Amazon S3 speichert Daten als Objekte in Ressourcen, die als Buckets bezeichnet werden. Sie können so viele Objekte wie gewünscht in einem Bucket speichern und dort Objekte schreiben, lesen und löschen. Die Objekte können eine Größe von bis zu 5 Terabyte haben.

Sie können den Zugriff auf den Bucket kontrollieren (wer darf Objekte im Bucket erstellen, löschen und abrufen), Zugriffsprotokolle für den Bucket und seine Objekte anzeigen und die AWS-Region wählen, in der ein Bucket gespeichert wird, um die Latenz zu optimieren, die Kosten zu minimieren oder Vorschriften einzuhalten.

Heute noch bei AWS einsteigen

Amazon S3 gratis testen

Das kostenlose Kontingent für AWS umfasst 5 GB Speicher, 20 000 GET-Anforderungen und 2000 PUT-Anforderungen für Amazon S3.

Details zum kostenlosen Kontingent für AWS anzeigen »

S3_ProductPage_Banner

Amazon S3 wurde als umfassende Speicherplattform entwickelt. Bedenken Sie den Besitzwert, der in jedem GB enthalten ist.

Einfachheit. Amazon S3 wurde für Einfachheit entwickelt und bietet eine Managementkonsole auf Internetbasis, Mobil-Apps sowie vollständige REST-APIs und SDKs zur einfachen Integration in Technologien von Drittanbietern.

Zuverlässigkeit. Amazon S3 ist in Regionen rund um die Welt erhältlich und bietet geografische Redundanz in jeder Region und auch die Option der Replikation über Regionen hinweg. Außerdem können mehrere Versionen eines Objekts für die zeitpunktbezogene Wiederherstellung beibehalten werden.

Skalierbarkeit. Kunden in aller Welt vertrauen täglich für den Schutz von Trillionen von Objekten auf Amazon S3. Kosten steigen und fallen je nach Bedarf, und globale Bereitstellungen können innerhalb weniger Minuten durchgeführt werden. Branchen wie Finanzdienstleistungen, Gesundheitswesen, Medien und Unterhaltung entwickeln damit Big-Data-, Analyse-, Codierungs- und Archivierungsanwendungen.

Sicherheit. Amazon S3 unterstützt die Datenübertragung über SSL und die automatische Verschlüsselung Ihrer Daten nach der Übertragung. Weiterhin können Sie Bucket-Richtlinien konfigurieren, um Objektberechtigungen zu verwalten und den Zugriff auf Ihre Daten mit AWS Identity and Access Management (IAM) zu kontrollieren.

Direkte Abfragen. Amazon S3 Select verarbeitet Daten mit einem Objekt im Speicher. Amazon Athena und Amazon Redshift ermöglichen das direkte Ausführen von erweiterten Analysen auf Daten, die in S3 gespeichert sind.

Es gibt eine umfassende Integration für andere AWS-Services mit Sicherheits- (IAM und KMS), Warnungs- (CloudWatch, CloudTrail und Ereignisbenachrichtigungen), Computing- (Lambda) und Datenbankfunktionen. Die Integration in Amazon S3 kann nahtlos und direkt erfolgen.

Optionen für die Datenmigration in die Cloud. Die AWS-Speicherung umfasst mehrere spezialisierte Methoden, mit denen Sie Daten in die und aus der Cloud übertragen können.

Flexible Speicherverwaltung. Mit den S3 Storage Management-Funktionen können Sie Ihren Speicher, die Datensicherheit und die Verwaltungseffizienz mit Fokus auf Ihre Daten optimieren. 


Mit den Amazon S3 Storage Management-Funktionen können Kunden Ihren Speicher, die Compliance und die Verwaltungseffizienz mit Fokus auf die Daten optimieren. Diese Funktionen verbessern zusammen die Workload-Leistung, vereinfachen die Compliance, straffen die Geschäftsprozess-Workflows und ermöglichen ein intelligenterer Speicher-Tiering zur Optimierung der Speicherkosten und der Leistung.

Weitere Informationen

Amazon S3 ist einfach über die S3 Console, SDKs oder ISV-Integration zugänglich. S3 wird von den AWS SDKs for Java, PHP, .NET, Python, Node.js, Ruby und vom AWS Mobile SDK unterstützt. Die SDK-Bibliotheken umfassen die zugrundeliegende REST API und vereinfachen damit Ihre Programmierungsaufgaben.

Weitere Informationen

Amazon S3 bietet eine beständige Infrastruktur zum Speichern wichtiger Daten und ist für eine Beständigkeit von 99,999999999 % der Objekte konzipiert. Ihre Daten werden redundant an mehreren Standorten und auf mehreren Geräten an jedem Standort gespeichert.

Weitere Informationen

Amazon bietet mehrere Optionen für die Cloud-Datenmigration und ermöglicht es Ihnen, große Datenmengen aus Amazon S3 ohne große Umstände und Kosten zu verschieben. Kunden haben die Wahl zwischen netzwerkoptimierten, auf physischen Laufwerken basierenden oder Drittanbieteranschlussmethoden für die Datenübertragung in und aus S3.

Weitere Informationen

Amazon S3 unterstützt verschiedene Mechanismen, mit denen gesteuert und überwacht wird, wer wie, wann und wo auf Ihre Daten zugreifen darf. Mithilfe von VPC-Endpunkten können Sie ohne ein Gateway oder NAT-Instances eine sichere Verbindung herstellen.

Weitere Informationen

Zusätzlich zu S3 Standard gibt es die kostengünstigere Option Standard – Infrequent Access für Daten mit selteneren Zugriffen sowie Amazon Glacier für die Archivierung von Cold-Data zum günstigsten Preis.

Weitere Informationen

Mit Amazon S3 Select (jetzt als Vorversion erhältlich) können Ihre Anwendungen Daten scannen und filtern, ohne Speicher abzurufen. Die Leistung wird beschleunigt und die Kosten für erweiterte Analysen werden gesenkt. 

Weitere Informationen


Amazon bietet verschiedene Tools für die schnelle Analyse und Verarbeitung von großen Datenmengen in der Cloud, darunter Möglichkeiten zur Optimierung und Integration bestehender Arbeitsabläufe in Amazon S3. 

Amazon S3 Select wurde entwickelt, damit Sie Daten in einem Objekt in Amazon S3-Buckets schneller und kostengünstiger analysieren und verarbeiten können. Dies funktioniert, indem Sie eine Datenuntergruppe von einem Objekt in Amazon S3 mit einfachen SQL-Ausdrücken abrufen können. Ihre Anwendungen müssen keine Verarbeitungsressourcen mehr auf das Scannen und Filtern von Daten aus einem Objekt verwenden. Die Abfrageleistung kann um bis zu 400 % erhöht und die Kosten für die Anfragen können um bis zu 80 % gesenkt werden. Um S3 Select zu nutzen, legen Sie einfach fest, dass Ihre Anwendung SELECT und nicht GET verwendet. In der Vorversion ist S3 Select nur über die API zugänglich und nur in diesen AWS-Regionen verfügbar: USA Ost (Ohio), USA Ost (N. Virginia), USA West (Oregon), EU (Irland) und Asien-Pazifik (Singapur). S3 Console und die Befehlszeilenoberfläche sind in der Vorversion nicht verfügbar.

Amazon Athena ist ein interaktiver Abfrageservice, der die Analyse von Daten in Amazon S3 mit Standard-SQL erleichtert. Athena kommt ohne Server aus, deshalb gibt es auch keine Infrastruktur zu verwalten und Sie zahlen nur für die Abfragen, die Sie auch ausführen.

Athena ist benutzerfreundlich. Verweisen Sie einfach auf Ihre Daten in Amazon S3, definieren Sie das Schema und starten Sie die Abfrage mit Standard-SQL. Die meisten Ergebnisse erhalten Sie in Sekundenschnell. Mit Athena sind keine komplexen ETL-Aufträge zur Vorbereitung der Daten für die Analyse erforderlich. Dadurch kann jeder mit SQL-Kenntnissen schnell große Datensätze analysieren.

Amazon Redshift umfasst außerdem Redshift Spectrum, sodass Sie SQL-Abfragen direkt für mehrere Exabyte unstrukturierter Daten in Amazon S3 ausführen können. Es ist kein Laden und keine Umwandlung erforderlich, und Sie können offene Datenformate einschließlich Avro, CSV, Grok, ORC, Parquet, RCFile, RegexSerDe, SequenceFile, TextFile und TSV verwenden. Redshift Spectrum skaliert automatisch die Abfragerechenkapazität basierend auf den abgerufenen Daten, sodass Abfragen für Amazon S3 (unabhängig von der Größe des Datensatzes) schnell ausgeführt werden.

Mit Amazon S3 können Sie Ihre Daten einfach verwalten, indem Sie umsetzbare Einsicht in Ihre Datennutzungsmuster und die Tools erhalten, mit denen Sie Ihren Speicher entsprechend der Verwaltungsrichtlinien verwalten können. Alle diese Verwaltungsfunktionen können mühelos über die Amazon S3-APIs oder die AWS Management Console verwaltet werden. Nachfolgend werden die verschiedenen Datenverwaltungsfunktionen, die Amazon S3 bietet, detailliert beschrieben.

Mit Amazon S3 Object Tagging können Sie den Zugriff auf Amazon S3-Objekte verwalten und steuern. S3-Object Tags sind Schlüsselwertpaare, die auf S3-Objekte angewendet und jederzeit während der Lebensdauer des Objekts erstellt, aktualisiert oder gelöscht werden können. Mit diesen Tags können Sie Identity and Access Management (IAM)-Richtlinien erstellen, S3 Lifecycle-Richtlinien einrichten und Speichermetriken anpassen. Mit diesen Tags auf Objektebene können dann die Übergänge zwischen Speicherklassen verwaltet und Objekte im Hintergrund als abgelaufen markiert werden.

Mit S3 Inventory, einer planmäßigen Alternative zur synchronousList-API von Amazon S3, können Sie geschäftliche Workflows und Big Data-Jobs vereinfachen und beschleunigen. S3 Inventory stellt täglich oder wöchentlich für ein S3-Bucket oder ein Präfix eine Übersicht über Ihre Objekte und die zugehörigen Metadaten in Form einer CSV (Comma Separated Values) oder einer ORC (Optimized Row Columnar) zur Verfügung. S3 Inventory erleichtert Ihnen außerdem die Prüfung und Berichterstellung zum Status der Objektverschlüsselung entsprechend den Unternehmens-, Compliance- und behördlichen Anforderungen.

Mit der Speicherklassen-Analyse können Sie die Häufigkeit der Zugriffe auf die Objekte in Ihrem S3-Bucket überwachen, um seltener abgerufenen Speicher in eine kostengünstigere Speicherklasse zu verschieben. Diese neue S3 Analytics-Funktion beobachtet die Verwendungsmuster zur Erkennung seltener verwendeter Speicher, um Ihnen dabei zu helfen, die richtigen Objekte in S3 Standard-IA zu verschieben. Sie können eine Richtlinie zur Speicherklassenanalyse konfigurieren, sodass entweder ein vollständiger Bucket, ein Präfix oder ein Objekt-Tag überwacht wird. Wenn S3 Analytics erkennt, dass Daten für den Übergang in Standard-IA vorhanden sind, können Sie auf der Grundlage dieser Ergebnisse einfach eine neue Lebenszyklus-Richtlinie erstellen. Zusätzlich umfasst diese Funktion eine detaillierte tägliche Analyse Ihrer Speichernutzung auf der ausgewählten Bucket-, Präfix- oder Tag-Stufe, die Sie in einen S3-Bucket exportieren können. 

Mit der Amazon S3 CloudWatch-Integration können Sie Ihre Endnutzer-Erfahrung durch integrierte Überwachung und Alarmfunktion auf einem Host mit verschiedenen Metriken verbessern. Sie können jede Minute CloudWatch-Metriken erhalten, CloudWatch-Alarme festlegen und auf CloudWatch-Dashboards zugreifen, um die Vorgänge und Leistung Ihres Amazon S3-Speichers in Echtzeit anzuzeigen. Bei Web-Anwendungen und mobilen Anwendungen, die von der Cloud-Speicherung abhängen, können Sie Betriebsprobleme schnell erkennen und darauf reagieren. Diese minütlichen Metriken sind auf der S3-Bucket-Ebene verfügbar. Zusätzlich haben Sie die Flexibilität, einen Filter für die Metriken zu definieren, die unter Verwendung eines gemeinsamen Präfix oder Objekt-Tag erfasst wurden, sodass Sie Metrikfilter an bestimmte Geschäftsanwendungen, Workflows oder interne Organisationen anpassen können.

Mit AWS CloudTrail können Sie Aktivitäten auf Bucket-Ebene (Verwaltungsereignisse) sowie auf API-Aktivitäten auf Objektebene (Datenereignisse) auf S3-Objekten erfassen. Datenereignisse umfassen Lesevorgänge wie GET, HEAD und Get Object ACL sowie Schreibvorgänge wie PUT und POST. Das erfasste Detail unterstützt viele Arten von Anwendungsfällen im Bereich Sicherheit, Prüfung, Steuerung und Compliance. Weitere Informationen zu S3-Datenereignissen finden Sie auf der AWS CloudTrail-Website.

Amazon S3 kann Kosten- und Leistungsmerkmale automatisch analog zur Entwicklung Ihrer Daten zuweisen und anpassen. Einige allgemeine Lebenszyklusmanagement-Aufgaben können sogar automatisiert werden. Zu solchen Aufgaben gehören die Kapazitätsbereitstellung, die automatische Migration auf günstigere Tarife, behördliche Compliance-Vorschriften und letztendlich geplante Löschungen.

Mit zunehmendem Alter Ihrer Daten übernimmt Amazon S3 die automatische und transparente Migration Ihrer Daten auf neue Hardware, sollten Datenträger ausfallen oder das Ende ihrer Lebensdauer erreichen. Dadurch sind teure, zeitaufwendige und risikoreiche Hardwaremigrationen nicht mehr erforderlich. Sie können festlegen dass Lifecycle-Richtlinien auf Amazon S3 angewendet werden, sodass Ihre Daten automatisch in kostengünstigeren Speicher verschoben werden, wenn sie älter werden. Sie können Regeln definieren, ab welchem Datenalter Amazon S3-Objekte automatisch in Standard – Infrequent Access (Standard-IA) oder in Amazon Glacier migriert werden.  Sie können Lebenszyklus-Richtlinien nach Bucket, Präfix oder Objekt-Tags festlegen, sodass Sie die Feineinstellung vornehmen können, die für Ihren Fall am besten geeignet ist.

Sobald Ihre Daten das Ende ihrer Nutzungsdauer erreichen, bietet Amazon S3 programmgesteuerte Optionen für regelmäßige Löschvorgänge großer Datenbestände. Für regelmäßige Löschvorgänge können Regeln definiert werden, um Objektgruppen nach Ablauf eines vordefinierten Zeitraums zu löschen. Diese Regeln können auf Objekte angewendet werden, die in Standard oder Standard-IA gespeichert sind, sowie auf Objekte, die bereits in Amazon Glacier archiviert wurden.

Sie können auch Lebenszyklusregeln für Versionen Ihrer Amazon S3-Objekte festlegen, um Speicherkosten zu senken. So ist es möglich, Regeln zu erstellen, um automatisch – und akkurat – ältere Versionen Ihrer Objekte zu löschen, wenn diese nicht mehr benötigt werden. Das spart Ihnen Geld und erhöht die Performance. Alternativ dazu können Sie auch Regeln zur weiteren Senkung Ihrer Speicherkosten erstellen, nach denen ältere Versionen entweder automatisch in Standard-IA oder in Amazon Glacier migriert werden.

Die regionsübergreifende Replikation (Cross-region replication, CRR) erleichtert das Replizieren neuer Objekte in eine beliebige andere AWS-Region zur Reduzierung der Latenz, Compliance, Disaster Recovery und für weitere Anwendungsfälle. Bei der regionsübergreifenden Replikation wird jedes in den Quell-Bucket hochgeladene Objekt in einen Ziel-Bucket in einer anderen, von Ihnen ausgewählten AWS-Region repliziert. Die dem Objekt zugeordneten Metadaten, ACLs und die mit den Objekt verknüpften Objekt-Tags werden ebenfalls repliziert. Wenn Sie CRR für Ihren Quell-Bucket konfigurieren, löst jegliche Änderung an den Daten, Metadaten, ACLs oder Objekt-Tags des Objekts eine neue Replikation zum Ziel-Bucket aus.

Die regionsübergreifende Replikation ist eine Konfiguration auf Bucket-Ebene, die Sie im Bucket durch Angeben eines Ziel-Buckets in einer anderen Region aktivieren. Mit der regionsübergreifenden Replikation können Sie gemäß Ihren Anforderungen beliebige AWS-Regionen als Zielregion oder eine beliebige S3-Speicherklasse als replizierten Speicher auswählen. Sie können die regionsübergreifende Replikation kontenübergreifend mit unterschiedlichem Besitzstapel für Quelle und Ziel einrichten. CRR ist eine Konfiguration auf Bucket-Ebene und Sie aktivieren CRR für Ihren Bucket, indem Sie einen Ziel-Bucket in einer anderen Region angeben. Dafür verwenden Sie entweder die AWS Management Console, REST API, AWS CLI oder die AWS SDKs. Versioning muss für Quell- und Ziel-Bucket aktiviert sein, um CRR aktivieren zu können. Weitere Informationen.

Amazon S3 bietet verschieden Funktionen zum Kontrollieren Ihrer Kosten. Sie können mithilfe der AWS Management Console oder Amazon S3-APIs Ihren Amazon S3-Buckets Tags zuweisen, wodurch Sie Ihre Kosten auf mehrere Unternehmensdimensionen umlegen können, einschließlich Kostenstellen, Anwendungsnamen oder Zuständige. Sie können anschließend mithilfe von Amazon Web Services-Kostenzuordnungsberichten Aufschlüsselungen dieser Kosten anzeigen, in denen entsprechend Ihrer Bucket-Tags Ihre Nutzung und Kosten ausgewiesen werden. Weitere Informationen zu Kostenzuordnung und Tags finden Sie in About AWS Account Billing. Weitere Informationen zum Versehen Ihrer S3-Buckets mit Tags finden Sie im Thema Bucket Tagging im Amazon-S3-Entwicklerhandbuch.

Über Amazon CloudWatch können Sie Fakturierungsbenachrichtigungen erhalten, mit deren Hilfe Sie die Amazon S3-Kosten auf Ihrer Rechnung nachhalten können. Sie können die Benachrichtigung zu einrichten, dass Sie automatisch eine E-Mail erhalten, wenn geschätzte Gebühren einen von Ihnen festgelegten Schwellenwert erreichen. Weitere Informationen zu Fakturierungsbenachrichtigungen finden Sie auf der Seite zu Fakturierungsbenachrichtigungen oder im Thema Monitor Your Estimated Charges im Amazon CloudWatch Developer Guide.

Amazon S3-Ereignisbenachrichtigungen können als Reaktion auf Aktionen mit Objekten, die in Amazon S3 hochgeladen oder gespeichert wurden, versendet werden. Die Benachrichtigungen können über Amazon SNS oder Amazon SQS versendet oder direkt an AWS Lambda geliefert werden, um AWS Lambda-Funktionen auszulösen.

Amazon S3-Ereignisbenachrichtigungen ermöglichen Ihnen das Auslösen von Workflows, das Versenden von Warnungen und andere Aktionen als Reaktion auf Änderungen Ihrer Objekte, die in Amazon S3 gespeichert sind. Mit Amazon S3-Ereignisbenachrichtigungen können Sie Auslöser für die Ausführung von Aktionen einrichten, zum Beispiel für die Transkodierung von Mediendateien beim Hochladen, die Verarbeitung von Datendateien, wenn diese verfügbar werden, und die Synchronisierung von Amazon S3-Objekten mit anderen Datenspeichern. Sie können außerdem Ereignisbenachrichtigungen anhand von Objektnamenpräfixen und -suffixen einrichten. Zum Beispiel können Sie wahlweise Benachrichtigungen über Objektnamen erhalten, die mit "images/" beginnen. Sie kann auch verwendet werden, um einen sekundären Index der Amazon S3-Objekte zu synchronisieren.

Amazon S3-Ereignisbenachrichtigungen werden auf Bucket-Ebene eingerichtet und Sie können sie über die Amazon S3-Konsole mit der REST API oder durch ein AWS SDK konfigurieren.

Weitere Informationen finden Sie unter dem Thema Amazon S3-Ereignisbenachrichtigungen konfigurieren im Amazon-S3-Entwicklerhandbuch.


Amazon S3 bietet eine überaus zuverlässige Speicherinfrastruktur, die für geschäftskritische und primäre Speicheranwendungen entwickelt wurde. Amazon S3 speichert Daten redundant in mehreren Systemen und auf mehreren Geräten in jedem System. Um die Beständigkeit zu erhöhen, speichert Amazon S3 Ihre Daten synchron in mehreren Einrichtungen, bevor Sie die Bestätigung erhalten, dass Ihre Daten erfolgreich gespeichert wurden. Darüber hinaus berechnet Amazon S3 Prüfsummen des gesamten Netzwerkverkehrs, um beschädigte Datenpakete beim Speichern oder Empfangen von Daten festzustellen. Im Gegensatz zu herkömmlichen Systemen, die aufwendige Datenprüfungen und manuelle Korrekturen erfordern, führt Amazon S3 regelmäßige und systematische Datenintegritätsprüfungen durch und ist so ausgelegt, dass Probleme automatisch behoben werden.

S3 Standard bietet:

  • Unterstützung durch Amazon S3-Service Level Agreement für die Verfügbarkeit
  • 99,999999999 %-ige Zuverlässigkeit und 99,99 %-ige Verfügbarkeit von Objekten über einen Zeitraum eines Jahres
  • Unterbindung des gleichzeitigen Datenverlusts in zwei Systemen

Standard – Infrequent Access bietet:

  • Unterstützung durch Amazon S3-Service Level Agreement bei der Verfügbarkeit
  • Objektlebensdauer von 99,999999999 % und Objektverfügbarkeit von 99,9 % in einem bestimmten Jahr
  • Unterbindung des gleichzeitigen Datenverlusts in zwei Systemen

Amazon Glacier bietet:

  • Objektlebensdauer von 99,999999999 % in einem bestimmten Jahr
  • Unterbindung des gleichzeitigen Datenverlusts in zwei Systemen

Amazon verfügt über eine Suite mit Tools, die das Migrieren von Daten in die Cloud beschleunigen, darunter auch Methoden zum Optimieren oder Austauschen des Netzwerks und zum Integrieren vorhandener Workflows in S3.

Amazon S3 Transfer Acceleration beschleunigt die Übertragungsgeschwindigkeit an Amazon S3-Buckets über große Entfernungen. HTTP- und HTTPS-Datenverkehr wird dabei über eine hoch optimierte Netzwerkbrücke übertragen, die den AWS-Edge-Standort, der Ihren Clients am nächsten liegt, mit Ihrem Amazon S3-Bucket verbindet. Es sind weder Gateway-Server zu verwalten noch Firewalls zu öffnen. Auch müssen keine speziellen Ports oder Clients integriert werden, und es fallen vorab keine Kosten an. Sie ändern einfach den Amazon S3-Endpunkt, über den Ihre Anwendung Daten überträgt. Die Beschleunigung erfolgt automatisch. Verwenden Sie die Übertragungsbeschleunigung in folgenden Fällen:

  • Wenn Sie schnellere Uploads von Clients benötigen, die sich weit von Ihrem Bucket entfernt befinden, etwa in anderen Ländern oder auf anderen Kontinenten
  • Wenn sich ein Teil Ihrer Clients außerhalb Ihrer eigenen Rechenzentren befinden, die über das Internet auf Amazon S3 zugreifen. Erwägen Sie für Clients innerhalb Ihrer Rechenzentren AWS Direct Connect.

Weitere Informationen

Von Petabyte bis Exabyte verwenden die Datenmigrationsservices von AWS sichere Geräte für die Übertragung großer Datenvolumen in und aus Amazon S3. AWS Snowball, AWS Snowball Edge und AWS Snowmobile sind die Antwort auf die vielfältigen Herausforderungen umfangreicher Datenübertragungen, zu denen u. a. hohe Netzwerkkosten, lange Übertragungszeiten und sämtliche Aspekte der Sicherheit zählen. Die Datenübertragung mit ist einfach, schnell und sicher und kann schon für ein Fünftel der Kosten des Hochgeschwindigkeits-Internets erfolgen.

Weitere Informationen

Lokale Daten- oder Speichersysteme lassen sich über AWS Storage Gateway problemlos mit Amazon S3 verknüpfen. Für Sie bedeutet dies, dass Ihre vorhandenen Systeme, Anwendungen, Prozesse und Daten zum Zweck der Sicherung und Migration sowie des Tierings oder Burstings nahezu unterbrechungsfrei in die Cloud verschoben werden können.

Weitere Informationen

Eine Anzahl verschiedener ISV-Partner sind in Amazon S3 integriert, um die Datenübertragung und den Datenabruf zu vereinfachen. Eine Liste der genehmigten AWS-Partnerlösungen finden Sie auf der Seite für AWS Storage-Partnerlösungen.


Die in Amazon S3 gespeicherten Daten sind standardmäßig sicher; nur die Bucket- und Objekt-Besitzer haben Zugang zu ihren selbst erstellten Amazon-S3-Ressourcen. Amazon S3 bietet eine Vielzahl an Kontrollmechanismen sowie eine Verschlüsselung für eine sichere Datenübertragung wie auch eine sichere Speicherung. Die Datenschutzfunktionen von Amazon S3 bieten Ihnen die Möglichkeit sowohl vor logischen als auch vor physischen Ausfällen und schützt so vor Datenverlusten durch unbeabsichtigte Benutzeraktionen, Anwendungsfehler und Infrastrukturausfälle. Für Kunden, die an Regulierungsstandard wie z. B. PCI oder HIPAA gebunden sind, können die Datenschutzfunktionen von Amazon S3 als Teil einer allgemeinen Compliance-Strategie verwendet werden. Nachfolgend werden die verschiedenen Sicherheits- und Zuverlässigkeitsfunktionen, die Amazon S3 bietet, detailliert beschrieben.

Amazon Macie verwendet Machine Learning zum automatischen Erkennen, Klassifizieren und Schützen vertraulicher Daten in AWS. Amazon Macie erkennt vertrauliche Daten wie persönlich identifizierbare Informationen (Personally Identifiable Information, PII) oder geistiges Eigentum und liefert Ihnen Dashboards und Warnungen, die sichtbar machen, wie auf diese Daten zugegriffen wird bzw. wie diese bewegt werden. Der voll verwaltete Service überwacht fortlaufend Datenzugriffsaktivitäten auf Anomalien und generiert detaillierte Warnungen, wenn ein Risiko durch einen nicht autorisierten Zugriff oder unbeabsichtigte Datenlecks erkannt wird.

Amazon S3 unterstützt verschiedene Mechanismen, die Ihnen die Flexibilität bieten, zu kontrollieren, wer, wie, wann und wo auf Ihre Daten zugreifen kann. Amazon S3 bietet vier verschiedene Zugriffskontrollmechanismen: AWS-Richtlinien für Identity and Access Management (IAM), Zugriffskontrolllisten (ACLs), Bucket-Richtlinien sowie Abfrage-String-Authentifizierung. IAM ermöglicht es Unternehmen, eine Vielzahl an Benutzern in einem einzelnen AWS-Konto zu erstellen und zu verwalten. Dank der IAM-Richtlinien können Sie IAM-Benutzern eingehende Rechte zur Kontrolle Ihres Amazon-S3-Buckets oder Ihrer Objekte gewähren. Mit Zugriffskontrolllisten (ACLs) können Sie bestimmten Objekten selektiv Zugriffsrechte zuweisen. Amazon-S3-Bucket-Richtlinien können verwendet werden, um einigen oder allen Objekten in einem Bucket Berechtigungen zu erteilen bzw. diese zu entziehen. Bei der Abfrage-String-Authentifizierung haben Sie die Möglichkeit, Amazon-S3-Objekte über URLs freizugeben, die für einen festgelegten Zeitraum gültig sind.

Die S3-Konsole hebt die öffentlich zugänglichen S3-Buckets hervor und warnt Sie, wenn durch Änderungen an Bucket-Richtlinien und Bucket-Zugriffskontrolllisten dieser Bucket öffentlich zugänglich wird.

Sie können von Ihrer Amazon Virtual Private Cloud (Amazon VPC) über VPC-Endpunkte auf Amazon S3 zugreifen. VPC-Endpunkte sind einfach zu konfigurieren und bieten eine zuverlässige Konnektivität zu Amazon S3, ohne dass ein Internet-Gateway oder eine Network Address Translation-Istance (NAT-Instance) erforderlich ist. Mit VPC-Endpunkten werden die Daten zwischen einem Amazon VPC und Amazon S3 innerhalb des Amazon-Netzwerks übertragen, sodass Ihre Instances vor dem Internet-Datenverkehr geschützt sind. Amazon VPC-Endpunkte für Amazon S3 bieten mehrere Ebenen mit Sicherheitskontrollen, um den Zugriff auf S3-Buckets zu begrenzen. Zunächst können Sie verlangen, dass Anforderungen an Ihre Amazon S3-Buckets von einem VPC über einen VPC-Endpunkt migrieren. Zusätzlich können Sie steuern, welche Buckets, Anforderungen, Benutzer oder Gruppen über einen bestimmten VPC-Endpunkt zugelassen sind.

Über die verschlüsselten SSL-Endpunkte, die das HTTPS-Protokoll verwenden, können Sie Ihre Daten sicher in Amazon S3 hoch- bzw. herunterladen. Amazon S3 kann automatisch Ihre gespeicherten Daten verschlüsseln und bietet Ihnen mehrere Wahlmöglichkeiten für die Schlüsselverwaltung. Sie können Ihre S3-Buckets so konfigurieren, dass Objekte vor dem Speichern in S3 automatisch verschlüsselt werden, wenn die eingehenden Speicheranforderungen die Verschlüsselungsinformationen nicht enthalten. Sie können alternativ eine Kundenverschlüsselungsbibliothek wie Amazon S3 Encryption Client einsetzen, um Ihre Daten zu verschlüsseln, bevor Sie diese in Amazon S3 hochladen.

Wenn Sie die Verschlüsselung durch Amazon S3 mit SSE (Verschlüsselung auf dem Server) wählen, verschlüsselt Amazon S3 Ihre Daten automatisch beim Schreiben und entschlüsselt Sie beim Abrufen. Wenn Amazon S3 SSE gespeicherte Daten verschlüsselt, werden symmetrische Schlüssel des Advanced Encryption Standard (AES) mit 256 Bit verwendet. Wenn Sie Verschlüsselung auf dem Server mit Amazon S3 wählen, stehen Ihnen drei Methoden zum Verwalten der Verschlüsselungsschlüssel zur Verfügung.

 

SSE mit Amazon S3 Key Management (SSE-S3)

Mit SSE-S3 verschlüsselt Amazon S3 Ihre gespeicherten Daten und verwaltet die Verschlüsselungsschlüssel.

 

SSE mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

Mit SSE-C verschlüsselt Amazon S3 Ihre gespeicherten Daten und verwendet die von Ihnen zur Verfügung gestellten Verschlüsselungsschlüssel. Um SSE-C zu verwenden, fügen Sie Ihre eigenen Verschlüsselungsschlüssel einfach Ihrer Upload-Anforderung hinzu. Amazon S3 verschlüsselt das Objekt mit diesem Schlüssel und speichert die verschlüsselten Daten. Ähnlich ist es beim Abrufen eines verschlüsselten Objekts: Sie stellen Ihren eigenen Verschlüsselungsschlüssel bereit und Amazon S3 entschlüsselt das Objekt beim Abrufen. Amazon S3 speichert Ihren Verschlüsselungsschlüssel nicht, sondern löscht ihn sofort nach Ausführung Ihrer Anforderung.

 

SSE mit AWS KMS (SSE-KMS)

Mit SSE-KMS verschlüsselt Amazon S3 Ihre gespeicherten Daten mit Schlüsseln, die Sie mit dem AWS Key Management Service (KMS) verwalten. Die Verwendung von AWS KMS bietet mehrere Vorteile. Mit AWS KMS gibt es separate Berechtigungen für die Verwendung des Masterschlüssels. Dies bietet sowohl eine zusätzliche Kontrollebene als auch Schutz gegen nicht autorisierten Zugriff auf das in Amazon S3 gespeicherte Objekt. AWS KMS bietet einen Audit-Trail, sodass Sie sehen können, wer Ihren Schlüssel wann benutzt hat, um auf welches Objekt zuzugreifen, und welche fehlgeschlagenen Versuche es von Benutzern ohne Berechtigung gab, die Daten zu entschlüsseln. Außerdem bietet AWS KMS zusätzliche Sicherheitskontrollen zur Unterstützung der Kunden beim Einhalten der Branchenanforderungen PCI-DSS, HIPAA/HITECH und FedRAMP.

 

Weitere Informationen finden Sie unter dem Thema Verwenden der Datenverschlüsselung im Amazon-S3-Entwicklerhandbuch.

Amazon S3 unterstützt zudem die Protokollierung der Datenabfragen in Ihren Amazon-S3-Ressourcen. Sie können Ihr Amazon-S3-Bucket so konfigurieren, dass Zugriffsprotokolle für die Datenabfragen erstellt werden. In diesen Serverzugriffsprotokollen werden alle an einen Bucket oder dessen Objekte gerichteten Anforderungen erfasst. Die Protokolle können dann zu Prüfzwecken genutzt werden.

Nähere Informationen zu den verfügbaren Sicherheitsfunktionen in Amazon S3 finden Sie im Amazon-S3-Entwicklerhandbuch unter Zugriffskontrolle. Eine Übersicht über alle Themen rund um die Sicherheit bei AWS, einschließlich Amazon S3, finden Sie in dem Dokument Amazon Web Services: Überblick über den Sicherheitsprozess.

Amazon S3 bietet zusätzlichen Schutz durch Versioning-Funktion. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Amazon S3 Bucket zu speichern, abzurufen oder wiederherzustellen. Auf diese Weise ist die Wiederherstellung nach unbeabsichtigten Nutzeraktionen oder Anwendungsausfällen problemlos möglich. Standardmäßig stellt eine Anforderung die zuletzt gespeicherte Version wieder her. Ältere Versionen eines Objekts können wiederhergestellt werden, wenn die gewünschte Version in der Anforderung spezifiziert wird. Speicher-Gebühren werden für jede gespeicherte Version erhoben. Sie können Lebenszyklusregeln konfigurieren, um die Nutzungsdauer und die Kosten der Speicherung mehrerer Versionen automatisch zu steuern.

Amazon S3 bietet zusätzliche Sicherheit mit Multi-Factor Authentication (MFA) Delete. Wenn diese Funktion aktiviert ist, erfordert sie die Verwendung eines Multi-Factor Authentication-Geräts zum Löschen von Objekten, die in Amazon S3 gespeichert sind, um vorherige Versionen Ihrer Objekte zu schützen.

Wenn Sie MFA Delete für Ihren Amazon S3-Bucket aktiviert haben, müssen Sie zwei Formen der Authentifizierung zusammen angeben, um den Versioning-Status Ihres Buckets zu ändern oder eine Objektversion permanent zu löschen:

  • Die Anmeldeinformationen für Ihr AWS-Konto
  • Die Verkettung einer gültigen Seriennummer, eines Leerzeichens und des sechsstelligen Codes, der auf einem zugelassenen Authentifizierungsgerät angezeigt wird

Weitere Informationen

Amazon S3 unterstützt die Abfrage-String-Authentifizierung, die es erlaubt, eine URL bereitzustellen, die nur für die von Ihnen festgelegte Dauer gültig ist. Diese zeitlich begrenzte URL kann in Fällen nützlich sein wie beispielsweise Software-Downloads oder bei anderen Anwendungen, wenn Sie die Zeit begrenzen möchten, während die Benutzer Zugriff auf ein Objekt haben. Weitere Informationen


Die Nutzung dieses Service unterliegt der Amazon Web Services-Kundenvereinbarung