Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einstellen und Überwachen der Standardverschlüsselung für Verzeichnis-Buckets
In Amazon S3 S3-Buckets ist die Bucket-Verschlüsselung standardmäßig aktiviert, und neue Objekte werden automatisch mithilfe serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln () SSE-S3 verschlüsselt. Diese Verschlüsselung gilt für alle neuen Objekte in Ihren Amazon-S3-Buckets und es fallen keine Kosten für Sie an.
Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und die Gewährung von Zugriffsrichtlinien, können Sie sich für die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln () entscheiden. SSE-KMS
Anmerkung
Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren
CreateSession-Anforderungen oderPUT-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. Weitere Informationen zum Verhalten beim Überschreiben der Verschlüsselung in Verzeichnis-Buckets finden Sie unter Serverseitige Verschlüsselung mit AWS KMS für Uploads neuer Objekte angeben.Um neue Objekte in einem Verzeichnis-Bucket mit zu verschlüsseln SSE-KMS, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets einen KMS-Schlüssel (insbesondere einen vom Kunden verwalteten Schlüssel) angeben. Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit S3-Bucket-Schlüsseln ver SSE-KMS - und entschlüsselt.
Wenn Sie die Standard-Bucket-Verschlüsselung auf einstellen SSE-KMS, sind S3-Bucket-Keys immer für
GETPUTVorgänge in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden. S3-Bucket-Keys werden nicht unterstützt, wenn Sie SSE-KMS verschlüsselte Objekte aus Allzweck-Buckets in Verzeichnis-Buckets, von Verzeichnis-Buckets in Allzweck-Buckets oder zwischen Verzeichnis-Buckets durch,, CopyObjectUploadPartCopy, den Copy Vorgang in Batch Operations oder die Jobs kopieren. import In diesem Fall ruft Amazon S3 AWS KMS jedes Mal, wenn eine Kopieranforderung für ein KMS-encrypted Objekt gestellt wird, auf. Weitere Informationen darüber, wie S3 Bucket Keys Ihre AWS KMS Anforderungskosten reduzieren, finden Sie unterSenkung der Kosten SSE-KMS mit Amazon S3 Bucket Keys.Wenn Sie einen vom Kunden verwalteten AWS KMS -Schlüssel für die Verschlüsselung in Ihrem Verzeichnis-Bucket angeben, verwenden Sie nur die Schlüssel-ID oder den Schlüssel-ARN. Das Schlüsselaliasformat des KMS-Schlüssels wird nicht unterstützt.
Dual-layer Die serverseitige Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) und die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) werden für die Standardverschlüsselung in Verzeichnis-Buckets nicht unterstützt.
Weitere Informationen über die Konfiguration der Standardverschlüsselung finden Sie unter Konfigurieren der Standardverschlüsselung.
Weitere Informationen zu den Berechtigungen, die für die Standardverschlüsselung erforderlich sind, finden Sie unter PutBucketEncryption in der API-Referenz zu Amazon Simple Storage Service.
Sie können die Amazon S3 S3-Standardverschlüsselung für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole, der AWS SDKs, der Amazon S3 S3-REST-API und der AWS Command Line Interface (AWS CLI) konfigurieren.
Konfigurieren der Standardverschlüsselung für einen Amazon-S3-Bucket
Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie im linken Navigationsbereich Buckets aus.
-
Wählen Sie in der Liste Buckets den Namen des von Ihnen erstellten Buckets aus.
-
Wählen Sie die Registerkarte Eigenschaften aus.
-
Unter Server-side Verschlüsselungseinstellungen verwenden Verzeichnis-Buckets die Server-side Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3).
-
Wählen Sie Änderungen speichern aus.
Diese Beispiele zeigen Ihnen, wie Sie die Standardverschlüsselung mithilfe SSE-S3 oder SSE-KMS mithilfe eines S3-Bucket-Keys konfigurieren.
Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets. Weitere Informationen zur Konfiguration der AWS CLI Standardverschlüsselung finden Sie unter put-bucket-encryption
Beispiel— Standardverschlüsselung mit SSE-S3
In diesem Beispiel wird die Standardverschlüsselung von Buckets mit von Amazon S3 verwalteten Schlüsseln konfiguriert. Wenn Sie diesen Befehl verwenden wollen, ersetzen Sie user input placeholders durch Ihre eigenen Informationen.
aws s3api put-bucket-encryption --bucketbucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "AES256" } } ] }'
Beispiel— Standardverschlüsselung mit SSE-KMS Verwendung eines S3-Bucket-Keys
In diesem Beispiel wird die Standard-Bucket-Verschlüsselung SSE-KMS mithilfe eines S3-Bucket-Keys konfiguriert. Wenn Sie diesen Befehl verwenden wollen, ersetzen Sie user input placeholders durch Ihre eigenen Informationen.
aws s3api put-bucket-encryption --bucketbucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "KMS-Key-ARN" }, "BucketKeyEnabled": true } ] }'
Verwenden Sie den PutBucketEncryption REST-API-Vorgang, um die Standardverschlüsselung mit einem serverseitigen Verschlüsselungstyp festzulegen, der verwendet werden soll — SSE-S3, oder. SSE-KMS
Weitere Informationen finden Sie unter PutBucketEncryption in der API-Referenz zu Amazon Simple Storage Service.
Wenn Sie AWS SDKs verwenden, können Sie Amazon S3 AWS KMS keys für die serverseitige Verschlüsselung anfordern. Die folgenden AWS SDKs für Java- und .NET-Beispiele konfigurieren die Standardverschlüsselungskonfiguration für einen Verzeichnis-Bucket mit SSE-KMS und einem S3-Bucket Key. Informationen zu anderen SDKs finden Sie im AWS Developer Center unter Beispielcode und Bibliotheken
Wichtig
Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Weitere Informationen zu diesen Schlüsseln finden Sie unter Symmetrische KMS-Verschlüsselungsschlüssel im Entwicklerhandbuch für AWS Key Management Service .
Überwachung der Standardverschlüsselung für Verzeichnis-Buckets mit AWS CloudTrail
Sie können Konfigurationsanforderungen zur Standardverschlüsselung für Amazon-S3-Verzeichnis-Buckets mithilfe von AWS CloudTrail -Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail Protokollen verwendet:
-
PutBucketEncryption -
GetBucketEncryption -
DeleteBucketEncryption
Anmerkung
EventBridge wird in Verzeichnis-Buckets nicht unterstützt.
Dual-layer serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (DSSE-KMS) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C) werden in Verzeichnis-Buckets nicht unterstützt.
Weitere Informationen über die Überwachung der Standardverschlüsselung mit AWS CloudTrail finden Sie unter Überwachung der Standardverschlüsselung mit AWS CloudTrail und Amazon EventBridge.