

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren der Standardverschlüsselung
<a name="default-bucket-encryption"></a>

**Wichtig**  
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS CLI und verfügbar. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zur Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

In Amazon S3 S3-Buckets ist die Bucket-Verschlüsselung standardmäßig aktiviert, und neue Objekte werden automatisch mithilfe serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln () SSE-S3 verschlüsselt. Diese Verschlüsselung gilt für alle neuen Objekte in Ihren Amazon-S3-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und die Gewährung von Zugriffsrichtlinien, können Sie wählen, ob Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln () oder die zweischichtige serverseitige Verschlüsselung mit Schlüsseln (SSE-KMS) verwenden möchten. AWS KMS DSSE-KMS Weitere Informationen SSE-KMS zu finden Sie unter. [Geben Sie die serverseitige Verschlüsselung an mit AWS KMS (SSE-KMS)](specifying-kms-encryption.md) Weitere Informationen zu finden DSSE-KMS Sie unter[Verwenden Sie serverseitige Dual-Layer-Verschlüsselung mit AWS KMS Schlüssel () DSSE-KMS](UsingDSSEncryption.md). 

Wenn Sie einen KMS-Schlüssel verwenden möchten, der sich im Besitz eines anderen Kontos befindet, müssen Sie über die Berechtigung zum Verwenden des Schlüssels verfügen. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS-Schlüssel finden Sie unter [Erstellen von KMS-Schlüsseln, die von anderen Konten verwendet werden können](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) im *Entwicklerhandbuch zu AWS Key Management Service *. 

Wenn Sie die Standard-Bucket-Verschlüsselung auf einstellen SSE-KMS, können Sie auch einen S3-Bucket-Key konfigurieren, um Ihre AWS KMS Anforderungskosten zu senken. Weitere Informationen finden Sie unter [Senkung der Kosten SSE-KMS mit Amazon S3 Bucket Keys](bucket-key.md).

**Anmerkung**  
Wenn Sie Ihre Standard-Bucket-Verschlüsselung [PutBucketEncryption](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketEncryption.html)auf einstellen SSE-KMS, sollten Sie überprüfen, ob Ihre KMS-Schlüssel-ID korrekt ist. Amazon S3 validiert die in PutBucketEncryption Anfragen angegebene KMS-Schlüssel-ID nicht.

Es gibt keine zusätzlichen Gebühren für die Nutzung von Standard-Verschlüsselung für S3-Buckets. Für Anforderungen zum Konfigurieren des Standardverschlüsselungsverhaltens werden Standardgebühren für Amazon-S3-Anforderungen berechnet. Informationen zu Preisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/). Für SSE-KMS und AWS KMS fallen Gebühren an DSSE-KMS, die zu den [AWS KMS Preisen](https://aws.amazon.com/kms/pricing/) aufgeführt sind. 

Server-side Die Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) wird für die Standardverschlüsselung nicht unterstützt.

Sie können die Amazon S3 S3-Standardverschlüsselung für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole, der AWS SDKs, der Amazon S3 S3-REST-API und der AWS Command Line Interface (AWS CLI) konfigurieren.

**Änderungen, die Sie vor dem Aktivieren der Standardverschlüsselung beachten sollten**  
Nachdem Sie die Standard-Verschlüsselung für einen Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:
+ Es gibt keine Änderung der Verschlüsselung der Objekte, die vor der Aktivierung der Standard-Verschlüsselung im Bucket vorhanden waren. 
+ Wenn Sie Objekte nach der Aktivierung der Standard-Verschlüsselung hochladen:
  + Wenn Ihre `PUT`-Abfrage-Header keine Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Standardverschlüsselungseinstellungen des Buckets, um die Objekte zu verschlüsseln. 
  + Wenn Ihre `PUT`-Anfrage-Header Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Verschlüsselungsinformationen der `PUT`-Anfrage, um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden.
+ Wenn Sie die DSSE-KMS Option SSE-KMS oder für Ihre Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den RPS-Kontingenten (Anfragen pro Sekunde) von. AWS KMS Weitere Informationen zu AWS KMS -Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie unter [Kontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) im *Entwicklerhandbuch zu AWS Key Management Service *. 
+ Wenn dieser Bucket als Ziel für die Serverzugriffsprotokollierung verwendet wird, muss der Ziel-Bucket verwaltete Amazon S3 S3-Schlüssel (SSE-S3) verwenden. Wenn der Ziel-Bucket die SSE-KMS Standardverschlüsselung verwendet, liefert Amazon S3 möglicherweise Protokollobjekte, die mit einem Schlüssel verschlüsselt sind, auf den Sie nicht zugreifen können. Um dieses Problem zu beheben, ändern Sie die Standardverschlüsselung des Ziel-Buckets auf SSE-S3. Weitere Informationen zu Server-Zugriffsprotokollen finden Sie unter [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md).

**Anmerkung**  
Objekte, die hochgeladen wurden, bevor die Standardverschlüsselung aktiviert wurde, werden nicht verschlüsselt. Weitere Informationen zum Verschlüsseln vorhandener Objekte finden Sie unter [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](bucket-encryption.md).

## Verwenden der S3-Konsole
<a name="bucket-encryption-how-to-set-up-console"></a>

**Konfigurieren der Standardverschlüsselung für einen Amazon-S3-Bucket**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Wählen Sie im linken Navigationsbereich **Buckets** aus.

1. Wählen Sie in der Liste **Buckets** den Namen des von Ihnen erstellten Buckets aus. 

1. Wählen Sie die Registerkarte **Eigenschaften** aus.

1. Wählen Sie unter **Default encryption (Standard-Verschlüsselung)** **Edit (Bearbeiten)** aus.

1. Wählen Sie eine der folgenden Optionen unter **Verschlüsselungstyp** aus, um die Verschlüsselung zu konfigurieren: 
   + **Server-side Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)**
   + **Server-side Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS)**
   + **Dual-layer serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln () DSSE-KMS**
**Wichtig**  
Wenn Sie die DSSE-KMS Optionen SSE-KMS oder für Ihre standardmäßige Verschlüsselungskonfiguration verwenden, gelten für Sie die RPS-Kontingente (Anfragen pro Sekunde) von. AWS KMS Weitere Informationen zu AWS KMS Kontingenten und dazu, wie Sie eine Kontingenterhöhung beantragen können, finden Sie unter [Kontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) im *AWS Key Management Service Entwicklerhandbuch*. 

   Buckets und neue Objekte werden standardmäßig mit verschlüsselt SSE-S3, sofern Sie keine andere Standardverschlüsselung für Ihre Buckets angeben. Weitere Informationen zur Standardverschlüsselung finden Sie unter [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](bucket-encryption.md).

   Weitere Informationen zur Datenverschlüsselung mit der serverseitigen Amazon-S3-Verschlüsselung finden Sie unter [Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden () SSE-S3](UsingServerSideEncryption.md).

1. Wenn Sie sich für die **Server-side Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS)** oder die **Dual-layer serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (DSSE-KMS)** entschieden haben, gehen Sie wie folgt vor: 

   1. Geben Sie unter **AWS KMS -Schlüssel** Ihren KMS-Schlüssel auf eine der folgenden Arten an:
      + Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie **Wählen Sie aus Ihrem AWS KMS keys** und wählen Sie Ihren **KMS-Schlüssel** aus der Liste der verfügbaren Schlüssel aus.

        Sowohl der Von AWS verwalteter Schlüssel (`aws/s3`) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter [Kundenschlüssel und AWS Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) im *AWS Key Management Service Entwicklerhandbuch*.
      + Wählen Sie zum Eingeben des KMS-Schlüssel-ARN ** AWS KMS key -ARN eingeben** aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein. 
      + Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu **erstellen, wählen Sie Create a KMS Key** aus.

        Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter [Creating Keys](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*.
**Wichtig**  
Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket aktiviert sind. Wenn Sie **Choose from your KMS master keys (Auswahl aus Ihren KMS-Schlüsseln)** auswählen, listet die S3-Konsole nur 100 KMS-Schlüssel pro Region auf. Wenn Sie über mehr als 100 KMS-Schlüssel in derselben Region verfügen, können Sie nur die ersten 100 KMS-Schlüssel in der S3-Konsole sehen. Um einen nicht in der Konsole aufgeführten KMS-Schlüssel zu verwenden, wählen Sie ** AWS KMS key -ARN eingeben** aus und geben Sie den KMS-Schlüssel-ARN ein.  
Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Weitere Informationen zu diesen Schlüsseln finden Sie unter [Symmetrische KMS-Verschlüsselungsschlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) im *Entwicklerhandbuch für AWS Key Management Service *.

      Weitere Informationen zur Verwendung SSE-KMS mit Amazon S3 finden Sie unter[Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüssel () SSE-KMS](UsingKMSEncryption.md). Weitere Informationen zur Verwendung finden DSSE-KMS Sie unter[Verwenden Sie serverseitige Dual-Layer-Verschlüsselung mit AWS KMS Schlüssel () DSSE-KMS](UsingDSSEncryption.md).

   1. Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung verwendet SSE-KMS, können Sie auch einen S3-Bucket-Key aktivieren. S3-Bucket-Keys senken die Kosten für die Verschlüsselung, indem sie den Anforderungsverkehr von Amazon S3 zu verringern AWS KMS. Weitere Informationen finden Sie unter [Senkung der Kosten SSE-KMS mit Amazon S3 Bucket Keys](bucket-key.md).

      Um S3-Bucket-Schlüssel zu verwenden, wählen Sie unter **Bucket Key (Bucket-Schlüssel)** die Option **Enable (Aktivieren)**.
**Anmerkung**  
S3-Bucket-Keys werden nicht unterstützt für DSSE-KMS.

1. Wählen Sie **Änderungen speichern ** aus.

## Verwendung der AWS CLI
<a name="default-bucket-encryption-cli"></a>

Diese Beispiele zeigen Ihnen, wie Sie die Standardverschlüsselung mithilfe SSE-S3 oder SSE-KMS mithilfe eines S3-Bucket-Keys konfigurieren.

Weitere Informationen zur Standardverschlüsselung finden Sie unter [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](bucket-encryption.md). Weitere Informationen zur Konfiguration der AWS CLI Standardverschlüsselung finden Sie unter [put-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-encryption.html).

**Example — Standardverschlüsselung mit SSE-S3**  
In diesem Beispiel wird die Standardverschlüsselung von Buckets mit von Amazon S3 verwalteten Schlüsseln konfiguriert.  

```
aws s3api put-bucket-encryption --bucket {{amzn-s3-demo-bucket}} --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'
```

**Example — Standardverschlüsselung mit SSE-KMS Verwendung eines S3-Bucket-Keys**  
In diesem Beispiel wird die Standard-Bucket-Verschlüsselung SSE-KMS mithilfe eines S3-Bucket-Keys konfiguriert.   

```
aws s3api put-bucket-encryption --bucket {{amzn-s3-demo-bucket}} --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "{{KMS-Key-ARN}}"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'
```

## Verwenden der REST-API
<a name="bucket-encryption-how-to-set-up-api"></a>

Verwenden Sie den `PutBucketEncryption` REST-API-Vorgang, um die Standardverschlüsselung zu aktivieren und den Typ der serverseitigen Verschlüsselung auf— SSE-S3 SSE-KMS, oder festzulegen. DSSE-KMS 

Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html) in der *API-Referenz zu Amazon Simple Storage Service*.