Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Schützen von Daten mit serverseitiger Verschlüsselung **Wichtig** Amazon Simple Storage Service wendet jetzt eine neue Standardsicherheitseinstellung für Buckets an, die automatisch die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Allzweck-Buckets deaktiviert. Im April 2026 hat Amazon S3 ein Update bereitgestellt, sodass bei allen neuen Allzweck-Buckets die SSE-C Verschlüsselung für alle neuen Schreibanforderungen deaktiviert ist. Für bestehende Buckets AWS-Konten ohne SSE-C verschlüsselte Objekte wurde Amazon S3 auch SSE-C für alle neuen Schreibanforderungen deaktiviert. Mit dieser Änderung müssen Anwendungen, die SSE-C verschlüsselt werden müssen, bewusst aktiviert werden, SSE-C indem nach der Erstellung eines neuen Buckets der [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)API-Vorgang verwendet wird. Weitere Informationen zu dieser Änderung finden Sie unter[Häufig gestellte Fragen zur SSE-C Standardeinstellung für neue Buckets](default-s3-c-encryption-setting-faq.md). **Wichtig** Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS CLI und verfügbar. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zur Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html). Server-side Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Dienst, der sie empfängt. Amazon S3 verschlüsselt Ihre Daten auf Objektebene, wenn es sie auf Festplatten in AWS Rechenzentren schreibt, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Wenn Sie beispielsweise Ihre Objekte unter Verwendung einer vorsignierten URL teilen, verhält sich die URL für verschlüsselte und unverschlüsselte Objekte gleich. Wenn Sie die Objekte in Ihrem Bucket auflisten, gibt die Listen-API-Operation außerdem eine Liste aller Objekte zurück, unabhängig davon, ob sie verschlüsselt sind. Für alle Amazon S3 S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert, und alle neuen Objekte, die in einen S3-Bucket hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Server-side Die Verschlüsselung mit verwalteten Amazon S3-Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Bucket in Amazon S3. Um einen anderen Verschlüsselungstyp zu verwenden, können Sie entweder die Art der serverseitigen Verschlüsselung angeben, die in Ihren S3-`PUT`-Anfragen verwendet werden soll, oder Sie können die Standardverschlüsselungskonfiguration im Ziel-Bucket festlegen. Wenn Sie in Ihren `PUT` Anfragen einen anderen Verschlüsselungstyp angeben möchten, können Sie serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS), zweischichtige serverseitige Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln () verwenden. SSE-C Wenn Sie im Ziel-Bucket eine andere Standardverschlüsselungskonfiguration festlegen möchten, können Sie oder verwenden. SSE-KMS DSSE-KMS Weitere Informationen zum Ändern der Standardverschlüsselungskonfiguration für Allzweck-Buckets finden Sie unter[Konfigurieren der Standardverschlüsselung](default-bucket-encryption.md). Wenn Sie die Standardverschlüsselungskonfiguration Ihres Buckets auf ändern SSE-KMS, wird der Verschlüsselungstyp der vorhandenen Amazon S3 S3-Objekte im Bucket nicht geändert. Um den Verschlüsselungstyp Ihrer bereits vorhandenen Objekte zu ändern, nachdem Sie die Standardverschlüsselungskonfiguration auf aktualisiert haben SSE-KMS, können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3-Batchvorgänge eine Liste von Objekten bereit, für die Vorgänge ausgeführt werden sollen, und Batch-Vorgänge ruft die jeweilige API auf, um die angegebene Operation auszuführen. Sie können die [Kopieren von Objekten](batch-ops-copy-object.md) Aktion verwenden, um vorhandene Objekte zu kopieren, wodurch sie wie SSE-KMS verschlüsselte Objekte in denselben Bucket zurückgeschrieben werden. Ein einzelner Batch-Operations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter [Ausführen von Objektoperationen in großem Umfang mit Batch Operations](batch-ops.md) und im *AWS Speicher-Blogbeitrag* [So verschlüsseln Sie bestehende Objekte in Amazon S3 rückwirkend mithilfe von S3 Inventory, Amazon Athena und S3 Batch](https://aws.amazon.com/blogs/security/how-to-retroactively-encrypt-existing-objects-in-amazon-s3-using-s3-inventory-amazon-athena-and-s3-batch-operations/) Operations. **Anmerkung** Sie können nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung auf dasselbe Objekt anwenden. Wenn Sie Ihre vorhandenen Objekte verschlüsseln müssen, verwenden Sie S3 Batch Operations und S3 Inventory. Weitere Informationen finden Sie unter [Verschlüsseln von Objekten mit Amazon S3 Batch Operations)](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) und [Ausführen von Objektoperationen in großem Umfang mit Batch Operations](batch-ops.md). Beim Speichern von Daten in Amazon S3 stehen Ihnen vier sich gegenseitig ausschließende Optionen für die serverseitige Verschlüsselung zur Verfügung, je nachdem, wie Sie die Verschlüsselungsschlüssel verwalten und wie viele Verschlüsselungsebenen Sie anwenden möchten. **Server-side Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)** Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert. Die Standardoption für serverseitige Verschlüsselung ist mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3). Jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. SSE-S3 Verschlüsselt als zusätzliche Schutzmaßnahme den Schlüssel selbst mit einem Stammschlüssel, den er regelmäßig wechselt. SSE-S3 verwendet eine der stärksten verfügbaren Blockchiffren, den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten zu verschlüsseln. Weitere Informationen finden Sie unter [Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden () SSE-S3](UsingServerSideEncryption.md). **Server-side Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüssel (SSE-KMS)** Server-side Die Verschlüsselung mit AWS KMS keys (SSE-KMS) wird durch eine Integration des AWS KMS Dienstes mit Amazon S3 bereitgestellt. Mit AWS KMS haben Sie mehr Kontrolle über Ihre Schlüssel. Sie können beispielsweise separate Schlüssel anzeigen, Kontrollrichtlinien bearbeiten und den Schlüsseln in AWS CloudTrail folgen. Darüber hinaus können Sie vom Kunden verwaltete Schlüssel erstellen und verwalten oder von Von AWS verwaltete Schlüssel verwaltete Schlüssel verwenden, die für Sie, Ihren Service und Ihre Region einzigartig sind. Weitere Informationen finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüssel () SSE-KMS](UsingKMSEncryption.md). **Dual-layer serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüssel () DSSE-KMS** Dual-layer Die serverseitige Verschlüsselung mit AWS KMS keys (DSSE-KMS) ähnelt SSE-KMS, DSSE-KMS wendet jedoch zwei unabhängige AES-256 Verschlüsselungsebenen anstelle einer Ebene an: zuerst mit einem AWS KMS Datenverschlüsselungsschlüssel, dann mit einem separaten S3-managed Amazon-Verschlüsselungsschlüssel. Da beide Verschlüsselungsebenen auf ein Objekt auf der Serverseite angewendet werden, können Sie eine Vielzahl von Tools verwenden, um Daten in S3 zu analysieren AWS-Services und gleichzeitig eine Verschlüsselungsmethode zu verwenden, die die Compliance-Anforderungen für die mehrschichtige Verschlüsselung erfüllt. Weitere Informationen finden Sie unter [Verwenden Sie serverseitige Dual-Layer-Verschlüsselung mit AWS KMS Schlüssel () DSSE-KMS](UsingDSSEncryption.md). **Server-side Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln () SSE-C** Bei serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) verwalten Sie die Verschlüsselungsschlüssel, und Amazon S3 verwaltet die Verschlüsselung beim Schreiben auf Festplatten und die Entschlüsselung beim Zugriff auf Ihre Objekte. Weitere Informationen finden Sie unter [Verwenden Sie serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln () SSE-C](ServerSideEncryptionCustomerKeys.md). **Anmerkung** Wenn Sie Zugangspunkte für Amazon FSx-Dateisysteme mit S3-Zugangspunkten verwenden, haben Sie eine Option für die serverseitige Verschlüsselung. Für alle Amazon FSx-Dateisysteme ist die Verschlüsselung standardmäßig konfiguriert und sie werden im Ruhezustand mit Schlüsseln verschlüsselt, die mit AWS Key Management Service verwaltet werden. Die Daten werden automatisch im Dateisystem ver- und entschlüsselt, wenn Daten in das Dateisystem geschrieben oder aus dem Dateisystem gelesen werden. Diese Prozesse werden von Amazon FSx transparent gehandhabt.