Veröffentlicht am: Aug 8, 2022
Mit dem neuen Amazon-S3-Bedingungsschlüssel kannst du Richtlinien erstellen, mit denen du die Verwendung der serverseitigen Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) kontrollieren kannst. Mit Amazon-S3-Bedingungsschlüsseln kannst du Bedingungen für die Erteilung von Berechtigungen im optionalen Element „Condition“ eines Buckets oder einer IAM-Richtlinie angeben. Eine solche Bedingung ist die serverseitige Verschlüsselung (SSE) mit deiner bevorzugten Verschlüsselungsmethode.
Wenn du SSE-C verwendest, lieferst und verwaltest du die Verschlüsselungsschlüssel, während S3 die Ver- und Entschlüsselung deiner Objektdaten durchführt. Die meisten Kunden nutzen den in S3 integrierten Support für Verschlüsselungsschlüssel, die entweder von S3 verwaltet werden (SSE-S3) oder vom AWS Key Management Service (KMS) stammen (SSE-KMS). Einige Kunden entscheiden sich jedoch für SSE-C, um eine zusätzliche Kontrollebene für die in S3 gespeicherten sensiblen Daten zu erhalten oder um Compliance-Vorschriften zu erfüllen. In diesen Fällen kannst du festlegen, dass alle Uploads in deine Buckets SSE-C verwenden sollen. In anderen Fällen kannst du das Hochladen von Objekten mit SSE-C verhindern, damit du und deine Kunden keine Verschlüsselungsschlüssel verwalten müssen. Mit dem neuen Bedingungsschlüssel können die Kunden wählen, ob sie die Nutzung von SSE-C voraussetzen oder einschränken wollen.
Der S3-Bedingungsschlüssel für SSE-C-verschlüsselte Objekte ist in allen kommerziellen AWS-Regionen verfügbar, einschließlich der Region AWS GovCloud (USA), der AWS-Region China (Peking), betrieben von Sinnet und der AWS-Region China (Ningxia), betrieben von NWCD. Um mit der Anwendung des neuen Bedingungsschlüssels zu beginnen, besuche die Dokumentation zum Schutz von Daten durch serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln. Weitere Informationen zu S3-Bedingungsschlüsseln findest du im S3-Benutzerhandbuch.