

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenschutz und Verschlüsselung
<a name="s3-express-data-protection"></a>

 Weitere Informationen zur Konfiguration der Verschlüsselung für Verzeichnis-Buckets finden Sie in den folgenden Themen.

**Topics**
+ [Server-side Verschlüsselung](#s3-express-ecnryption)
+ [Einstellen und Überwachen der Standardverschlüsselung für Verzeichnis-Buckets](s3-express-bucket-encryption.md)
+ [Verwenden Sie serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) in Verzeichnis-Buckets](s3-express-UsingKMSEncryption.md)
+ [Verschlüsselung während der Übertragung](#s3-express-ecnryption-transit)
+ [Löschen von Daten](#s3-express-data-deletion)

## Server-side Verschlüsselung
<a name="s3-express-ecnryption"></a>

Für alle Verzeichnis-Buckets ist standardmäßig Verschlüsselung konfiguriert, und alle neuen Objekte, die in Verzeichnis-Buckets hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Server-side Die Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Verzeichnis-Bucket. Wenn Sie einen anderen Verschlüsselungstyp angeben möchten, können Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) keys (SSE-KMS) verwenden, indem Sie die Standard-Verschlüsselungskonfiguration des Buckets festlegen. Weitere Hinweise zu SSE-KMS In-Directory-Buckets finden Sie unter. [Verwenden Sie serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) in Verzeichnis-Buckets](s3-express-UsingKMSEncryption.md)

Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren `CreateSession`-Anforderungen oder `PUT`-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. Weitere Informationen zum Verhalten beim Überschreiben der Verschlüsselung in Verzeichnis-Buckets finden Sie unter [Serverseitige Verschlüsselung mit AWS KMS für Uploads neuer Objekte angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html).

SSE-KMS Die Methode mit Verzeichnis-Buckets unterscheidet sich SSE-KMS in den folgenden Aspekten von Buckets für allgemeine Zwecke.
+ Ihre SSE-KMS Konfiguration kann für die gesamte Lebensdauer des Buckets nur einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pro Verzeichnis-Bucket unterstützen. Der [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) wird nicht unterstützt. Außerdem können Sie, nachdem Sie einen vom Kunden verwalteten Schlüssel für angegeben haben SSE-KMS, den vom Kunden verwalteten Schlüssel für die SSE-KMS Konfiguration des Buckets nicht überschreiben.

  Sie können den vom Kunden verwalteten Schlüssel, den Sie für die SSE-KMS Konfiguration des Buckets angegeben haben, wie folgt identifizieren:
  + Sie stellen eine `HeadObject` API-Operationsanforderung, um den Wert von `x-amz-server-side-encryption-aws-kms-key-id` in Ihrer Antwort zu ermitteln.

  Um einen neuen, vom Kunden verwalteten Schlüssel für Ihre Daten zu verwenden, empfehlen wir, Ihre vorhandenen Objekte mit einem neuen vom Kunden verwalteten Schlüssel in einen neuen Verzeichnis-Bucket zu kopieren.
+ Bei [API-Vorgängen mit Ausnahme von und an zonalen Endpunkten (Objektebene)](s3-express-differences.md#s3-express-differences-api-operations) authentifizieren [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)autorisieren Sie Anfragen mit geringer Latenz. [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren `CreateSession`-Anforderungen oder `PUT`-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. [Um neue Objekte in einem Verzeichnis-Bucket mit zu verschlüsseln SSE-KMS, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets einen KMS-Schlüssel (insbesondere einen vom Kunden verwalteten Schlüssel) angeben.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit S3-Bucket-Schlüsseln ver SSE-KMS - und entschlüsselt. Weitere Informationen zum Verhalten beim Überschreiben der Verschlüsselung in Verzeichnis-Buckets finden Sie unter [Serverseitige Verschlüsselung mit AWS KMS für Uploads neuer Objekte angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html).

  Bei API-Aufrufen für zonale Endpunkte (außer [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) können Sie die Werte der Verschlüsselungseinstellungen (`x-amz-server-side-encryption`, `x-amz-server-side-encryption-aws-kms-key-id``x-amz-server-side-encryption-context`, und`x-amz-server-side-encryption-bucket-key-enabled`) aus der Anfrage nicht überschreiben. `CreateSession` Sie müssen diese Werte für die Verschlüsselungseinstellungen nicht explizit in API-Aufrufen für zonale Endpunkte angeben. Amazon S3 verwendet die Werte der Verschlüsselungseinstellungen aus der `CreateSession`-Anforderung, um neue Objekte im Verzeichnis-Bucket zu schützen. 
**Anmerkung**  
Wenn Sie das AWS CLI oder die AWS SDKs für verwenden, wird das Sitzungstoken automatisch aktualisiert`CreateSession`, um Dienstunterbrechungen zu vermeiden, wenn eine Sitzung abläuft. Die AWS CLI oder die AWS SDKs verwenden die Standardverschlüsselungskonfiguration des Buckets für die Anfrage. `CreateSession` Das Überschreiben der Werte der Verschlüsselungseinstellungen in der `CreateSession`-Anforderung wird nicht unterstützt. Außerdem wird es in API-Aufrufen für zonale Endpunkte (außer [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)und [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) nicht unterstützt, die Werte der Verschlüsselungseinstellungen aus der `CreateSession` Anfrage zu überschreiben. 
+ Um neue Objektkopien in einem Verzeichnis-Bucket mit zu verschlüsseln SSE-KMS, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets einen KMS-Schlüssel (insbesondere einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)) angeben. [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) Wenn Sie dann serverseitige Verschlüsselungseinstellungen für neue Objektkopien mit angeben, müssen Sie sicherstellen SSE-KMS, dass es sich bei dem Verschlüsselungsschlüssel um denselben vom Kunden verwalteten Schlüssel handelt, den Sie für die Standardverschlüsselungskonfiguration des Verzeichnis-Buckets angegeben haben. Um neue Objektteilkopien in einem Verzeichnis-Bucket mit zu verschlüsseln SSE-KMS, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets einen KMS-Schlüssel (insbesondere einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)) angeben. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Sie können keine serverseitigen Verschlüsselungseinstellungen für neue Objektteilkopien SSE-KMS in den [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)Anforderungsheadern angeben. Außerdem müssen die Verschlüsselungseinstellungen, die Sie in der [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)Anfrage angeben, mit der Standardverschlüsselungskonfiguration des Ziel-Buckets übereinstimmen. 
+ S3 Bucket Keys sind immer für `GET`- und `PUT`-Vorgänge in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden. [S3-Bucket-Keys werden nicht unterstützt, wenn Sie SSE-KMS verschlüsselte Objekte aus Allzweck-Buckets in Verzeichnis-Buckets, von Verzeichnis-Buckets in Allzweck-Buckets oder zwischen Verzeichnis-Buckets durch,, [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [den Copy Vorgang in Batch Operations oder die](directory-buckets-objects-Batch-Ops.md) Jobs kopieren. import](create-import-job.md) In diesem Fall ruft Amazon S3 AWS KMS jedes Mal, wenn eine Kopieranforderung für ein KMS-encrypted Objekt gestellt wird, auf.
+ Wenn Sie einen [vom Kunden verwalteten AWS KMS -Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung in Ihrem Verzeichnis-Bucket angeben, verwenden Sie nur die Schlüssel-ID oder den Schlüssel-ARN. Das Schlüsselaliasformat des KMS-Schlüssels wird nicht unterstützt.

Directory-Buckets unterstützen keine zweischichtige serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (DSSE-KMS) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (). SSE-C

## Verschlüsselung während der Übertragung
<a name="s3-express-ecnryption-transit"></a>

Verzeichnis-Buckets verwenden regionale und zonale API-Endpunkte. Je nachdem, welche Amazon-S3-API-Operation Sie verwenden, ist entweder ein regionaler oder ein zonaler Endpunkt erforderlich. Sie können über einen Gateway Virtual Private Cloud (VPC)-Endpunkt auf zonale und regionale Endpunkte zugreifen. Für die Nutzung von Gateway-Endpunkten fallen keine zusätzlichen Gebühren an. Weitere Informationen zu regionalen und zonalen API-Endpunkten finden Sie unter [Netzwerke für Verzeichnis-Buckets](s3-express-networking.md). 

## Löschen von Daten
<a name="s3-express-data-deletion"></a>

Sie können ein oder mehrere Objekte direkt aus Ihren Verzeichnis-Buckets löschen, indem Sie die Amazon S3 S3-Konsole, AWS SDKs, AWS Command Line Interface (AWS CLI) oder die Amazon S3 S3-REST-API verwenden. Für alle Objekte in Ihrem S3-Bucket entstehen Speicherkosten, deshalb sollten Sie Objekte löschen, die Sie nicht mehr benötigen.

Beim Löschen eines Objekts, das in einem Verzeichnis-Bucket gespeichert ist, werden auch alle übergeordneten Verzeichnisse rekursiv gelöscht, sofern diese übergeordneten Verzeichnisse keine anderen Objekte als das Objekt enthalten, das gelöscht wird.

**Anmerkung**  
Multi-factor Authentifizierung (MFA), Löschen und S3-Versionierung werden für S3 Express One Zone nicht unterstützt. 