Verwenden Sie serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln () SSE-C

Server-side Bei der Verschlüsselung geht es darum, Daten im Ruhezustand zu schützen. Server-side Bei der Verschlüsselung werden nur die Objektdaten, nicht die Objektmetadaten verschlüsselt. Sie können serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) in Ihren Allzweck-Buckets verwenden, um Ihre Daten mit Ihren eigenen Verschlüsselungsschlüsseln zu verschlüsseln. Mit dem Verschlüsselungsschlüssel, den Sie als Teil Ihrer Anforderung bereitstellen, verwaltet Amazon S3 die Datenverschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Sie müssen also für die Datenverschlüsselung und -entschlüsselung keinen Code mehr verwalten. Sie müssen nur noch die von Ihnen bereitgestellten Verschlüsselungsschlüssel verwalten.

Ab April 2026 SSE-C ist diese Option standardmäßig für alle neuen Allzweck-Buckets und für bestehende Buckets in Konten ohne verschlüsselte Objekte deaktiviert. SSE-C Die meisten modernen Workloads verwenden stattdessen serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3SSE-KMS) oder AWS KMS-Schlüsseln (), da Sie den Verschlüsselungsschlüssel bei jeder Anfrage angeben SSE-C müssen, was es unpraktisch macht, den Zugriff mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die mit Ihren Daten arbeiten. Weitere Informationen SSE-KMS dazu finden Sie unter. Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüssel () SSE-KMS

Wenn Ihr Workload dies erfordert SSE-C, müssen Sie ihn explizit aktivieren, indem BlockedEncryptionTypes Sie NONE in der standardmäßigen Verschlüsselungskonfiguration Ihres Buckets mithilfe der PutBucketEncryption API den Wert auf einstellen. Während blockiert SSE-C ist, werden allePutObject,, CopyObjectPostObject, Mehrteiligen Upload- oder Replikationsanfragen, die SSE-C Verschlüsselung spezifizieren, mit einem HTTP AccessDenied 403-Fehler zurückgewiesen. Weitere Informationen hierzu finden Sie unter Sperren oder Entsperren SSE-C für einen Allzweck-Bucket.

Für die Nutzung SSE-C fallen keine zusätzlichen Gebühren an. Für Anfragen zur Konfiguration und Nutzung SSE-C fallen jedoch die Standardgebühren für Amazon S3 S3-Anfragen an. Informationen zu Preisen finden Sie unter Amazon S3 – Preise.

Wichtig

Amazon Simple Storage Service wendet jetzt eine neue Standardsicherheitseinstellung für Buckets an, die automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets deaktiviert. Im April 2026 hat Amazon S3 ein Update bereitgestellt, sodass bei allen neuen Allzweck-Buckets die SSE-C Verschlüsselung für alle neuen Schreibanforderungen deaktiviert ist. Für bestehende Buckets AWS-Konten ohne SSE-C verschlüsselte Objekte wurde Amazon S3 auch SSE-C für alle neuen Schreibanforderungen deaktiviert. Mit dieser Änderung müssen Anwendungen, die SSE-C verschlüsselt werden müssen, bewusst aktiviert werden, SSE-C indem nach der Erstellung eines neuen Buckets der PutBucketEncryptionAPI-Vorgang verwendet wird. Weitere Informationen zu dieser Änderung finden Sie unterHäufig gestellte Fragen zur SSE-C Standardeinstellung für neue Buckets.

Überlegungen vor der Verwendung SSE-C

S3 speichert den Verschlüsselungsschlüssel niemals, wenn Sie ihn verwenden SSE-C. Sie müssen den Verschlüsselungsschlüssel jedes Mal angeben, wenn Sie möchten, dass jemand Ihre SSE-C verschlüsselten Daten von S3 herunterlädt.
- Sie Verwalten ein Mapping, welcher Verschlüsselungsschlüssel für die Verschlüsselung welches Objekts verwendet wurde. Sie sind dafür verantwortlich, zu verwalten, welchen Verschlüsselungsschlüssel Sie für welches Objekt angegeben haben. Das bedeutet auch, dass Sie das Objekt verlieren, wenn Sie den Verschlüsselungsschlüssel verlieren.
- Sie verwalten die Verschlüsselungsschlüssel auf der Clientseite, deshalb verwalten Sie auch alle zusätzlichen Sicherungsmechanismen auf der Clientseite, wie beispielsweise die Schlüsselrotation.
- Dieses Design kann es schwierig machen, Ihren SSE-C Schlüssel mit anderen Benutzern, Rollen oder AWS Diensten zu teilen, die mit Ihren Daten arbeiten müssen. Aufgrund der weit verbreiteten Unterstützung für SSE-KMS Across werden die meisten modernen Workloads nicht verwendet AWS, SSE-C da es nicht über die Flexibilität von SSE-KMS verfügt. Weitere Informationen SSE-KMS dazu finden Sie unter Serverseitige Verschlüsselung mit AWS KMS-Schlüsseln verwenden () SSE-KMS.
- Das bedeutet, dass Objekte, die mit verschlüsselt wurden, von SSE-C Managed Services nicht nativ entschlüsselt AWS werden können.
Sie müssen HTTPS verwenden, wenn Sie SSE-C Header für Ihre Anfragen angeben.
- Amazon S3 lehnt bei der Verwendung SSE-C alle Anfragen ab, die über HTTP gestellt werden. Aus Sicherheitsgründen empfehlen wir, dass Sie jeden Schlüssel, den Sie fälschlicherweise über HTTP senden, als kompromittiert betrachten. Verwerfen Sie den Schlüssel und rotieren Sie ihn wie erforderlich.
Wenn Ihr Bucket versioning-fähig ist, kann jede Objektversion, die Sie hochladen, ihren eigenen Verschlüsselungsschlüssel haben. Sie sind dafür verantwortlich, zu verwalten, welcher Verschlüsselungsschlüssel für welche Objektversion verwendet wurde.
SSE-C wird in der Amazon S3 S3-Konsole nicht unterstützt. Sie können die Amazon S3 S3-Konsole nicht verwenden, um ein Objekt hochzuladen und die SSE-C Verschlüsselung anzugeben. Sie können die Konsole auch nicht verwenden, um ein vorhandenes Objekt, das mit gespeichert wurde, zu aktualisieren (z. B. die Speicherklasse zu ändern oder Metadaten hinzuzufügen) SSE-C.
SSE-C ist standardmäßig für neue Buckets gesperrt. Sie müssen die SSE-C Verwendung der PutBucketEncryption API explizit aktivieren, bevor Sie Objekte mit SSE-C Verschlüsselung hochladen können. Weitere Informationen finden Sie unter Sperren oder Entsperren SSE-C für einen Allzweck-Bucket.

Themen

Dokumentkonventionen

Spezifizieren DSSE-KMS

Spezifizieren SSE-C