Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Sollte ich zur Verschlüsselung meiner Objekte in Amazon S3 einen von AWS KMS verwalteten Schlüssel oder einen vom Kunden verwalteten KMS-Schlüssel verwenden?

Lesedauer: 2 Minute
0

Ich möchte die serverseitige Verschlüsselung mit dem AWS Key Management Service (SSE-KMS) für meine im Amazon Simple Storage Service (Amazon S3) gespeicherten Objekte verwenden. Sollte ich einen vom Kunden verwalteten AWS KMS-Schlüssel verwenden? Oder sollte ich den verwalteten AWS KMS-Schlüssel namens aws/s3 verwenden? Worin besteht der Unterschied zwischen den beiden?

Auflösung

AWS Key Management Service (AWS KMS) verwaltet den standardmäßigen aws/s3 AWS-KMS-Schlüssel, aber Sie haben die volle Kontrolle über einen vom Kunden verwalteten Schlüssel.

Verwenden des standardmäßigen aws/s3-KMS-Schlüssels

Hinweis: Der Name des KMS-Schlüssels lautet aws/s3 in der Amazon-S3-Konsole. Geben Sie diesen Namen oder diese ID jedoch nicht an, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden.

Erwägen Sie, den standardmäßigen aws/s3-KMS-Schlüssel zu verwenden, wenn:

  • Sie laden S3-Objekte mit AWS Identity and Access Management (IAM)-Prinzipale hoch oder greifen darauf zu, die sich im selben AWS-Konto wie der AWS-KMS-Schlüssel befinden.
  • Sie keine Richtlinien für den KMS-Schlüssel verwalten möchten.

Um ein Objekt mit dem standardmäßigen aws/s3-KMS-Schlüssel zu verschlüsseln, definieren Sie die Verschlüsselungsmethode während des Uploads als SSE-KMS, geben Sie jedoch keinen Schlüssel an:

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.

Verwenden eines vom Kunden verwalteten Schlüssels

Erwägen Sie die Verwendung eines vom Kunden verwalteten Schlüssels, wenn:

  • Sie Zugriffssteuerungen für den Schlüssel erstellen, rotieren, deaktivieren oder definieren möchten.
  • Sie kontoübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten. Sie können die Richtlinie eines vom Kunden verwalteten Schlüssels so konfigurieren, dass der Zugriff von einem anderen Konto aus ermöglicht wird.

Um ein Objekt mit einem vom Kunden verwalteten Schlüssel zu verschlüsseln, definieren Sie beim Hochladen die Verschlüsselungsmethode als SSE-KMS. Geben Sie dann Ihren vom Kunden verwalteten Schlüssel als Schlüssel an (--sse-kms-key-id):

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

Um den Zugriff auf Ihren vom Kunden verwalteten Schlüssel zu steuern, ändern Sie die Schlüsselrichtlinie. Weitere Informationen zum Erstellen einer Schlüsselrichtlinie finden Sie unter Erstellen einer Schlüsselrichtlinie.


Verwandte Informationen

Schutz von Daten durch serverseitige Verschlüsselung

Verwendung von AWS KMS durch Amazon Simple Storage Service (Amazon S3)

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren