARN, z. B., arn:aws:s3:::bucket_ARN. Sie müssen Ihre IAM-Richtlinien aktualisieren, um den Bucket-ARN für den Verschlüsselungskontext zu verwenden. Weitere Informationen finden Sie unter S3 Bucket-Schlüssel und Replikation.

Die folgenden Beispiele veranschaulichen, wie ein S3-Bucket-Schlüssel mit der Replikation funktioniert. Weitere Informationen finden Sie unter Verschlüsselte Objekte replizieren (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)

Voraussetzungen

Bevor Sie Ihren Bucket für die Verwendung eines S3-Bucket-Schlüssels konfigurieren, lesen Sie Änderungen, die Sie vor dem Aktivieren eines S3-Bucket-Schlüssels beachten sollten.

Themen

    In der S3-Konsole können Sie einen S3-Bucket-Schlüssel für einen neuen oder vorhandenen Bucket aktivieren oder deaktivieren. Objekte in der S3-Konsole übernehmen ihre S3-Bucket-Schlüssel-Einstellung aus der Bucket-Konfiguration. Wenn Sie einen S3-Bucket Key für Ihren Bucket aktivieren, verwenden neue Objekte, die Sie in den Bucket hochladen, einen S3-Bucket Key für SSE-KMS.

    Hochladen, Kopieren oder Ändern von Objekten in Buckets, für die ein S3-Bucket-Schlüssel aktiviert ist

    Wenn Sie ein Objekt in einen Bucket hochladen oder kopieren, für den ein S3-Bucket-Schlüssel aktiviert ist, oder ein Objekt darin ändern, werden die Einstellung des S3-Bucket-Schlüssels für dieses Objekt möglicherweise aktualisiert, um sie an die Bucket-Konfiguration anzupassen.

    Wenn für ein Objekt bereits ein S3-Bucket-Schlüssel aktiviert ist, ändern sich die S3-Bucket-Schlüssel-Einstellungen für dieses Objekt nicht, wenn Sie das Objekt kopieren oder ändern. Wenn Sie jedoch ein Objekt ändern oder kopieren, für das kein S3-Bucket-Schlüssel aktiviert ist, und der Ziel-Bucket eine S3-Bucket-Schlüssel-Konfiguration hat, übernimmt das Objekt die S3-Bucket-Schlüssel-Einstellungen des Ziel-Buckets. Wenn beispielsweise für den Ziel-Bucket ein S3-Bucket-Schlüssel aktiviert ist, für das Quellobjekt jedoch nicht, wird ein S3-Bucket-Schlüssel für das Objekt aktiviert.

    So aktivieren Sie einen S3-Bucket-Schlüssel beim Erstellen eines neuen Buckets

    1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

    2. Wählen Sie im linken Navigationsbereich Buckets aus.

    3. Wählen Sie Create Bucket (Bucket erstellen) aus.

    4. Geben Sie Ihren Bucket-Namen ein und wählen Sie Ihre AWS-Region aus.

    5. Wählen Sie unter Standardverschlüsselung für Verschlüsselungsschlüsseltyp die Option AWS Key Management Service Schlüssel (SSE-KMS) aus.

    6. Führen Sie unter AWS KMS -Schlüssel eine der folgenden Aktionen aus, um Ihren KMS-Schlüssel auszuwählen:

      • Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem AWS KMS keys und wählen Sie dann Ihren KMS-Schlüssel aus der Liste der verfügbaren Schlüssel aus.

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Entwicklerhandbuch.

      • Wählen Sie zum Eingeben des KMS-Schlüssel-ARN AWS KMS key -ARN eingeben aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.

      • Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS Key aus.

        Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter Creating Keys im AWS Key Management Service Developer Guide.

    7. Wählen Sie unter Bucket Key (Bucket-Schlüssel) die Option Enable (Aktivieren).

    8. Wählen Sie Create Bucket (Bucket erstellen) aus.

      Amazon S3 erstellt Ihren Bucket mit einem aktivierten S3-Bucket-Schlüssel. Neue Objekte, die Sie in den Bucket hochladen, verwenden einen S3-Bucket-Schlüssel. 

      Um einen S3-Bucket-Schlüssel zu deaktivieren, führen Sie die vorherigen Schritte aus und wählen Deaktivieren.

    So aktivieren Sie einen S3-Bucket-Schlüssel für einen vorhandenen Bucket

    1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

    2. Wählen Sie im linken Navigationsbereich Buckets aus.

    3. Wählen Sie in der Liste Buckets den Bucket, für den Sie einen S3-Bucket-Schlüssel aktivieren möchten.

    4. Wählen Sie die Registerkarte Eigenschaften aus.

    5. Wählen Sie unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.

    6. Wählen Sie unter Standardverschlüsselung für Verschlüsselungsschlüsseltyp die Option AWS Key Management Service key (SSE-KMS) aus.

    7. Führen Sie unter AWS KMS -Schlüssel eine der folgenden Aktionen aus, um Ihren KMS-Schlüssel auszuwählen:

      • Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem AWS KMS keys und wählen Sie dann Ihren KMS-Schlüssel aus der Liste der verfügbaren Schlüssel aus.

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Entwicklerhandbuch.

      • Wählen Sie zum Eingeben des KMS-Schlüssel-ARN AWS KMS key -ARN eingeben aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.

      • Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS Key aus.

        Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter Creating Keys im AWS Key Management Service Developer Guide.

    8. Wählen Sie unter Bucket-Schlüssel die Option Aktivieren.

    9. Wählen Sie Save Changes (Änderungen speichern).

      Amazon S3 aktiviert einen S3-Bucket-Schlüssel für neue Objekte, die zu Ihrem Bucket hinzugefügt werden. Bestehende Objekte verwenden den S3-Bucket-Schlüssel nicht. Zum Konfigurieren eines S3-Bucket-Schlüssels für vorhandene Objekte können Sie eine CopyObject-Operation verwenden. Weitere Informationen finden Sie unter Konfigurieren eines S3-Bucket-Schlüssels auf Objektebene.

      Um einen S3-Bucket-Schlüssel zu deaktivieren, führen Sie die vorherigen Schritte aus und wählen Deaktivieren.

    Sie können PutBucketEncryptioneinen S3-Bucket-Key für Ihren Bucket aktivieren oder deaktivieren. Um einen S3-Bucket Key mit zu konfigurierenPutBucketEncryption, verwenden Sie den ServerSideEncryptionRuleDatentyp, der die Standardverschlüsselung mit beinhaltet SSE-KMS. Sie können optional auch einen vom Kunden verwalteten Schlüssel verwenden, indem Sie die KMS-Schlüssel-ID für den kundenverwalteten Schlüssel angeben. 

    Weitere Informationen und eine Beispielsyntax finden Sie unter PutBucketEncryption.

    Das folgende Beispiel aktiviert die Standard-Bucket-Verschlüsselung mit SSE-KMS und einem S3-Bucket-Key mithilfe von AWS SDK für Java.

    Java
    AmazonS3 s3client = AmazonS3ClientBuilder.standard()
    .withRegion(Regions.DEFAULT_REGION)
    .build();
    
ServerSideEncryptionByDefault serverSideEncryptionByDefault = new ServerSideEncryptionByDefault()
    .withSSEAlgorithm(SSEAlgorithm.KMS);
ServerSideEncryptionRule rule = new ServerSideEncryptionRule()
    .withApplyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
    .withBucketKeyEnabled(true);
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration =
    new ServerSideEncryptionConfiguration().withRules(Collections.singleton(rule));

SetBucketEncryptionRequest setBucketEncryptionRequest = new SetBucketEncryptionRequest()
    .withServerSideEncryptionConfiguration(serverSideEncryptionConfiguration)
    .withBucketName(bucketName);
            
s3client.setBucketEncryption(setBucketEncryptionRequest);

    Das folgende Beispiel aktiviert die Standard-Bucket-Verschlüsselung mit SSE-KMS und einen S3-Bucket-Key mithilfe von AWS CLI. Ersetzen Sie user input placeholders durch Ihre Informationen.

    aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

    Weitere Informationen zur Konfiguration eines S3-Bucket Keys mit CloudFormation finden Sie unter AWS: :S3: :Bucket ServerSideEncryptionRule im AWS CloudFormation Benutzerhandbuch.