Was passiert mit neuen oder vorhandenen Objekten, wenn ich die Standardverschlüsselung mit AWS KMS in meinem Amazon S3-Bucket aktiviere?

Lösung

Nachdem Sie die standardmäßige AWS KMS-Verschlüsselung für Ihren Bucket aktiviert haben, wendet Amazon S3 die Verschlüsselung nur auf neu hochgeladene Objekte ohne Verschlüsselungseinstellungen an.

Die standardmäßige Bucket-Verschlüsselung ändert nicht die Verschlüsselungseinstellungen vorhandener Objekte. Wenn Sie beispielsweise die serverseitige Verschlüsselung mit AWS KMS (SSE-KMS) im Bucket aktivieren, bleiben alle unverschlüsselten Objekte, die sich bereits im Bucket befinden, unverschlüsselt. Außerdem bleiben alle Objekte, die bereits mit SSE-KMS, SSE-S3 oder SSE-C verschlüsselt wurden, in ihrem jeweiligen Schlüssel verschlüsselt.

Die standardmäßige Bucket-Verschlüsselung überschreibt außerdem nicht die Verschlüsselungseinstellungen, die Sie beim Hochladen eines neuen Objekts angeben. Wenn Sie beispielsweise in Ihrer PutObject-Anfrage an einen Bucket mit standardmäßiger SSE-KMS-Verschlüsselung die AES256-Verschlüsselung angeben, behält das Objekt die AES256-Verschlüsselung (SSE-S3) bei.

Wenn Ihr Bucket über eine Standardverschlüsselung verfügt, Sie aber neu hochgeladene Objekte mit unterschiedlichen Verschlüsselungseinstellungen sehen, überprüfen Sie die AWS CloudTrail-Datenereignisprotokolle. Protokolle für PUT-, POST- und InitiateMultipartUpload-API-Anfragen verfügen über das Feld SSEApplied. Wenn der Wert dieses Felds Default_SSE_S3 oder Default_SSE_KMS ist, verfügt das Objekt über eine Standardverschlüsselung. Wenn der Wert SSE_S3 oder SSE_KMS ist, gibt das Objekt die Verschlüsselungseinstellungen in der PutObject-Anfrage an.

**Hinweis:**Um Benutzer zum Hochladen von Objekten mit SSE-KMS zu verpflichten, verwenden Sie eine Bucket-Richtlinie, eine Zugriffspunktrichtlinie oder eine AWS Organizations-Service-Kontrollrichtlinie.