Warum erhalte ich die Fehlermeldung „The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access.“ (Der Geheimtext bezieht sich auf einen Kundenmasterschlüssel, der nicht existiert, in dieser Region nicht existiert oder auf den Sie nicht zugreifen dürfen.), wenn ich ein Objekt aus meinem Amazon S3-Bucket herunterlade oder kopiere?

Lesedauer: 3 Minute

Ich erhalte die folgende Fehlermeldung, wenn ich versuche, ein Objekt aus meinem Amazon Simple Storage Service (Amazon S3)-Bucket herunterzuladen oder zu kopieren: „The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access.“ (Der Geheimtext bezieht sich auf einen Kundenmasterschlüssel, der nicht existiert, in dieser Region nicht existiert oder auf den Sie nicht zugreifen dürfen.)

Lösung

Dieser Fehler wird angezeigt, wenn die beiden folgenden Bedingungen zutreffen:

Das Objekt, das in dem Bucket gespeichert ist, an den Sie Anfragen stellen, ist mit einem AWS Key Management Service (AWS KMS)-Schlüssel verschlüsselt.
Die Rolle oder der Benutzer von AWS Identity and Access Management (IAM), der die Anfragen stellt, verfügt nicht über ausreichende Berechtigungen, um auf den AWS KMS-Schlüssel zuzugreifen, der zur Verschlüsselung der Objekte verwendet wird.

Hinweis: Wenn beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, stellen Sie sicher, dass Sie die aktuelle Version der AWS CLI verwenden.

Sie können die Verschlüsselung eines Objekts mit dem AWS-CLI-Befehl head-object überprüfen:

aws s3api head-object --bucket my-bucket --key my-object

Stellen Sie sicher, dass Sie im vorherigen Befehl die folgenden Schritte ausführen:

Ersetzen Sie my-bucket durch den Namen Ihres Buckets.
Ersetzen Sie my-object durch den Namen Ihres Objekts.

Die Ausgabe für diesen Befehl sieht wie folgt aus:

{
  "AcceptRanges": "bytes",
  "ContentType": "text/html",
  "LastModified": "Thu, 16 Apr 2015 18:19:14 GMT",
  "ContentLength": 77,
  "VersionId": "null",
  "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
  "ServerSideEncryption": "aws:kms",
  "Metadata": {},
  "SSEKMSKeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "BucketKeyEnabled": true
}

Das Feld SSEKMSKeyId in der Ausgabe gibt den AWS-KMS-Schlüssel an, der zum Verschlüsseln des Objekts verwendet wurde.

Um diesen Fehler zu beheben, führen Sie einen der folgenden Schritte aus:

Stellen Sie sicher, dass die Richtlinie, die dem IAM-Benutzer oder der IAM-Rolle zugeordnet ist, über die erforderlichen Berechtigungen verfügt. Beispiel:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    ]
  }
}

Stellen Sie sicher, dass die AWS-KMS-Richtlinie über die erforderlichen Berechtigungen verfügt. Beispiel:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::AWS-account-ID:user/user-name-1"
    },
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": "*"
  }
}

Wenn der IAM-Benutzer oder die IAM-Rolle und der AWS KMS-Schlüssel von verschiedenen AWS-Konten stammen, stellen Sie Folgendes sicher:

Die Richtlinie, die der IAM-Entität angehängt ist, verfügt über die erforderlichen AWS KMS-Berechtigungen.
Die AWS KMS-Schlüsselrichtlinie gewährt der IAM-Entität die erforderlichen Berechtigungen.

Wichtig: Sie können die von AWS verwalteten Schlüssel nicht in kontoübergreifenden Anwendungsfällen verwenden, da die von AWS verwalteten Schlüsselrichtlinien nicht geändert werden können.

Führen Sie den Befehl describe-key aus, um detaillierte Informationen zu einem AWS KMS-Schlüssel zu erhalten:

aws kms describe-key --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Sie können auch die AWS KMS-Konsole verwenden, um Details zu einem AWS KMS-Schlüssel einzusehen.

Hinweis: Stellen Sie sicher, dass der AWS KMS-Schlüssel, der zum Verschlüsseln des Objekts verwendet wird, aktiviert ist.

Relevante Informationen

Mein Amazon-S3-Bucket verfügt über eine Standardverschlüsselung mit einem benutzerdefinierten AWS-KMS-Schlüssel. Wie kann ich Benutzern erlauben, aus dem Bucket herunterzuladen und in den Bucket hochzuladen?

Muss ich den AWS KMS-Schlüssel angeben, wenn ich ein KMS-verschlüsseltes Objekt von Amazon S3 herunterlade?

Themen: Storage
Tags: Amazon Simple Storage Service
Sprache: Deutsch

AWS OFFICIALAktualisiert vor 3 Jahren

Relevanter Inhalt

Wie behebe ich Berechtigungsfehler der Lambda-Funktion „KMS Exception“?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie behebe ich den Fehler „The specified queue does not exist or you do not have access to it.“, wenn ich einen AWS Glue Job ausführe, um Nachrichten an Amazon SQS in einer anderen Region zu senden?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich den Fehler "Serializable isolation violation on table" oder "Relation does not exist" in Amazon Redshift?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie behebe ich den Fehler „This template does not include any resources to import“ in AWS CloudFormation?
AWS OFFICIALAktualisiert vor einem Jahr