Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Verwenden Sie serverseitige Dual-Layer-Verschlüsselung mit AWS KMS Schlüssel () DSSE-KMS Bei Verwendung der serverseitigen Dual-Layer-Verschlüsselung mit AWS Key Management Service (AWS KMS DSSE-KMS) -Schlüsseln () werden Objekte beim Upload auf Amazon S3 mit zwei Verschlüsselungsebenen versehen. DSSE-KMS hilft Ihnen dabei, Compliance-Standards, die eine mehrschichtige Verschlüsselung Ihrer Daten und die vollständige Kontrolle über Ihre Verschlüsselungsschlüssel erfordern, einfacher zu erfüllen. Der Begriff „duale“ DSSE-KMS bezieht sich auf zwei unabhängige AES-256 Verschlüsselungsebenen, die auf Ihre Daten angewendet werden: + *Erste Schicht:* Ihre Daten werden mit einem eindeutigen Datenverschlüsselungsschlüssel (DEK) verschlüsselt, der generiert wird von AWS KMS + *Zweite Ebene:* Die bereits verschlüsselten Daten werden erneut mit einem separaten AES-256 Verschlüsselungsschlüssel verschlüsselt, der von Amazon S3 verwaltet wird Dies unterscheidet sich vom Standard SSE-KMS, der nur eine einzige Verschlüsselungsebene anwendet. Der zweischichtige Ansatz bietet eine erhöhte Sicherheit, da er gewährleistet, dass Ihre Daten auch bei einer Beeinträchtigung einer Verschlüsselungsschicht durch die zweite Schicht geschützt bleiben. Diese zusätzliche Sicherheit ist mit einem erhöhten Verarbeitungsaufwand und AWS KMS API-Aufrufen verbunden, was für die höheren Kosten im Vergleich zum Standard verantwortlich ist SSE-KMS. Weitere Informationen zur DSSE-KMS Preisgestaltung finden Sie unter [AWS KMS key Konzepte](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) im AWS Key Management Service Entwicklerhandbuch und unter [AWS KMS Preise](https://aws.amazon.com/kms/pricing). Bei Verwendung DSSE-KMS mit einem Amazon S3 S3-Bucket müssen sich die AWS KMS Schlüssel in derselben Region wie der Bucket befinden. Wenn für das Objekt angefordert DSSE-KMS wird, wird außerdem die S3-Prüfsumme, die Teil der Metadaten des Objekts ist, in verschlüsselter Form gespeichert. Weitere Informationen zu Prüfsummen finden Sie unter [Überprüfen der Objektintegrität in Amazon S3](checking-object-integrity.md). **Anmerkung** S3-Bucket-Keys werden für DSSE-KMS nicht unterstützt. Die wichtigsten Unterschiede zwischen DSSE-KMS und Standard SSE-KMS sind: + **Verschlüsselungsebenen:** DSSE-KMS wendet zwei unabhängige AES-256 Verschlüsselungsebenen an, während der Standard eine Schicht SSE-KMS anwendet + **Sicherheit:** DSSE-KMS bietet verbesserten Schutz vor potenziellen Verschlüsselungsschwachstellen + **Konformität:** DSSE-KMS trägt zur Erfüllung behördlicher Anforderungen bei, die eine mehrschichtige Verschlüsselung vorschreiben + **Leistung:** DSSE-KMS weist aufgrund der zusätzlichen Verschlüsselungsverarbeitung eine etwas höhere Latenz auf + **Kosten:** DSSE-KMS Aufgrund des erhöhten Rechenaufwands und zusätzlicher Operationen fallen höhere Gebühren an AWS KMS **Erfordert eine zweischichtige serverseitige Verschlüsselung mit AWS KMS keys (DSSE-KMS)** Wenn Sie die serverseitige Dual-Layer-Verschlüsselung aller Objekte in einem bestimmten Amazon-S3-Bucket anfordern möchten, können Sie eine Bucket-Richtlinie verwenden. Die folgende Bucket-Richtlinie verweigert beispielsweise allen Benutzern die Berechtigung Objekt (`s3:PutObject`) hochladen, wenn die Anfrage keinen `x-amz-server-side-encryption` Header enthält, mit dem serverseitige Verschlüsselung angefordert wird. DSSE-KMS ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "PutObjectPolicy", "Statement": [{ "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms:dsse" } } } ] } ``` ------ **Topics** + [Spezifizierung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüssel () DSSE-KMS](specifying-dsse-encryption.md)