Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schlüsselverwaltung für den Amazon S3 S3-Datenzugriff
Diese Seite ist spezifisch für den Amazon S3 S3-Datenzugriffstyp, bei dem der Anbieter Objekte teilt, die mit SSE-KMS verschlüsselt wurden. Der Abonnent muss über eine Genehmigung für die für den Zugriff verwendeten Schlüssel verfügen.
Wenn Ihr Amazon S3 S3-Bucket Daten enthält, die mit AWS KMS kundenverwalteten Schlüsseln verschlüsselt wurden, müssen Sie diese AWS KMS keys AWS Data Exchange zur Konfiguration Ihres Amazon S3 S3-Datenzugriffsdatensatzes weitergeben. Weitere Informationen finden Sie unter Schritt 2: Amazon S3 S3-Datenzugriff konfigurieren.
AWS KMS Zuschüsse erstellen
Wenn Sie im AWS KMS keys Rahmen Ihres Amazon S3 S3-Datenzugriffsdatensatzes angeben, AWS Data Exchange
wird für jeden AWS KMS key geteilten Datensatz ein AWS KMS Zuschuss gewährt. Dieser Zuschuss, der als Elternzuschuss bezeichnet wird, wird verwendet, um die AWS Data Exchange Genehmigung zur Einrichtung zusätzlicher AWS KMS Zuschüsse für Abonnenten zu erteilen. Diese zusätzlichen Zuschüsse werden als Kinderzuschüsse bezeichnet. Jedem Abonnenten wird ein AWS KMS Zuschuss gewährt. Abonnenten erhalten die Erlaubnis, das zu entschlüsseln. AWS KMS key Anschließend können sie die mit ihnen geteilten verschlüsselten Amazon S3 S3-Objekte entschlüsseln und verwenden. Weitere Informationen finden Sie unter Grants AWS KMS im AWS Key Management Service Developer Guide.
AWS Data Exchange verwendet außerdem den AWS KMS übergeordneten Zuschuss, um den Lebenszyklus des von ihm AWS KMS erstellten Zuschusses zu verwalten. Wenn ein Abonnement endet, AWS Data Exchange wird der AWS KMS untergeordnete Zuschuss, der für den entsprechenden Abonnenten eingerichtet wurde, außer Kraft gesetzt. Wenn die Änderung aufgehoben oder der Datensatz gelöscht wird, wird der Elternzuschuss AWS Data Exchange zurückgezogen. AWS KMS Weitere Informationen zu AWS KMS Aktionen finden Sie in der AWS KMS
API-Referenz.
Verschlüsselungskontext und Einschränkungen bei der Gewährung
AWS Data Exchange verwendet Grant-Beschränkungen, um den Entschlüsselungsvorgang nur dann zuzulassen, wenn die Anforderung den angegebenen Verschlüsselungskontext enthält. Sie können die Amazon S3 Bucket Key-Funktion verwenden, um Ihre Amazon S3 S3-Objekte zu verschlüsseln und mit AWS Data Exchange anderen zu teilen. Der Bucket Amazon Resource Name (ARN) wird implizit von Amazon S3 als Verschlüsselungskontext verwendet. Das folgende Beispiel zeigt, dass der Bucket ARN als Grant-Beschränkung für alle AWS KMS Grants AWS Data Exchange verwendet wird, die es erstellt.
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::<Bucket ARN>"
}
}
Überwachen Sie Ihre AWS KMS keys Eingabe AWS Data Exchange
Wenn Sie vom AWS KMS Kunden verwaltete Schlüssel mit anderen teilen AWS Data Exchange, können Sie AWS CloudTraildamit Anfragen AWS Data Exchange oder Daten verfolgen, an die Abonnenten gesendet haben AWS KMS. Im Folgenden finden Sie Beispiele dafür, wie Ihre CloudTrail Protokolle für die CreateGrant und Decrypt Aufrufe von aussehen werden AWS KMS.
- CreateGrant for parent
-
CreateGrantist für Zuschüsse für Eltern bestimmt, die von AWS Data Exchange ihnen selbst erstellt wurden.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts::<your-account-id>:assumed-role/Admin/Provider01",
"accountId": "<your-account-id>",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::<your-account-id>:role/Admin/Provider01”,
"accountId": "<your-account-id>",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "<Key ARN of the Key you shared with AWS Data Exchange>",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
aws:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
}
}
},
"responseElements": {
"grantId": "<KMS Grant ID of the created Grant>",
"keyId": "<Key ARN of the Key you shared with AWS Data Exchange>"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "<Your Account Id>",
"type": "AWS::KMS::Key",
"ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "<Your Account Id>",
"eventCategory": "Management"
}
- CreateGrant for child
-
CreateGrantist für Zuschüsse für Kinder vorgesehen, die von AWS Data Exchange für Abonnenten eingerichtet wurden.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "<Key ARN of the Key you shared with AWS Data Exchange>",
"operations": [
"Decrypt"
],
"granteePrincipal": “<Subscriber’s account Id>”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
}
}
},
"responseElements": {
"grantId": "<KMS Grant ID of the created Grant>",
"keyId": "<Key ARN of the Key you shared with AWS Data Exchange>"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "<Your Account Id>",
"type": "AWS::KMS::Key",
"ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "<Your Account Id>",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
- Decrypt
-
Decryptwird von Abonnenten aufgerufen, wenn sie versuchen, die verschlüsselten Daten zu lesen, die sie abonniert haben.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "<subscriber-account-id>",
"invokedBy": "<subscriber’s IAM identity>"
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "<subscriber’s IP address>",
"userAgent": "<subscriber’s user agent>",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "<Your Account Id>",
"type": "AWS::KMS::Key",
"ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
