Datenschutz in AWS Audit Manager

Das AWS Modell der gilt für den Datenschutz in AWS Audit Manager. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie im Abschnitt Datenschutz FAQ. Informationen zum Datenschutz in Europa finden Sie im AWS Shared Responsibility Model und im GDPR Blogbeitrag auf dem AWS Security Blog.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

• Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).

• Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

• Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.

• Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

• Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

• Wenn Sie FIPS 140-3 validierte kryptografische Module für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-3. FIPS

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Audit Manager oder anderen AWS-Services über die Konsole arbeitenAPI, AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.

Zusätzlich zu der obigen Empfehlung empfehlen wir Audit Manager-Kunden ausdrücklich, bei der Erstellung von Bewertungen, benutzerdefinierten Kontrollen, benutzerdefinierten Frameworks und Delegationskommentaren keine sensiblen Identifizierungsdaten in Freiformfeldern anzugeben.

Löschung von Audit Manager-Daten

Audit Manager-Daten können auf verschiedene Arten gelöscht werden.

Datenlöschung bei Deaktivierung von Audit Manager

Wenn Sie Audit Manager deaktivieren, können Sie entscheiden, ob Sie alle Ihre Audit Manager-Daten löschen möchten. Wenn Sie sich dafür entscheiden, Ihre Daten zu löschen, werden sie innerhalb von sieben (7) Tagen nach Deaktivierung von Audit Manager gelöscht. Nachdem Ihre Daten gelöscht wurden, können Sie sie nicht wiederherstellen.

Automatische Datenlöschung

Einige Audit Manager-Daten werden nach einem bestimmten Zeitraum automatisch gelöscht. Audit Manager speichert Kundendaten wie folgt:

Datentyp	Aufbewahrungszeitraum	Hinweise
Beweise	Daten werden ab dem Zeitpunkt der Erstellung zwei (2) Jahre lang aufbewahrt.	Beinhaltet automatisierte Beweise und manuelle Beweise
Vom Kunden erstellte Ressourcen	Daten werden auf unbestimmte Zeit aufbewahrt	Beinhaltet Bewertungen, Bewertungsberichte, benutzerdefinierte Kontrollen und benutzerdefinierte Frameworks

Manuelles Löschen von Daten

Sie können einzelne Audit Manager-Ressourcen jederzeit löschen. Detaillierte Informationen finden Sie hier:

• Löschen einer Bewertung in AWS Audit Manager

  • Siehe auch: DeleteAssessmentIn der AWS Audit Manager APIReferenz

• Löschen eines benutzerdefinierten Frameworks in AWS Audit Manager

  • Siehe auch: DeleteAssessmentFrameworkin der AWS Audit Manager APIReferenz

• Löschen von Anfragen zum Teilen in AWS Audit Manager

  • Siehe auch: DeleteAssessmentFrameworkSharein der AWS Audit Manager APIReferenz

• Löschen eines Bewertungsberichts

  • Siehe auch: DeleteAssessmentReportin der AWS Audit Manager APIReferenz

• Löschen eines benutzerdefinierten Steuerelements in AWS Audit Manager

  • Siehe auch: DeleteControlin der AWS Audit Manager APIReferenz

Informationen zum Löschen anderer Ressourcendaten, die Sie möglicherweise mit Audit Manager erstellt haben, finden Sie im folgenden Abschnitt:

• Löschen Sie einen Ereignisdatenspeicher im AWS CloudTrail -Benutzerhandbuch

• Löschen eines Bucket im Benutzerhandbuch für Amazon Simple Storage Service (Amazon S3).

Verschlüsselung im Ruhezustand

Um Daten im Ruhezustand zu verschlüsseln, verwendet Audit Manager serverseitige Verschlüsselung mit Von AWS verwaltete Schlüssel für alle Datenspeicher und Protokolle.

Ihre Daten werden mit einem vom Kunden verwalteten Schlüssel oder einem AWS-eigener Schlüssel, je nach den von Ihnen ausgewählten Einstellungen, verschlüsselt. Wenn Sie keinen vom Kunden verwalteten Schlüssel bereitstellen, verwendet Audit Manager einen, AWS-eigener Schlüssel um Ihre Inhalte zu verschlüsseln. Alle Dienst-Metadaten in DynamoDB und Amazon S3 in Audit Manager werden mit einem AWS-eigener Schlüssel verschlüsselt.

Audit Manager verschlüsselt Daten wie folgt:

• In Amazon S3 gespeicherte Service-Metadaten werden unter AWS-eigener Schlüssel Verwendung von SSE - verschlüsseltKMS.

• In DynamoDB gespeicherte Dienstmetadaten werden serverseitig mit KMS und verschlüsselt. AWS-eigener Schlüssel

• Ihre in DynamoDB gespeicherten Inhalte werden clientseitig entweder mit einem vom Kunden verwalteten Schlüssel oder einem AWS-eigener Schlüssel verschlüsselt. Der KMS Schlüssel basiert auf den von Ihnen gewählten Einstellungen.

• Ihre in Amazon S3 in Audit Manager gespeicherten Inhalte werden mit SSE - verschlüsseltKMS. Der KMS Schlüssel basiert auf Ihrer Auswahl und kann entweder ein vom Kunden verwalteter Schlüssel oder ein AWS-eigener Schlüssel.

• Die in Ihrem S3-Bucket veröffentlichten Bewertungsberichte sind wie folgt verschlüsselt:

  • Wenn Sie einen vom Kunden verwalteten Schlüssel angegeben haben, werden Ihre Daten mit SSE - verschlüsseltKMS.

  • Wenn Sie den verwendet haben AWS-eigener Schlüssel, werden Ihre Daten mit SSE -S3 verschlüsselt.

Verschlüsselung während der Übertragung

Audit Manager bietet für die Verschlüsselung von Daten während der Übertragung sichere und private Endpunkte. Die sicheren und privaten Endpunkte ermöglichen es AWS , die Integrität von API Anfragen an Audit Manager zu schützen.

Dienstübergreifender Transit

Standardmäßig wird die gesamte Kommunikation zwischen Diensten durch die Transport Layer Security (TLS) -Verschlüsselung geschützt.

Schlüsselverwaltung

Audit Manager unterstützt AWS-eigene Schlüssel sowohl vom Kunden verwaltete Schlüssel zur Verschlüsselung aller Audit Manager Manager-Ressourcen (Bewertungen, Kontrollen, Frameworks, Nachweise und Bewertungsberichte, die in S3-Buckets in Ihren Konten gespeichert sind).

Es wird empfohlen, einen vom Kunden verwalteten Schlüssel zu verwenden. Auf diese Weise können Sie die Verschlüsselungsschlüssel, die Ihre Daten schützen, anzeigen und verwalten, einschließlich der Anzeige von Protokollen über ihre Verwendung in AWS CloudTrail. Wenn Sie sich für einen vom Kunden verwalteten Schlüssel entscheiden, gewährt Audit Manager eine Genehmigung für den KMS Schlüssel, sodass er zur Verschlüsselung Ihrer Inhalte verwendet werden kann.

Warnung

Nachdem Sie einen KMS Schlüssel gelöscht oder deaktiviert haben, der zum Verschlüsseln von Audit Manager Manager-Ressourcen verwendet wird, können Sie die Ressource, die mit diesem KMS Schlüssel verschlüsselt wurde, nicht mehr entschlüsseln, was bedeutet, dass Daten nicht mehr wiederhergestellt werden können.

Das Löschen eines KMS Schlüssels in AWS Key Management Service (AWS KMS) ist destruktiv und potenziell gefährlich. Weitere Informationen zum Löschen von KMS Schlüsseln finden Sie AWS KMS keys im AWS Key Management Service Benutzerhandbuch unter Löschen.

Sie können Ihre Verschlüsselungseinstellungen angeben, wenn Sie Audit Manager mit dem AWS Management Console, dem Audit Manager API oder dem AWS Command Line Interface (AWS CLI) aktivieren. Detaillierte Anweisungen finden Sie unter Aktivieren AWS Audit Manager.

Sie können Ihre Verschlüsselungseinstellungen jederzeit überprüfen und ändern. Detaillierte Anweisungen finden Sie unter Konfiguration Ihrer Datenverschlüsselungseinstellungen.

Weitere Informationen zur Einrichtung von kundenverwalteten Schlüsseln finden Sie im AWS Key Management Service -Benutzerhandbuch unter Schlüssel erstellen.