Datenschutz in Amazon Forecast - Amazon Forecast
Verschlüsselung im RuhezustandVerschlüsselung bei der Übertragung und VerarbeitungSo verwendet Amazon Forecast Erteilungen in AWS KMSEinen kundenverwalteten Schlüssel erstellenÜberwachen Ihrer Verschlüsselungsschlüssel für Amazon Forecast Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in Amazon Forecast

Das Modell der AWS geteilten gilt für den Datenschutz in Amazon Forecast. https://aws.amazon.com/compliance/shared-responsibility-model/ Wie in diesem Modell beschrieben, ist AWS für den Schutz der globalen Infrastruktur verantwortlich, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS-Modell der geteilten Verantwortung und in der DSGVO im AWS-Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor Authentifizierung (MFA).

  • Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein.

  • Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-2.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Forecast oder anderen AWS-Services über die Konsole, APIAWS CLI, oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Verschlüsselung im Ruhezustand

In der Amazon-Forecast-Verschlüsselungskonfiguration wird während der - CreateDataset und -CreatePredictorOperationen bereitgestellt. Wenn die Verschlüsselungskonfiguration in der - CreateDataset Operation bereitgestellt wird, werden Ihr CMK und Ihre IAM-Rolle für die Verschlüsselung im Ruhezustand in der -CreateDatasetImportJobOperation verwendet.

Wenn Sie beispielsweise das KMS Ihres Schlüssels KeyArn und ein RoleArn in der EncryptionConfig Anweisung der - CreateDataset Operation angeben, übernimmt Forecast diese Rolle und verwendet den Schlüssel, um den Datensatz zu verschlüsseln. Wenn keine Konfiguration angegeben wird, verwendet Forecast die Standard-Serviceschlüssel für die Verschlüsselung. Wenn Sie die EncryptionConfig Informationen für den CreatePredictor Vorgang angeben, verwenden alle nachfolgenden Vorgänge, wie z. B. CreatePredictorExplanability, CreateForecast und CreatePredictorBacktestExportJob, dieselbe Konfiguration, um die Verschlüsselung im Ruhezustand durchzuführen. Auch hier gilt: Wenn Sie keine Verschlüsselungskonfiguration angeben, verwendet Forecast die Standard-Serviceverschlüsselung.

Für alle in Ihrem Amazon S3-Bucket gespeicherten Daten werden die Daten mit dem standardmäßigen Amazon S3-Schlüssel verschlüsselt. Sie können auch Ihren eigenen AWS KMS Schlüssel verwenden, um Ihre Daten zu verschlüsseln und Forecast Zugriff auf diesen Schlüssel zu gewähren. Informationen zur Datenverschlüsselung in Amazon S3 finden Sie unter Schützen von Daten mithilfe von Verschlüsselung. Informationen zum Verwalten Ihres eigenen AWS KMS Schlüssels finden Sie unter Verwalten von Schlüsseln im AWS Key Management Service Entwicklerhandbuch für .

Verschlüsselung bei der Übertragung und Verarbeitung

Amazon Forecast verwendet TLS mit AWS Zertifikaten, um alle Daten zu verschlüsseln, die an andere -AWSServices gesendet werden. Jede Kommunikation mit anderen -AWSServices erfolgt über HTTPS, und Forecast-Endpunkte unterstützen nur sichere Verbindungen über HTTPS.

Amazon Forecast kopiert Daten aus Ihrem Konto und verarbeitet sie in einem internen AWS System. Bei der Verarbeitung von Daten verschlüsselt Forecast Daten entweder mit einem AWS KMS Prognoseschlüssel oder einem beliebigen von Ihnen bereitgestellten AWS KMS Schlüssel.

So verwendet Amazon Forecast Erteilungen in AWS KMS

Amazon Forecast benötigt eine Erteilung, um Ihren vom Kunden verwalteten Schlüssel zu verwenden.

Forecast erstellt eine Erteilung mit der IAM-Rolle, die während EncryptionConfig in der - CreatePredictor oder -CreateDatasetOperation übergeben wird. Forecast übernimmt die Rolle und führt in Ihrem Namen eine Operation zum Erstellen von Erteilungen durch. Weitere Informationen finden Sie unter IAM-Rolle einrichten.

Wenn Sie jedoch einen Prädiktor erstellen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt Amazon Forecast in Ihrem Namen eine Erteilung, indem es eine CreateGrant Anfrage an sendetAWS KMS. Erteilungen in AWS KMS werden verwendet, um Amazon Forecast Zugriff auf einen -AWS KMSSchlüssel in einem Kundenkonto zu gewähren.

Amazon Forecast benötigt die Erteilung, damit es Ihren vom Kunden verwalteten Schlüssel verwenden kann, um Decrypt-Anfragen an zu sendenAWS KMS, um die verschlüsselten Datensatzartefakte zu lesen. Forecast verwendet auch die Erteilung, um GenerateDataKey Anfragen an zu sendenAWS KMS, um die Trainingsartefakte zurück an Amazon S3 zu verschlüsseln.

Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Amazon Forecast nicht auf die Daten zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden, was sich auf Operationen auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise versuchen, die CreateForecast Operation für einen verschlüsselten Prädiktor auszuführen, auf den Amazon Forecast nicht zugreifen kann, gibt die Operation einen AccessDeniedException Fehler zurück.

Einen kundenverwalteten Schlüssel erstellen

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie die AWS Management Console oder die AWS KMS-API verwenden. Um einen symmetrischen kundenverwalteten Schlüssel zu erstellen, folgen Sie den Schritten unter Erstellen eines symmetrischen kundenverwalteten Schlüssels im AWS Key Management Service -Entwicklerhandbuch.

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service.

Um Ihren vom Kunden verwalteten Schlüssel mit Amazon-Forecast-Ressourcen zu verwenden, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zulässig sein:

  • kms:DescribeKey – Stellt die vom Kunden verwalteten Schlüsseldetails bereit, mit denen Amazon Forecast den Schlüssel validieren kann.

  • kms:CreateGrant – Fügt einem vom Kunden verwalteten Schlüssel eine Berechtigung hinzu. Gewährt Kontrollzugriff auf einen bestimmten AWS KMS Schlüssel, der den Zugriff auf Erteilungsvorgänge ermöglicht, die Amazon Forecast benötigt. Mit diesem Vorgang kann Amazon Forecast aufrufen, um einen verschlüsselten Datenschlüssel GenerateDataKey zu generieren und zu speichern, da der Datenschlüssel nicht sofort für die Verschlüsselung verwendet wird. Außerdem ermöglicht die -Operation Amazon Forecast den Aufruf von , Decrypt sodass es den gespeicherten verschlüsselten Datenschlüssel verwenden und auf die verschlüsselten Daten zugreifen kann.

  • kms:RetireGrant – Außerbetriebnahme aller während des CreateGrant Vorgangs bereitgestellten Erteilungen, nachdem der Vorgang abgeschlossen ist.

Anmerkung

Amazon Forecast führt kms:Decrypt eine kms:GenerateDataKey Validierung der Identität des Anrufers durch. Sie erhalten eine AccessDeniedException für den Fall, dass der Aufrufer nicht über die entsprechenden Berechtigungen verfügt. Die Schlüsselrichtlinie sollte auch dem folgenden Code ähneln:

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Weitere Informationen finden Sie unter IAM-Richtlinie .

Im Folgenden finden Sie Beispiele für Richtlinienanweisungen, die Sie für Amazon Forecast hinzufügen können. Dies sind die erforderlichen Mindestberechtigungen. Diese können auch mithilfe von IAM-Richtlinien hinzugefügt werden.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Weitere Informationen zum Festlegen von Berechtigungen in einer Richtlinie und zur Fehlerbehebung beim Schlüsselzugriff finden Sie im EntwicklerhandbuchAWS Key Management Service.

Überwachen Ihrer Verschlüsselungsschlüssel für Amazon Forecast Service

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon-Forecast-Service-Ressourcen verwenden, können Sie AWS CloudTrail oder Amazon CloudWatch Logs verwenden, um Anforderungen zu verfolgen, die Forecast an sendetAWS KMS. Die folgenden Beispiele sind AWS CloudTrail Ereignisse für CreateGrant, und zur Überwachung von AWS KMS RetireGrantVorgängen, DescribeKey die von Amazon Forecast aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
RetireGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}