Ich habe die Standardverschlüsselung mit AWS Key Management Service (AWS KMS) in meinem Amazon S3-Bucket (Amazon Simple Storage Service) aktiviert. Ich möchte wissen, was mit der Verschlüsselung neuer und vorhandener Objekte passiert.
Lösung
Nachdem Sie die standardmäßige AWS KMS-Verschlüsselung für Ihren Bucket aktiviert haben, wendet Amazon S3 die Verschlüsselung nur auf neu hochgeladene Objekte ohne Verschlüsselungseinstellungen an.
Die standardmäßige Bucket-Verschlüsselung ändert nicht die Verschlüsselungseinstellungen vorhandener Objekte. Wenn Sie beispielsweise die serverseitige Verschlüsselung mit AWS KMS (SSE-KMS) im Bucket aktivieren, bleiben alle unverschlüsselten Objekte, die sich bereits im Bucket befinden, unverschlüsselt. Außerdem bleiben alle Objekte, die bereits mit SSE-KMS, SSE-S3 oder SSE-C verschlüsselt wurden, in ihrem jeweiligen Schlüssel verschlüsselt.
Die standardmäßige Bucket-Verschlüsselung überschreibt außerdem nicht die Verschlüsselungseinstellungen, die Sie beim Hochladen eines neuen Objekts angeben. Wenn Sie beispielsweise in Ihrer PutObject-Anfrage an einen Bucket mit standardmäßiger SSE-KMS-Verschlüsselung die AES256-Verschlüsselung angeben, behält das Objekt die AES256-Verschlüsselung (SSE-S3) bei.
Wenn Ihr Bucket über eine Standardverschlüsselung verfügt, Sie aber neu hochgeladene Objekte mit unterschiedlichen Verschlüsselungseinstellungen sehen, überprüfen Sie die AWS CloudTrail-Datenereignisprotokolle. Protokolle für PUT-, POST- und InitiateMultipartUpload-API-Anfragen verfügen über das Feld SSEApplied. Wenn der Wert dieses Felds Default_SSE_S3 oder Default_SSE_KMS ist, verfügt das Objekt über eine Standardverschlüsselung. Wenn der Wert SSE_S3 oder SSE_KMS ist, gibt das Objekt die Verschlüsselungseinstellungen in der PutObject-Anfrage an.
**Hinweis:**Um Benutzer zum Hochladen von Objekten mit SSE-KMS zu verpflichten, verwenden Sie eine Bucket-Richtlinie, eine Zugriffspunktrichtlinie oder eine AWS Organizations-Service-Kontrollrichtlinie.