Datenschutz und AWS Modell der gemeinsamen Verantwortung in Image Builder - EC2Image Builder
Verschlüsselung und SchlüsselverwaltungDatenspeicherDatenschutz für den Datenverkehr zwischen Netzwerken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz und AWS Modell der gemeinsamen Verantwortung in Image Builder

Das Tool AWS Das Modell der gilt für den Datenschutz in EC2 Image Builder. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre Inhalte zu behalten, die auf dieser Infrastruktur gehostet werden. Sie sind auch verantwortlich für die Sicherheitskonfiguration und die Verwaltungsaufgaben für AWS-Services die Sie verwenden. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzerklärung FAQ. Informationen zum Datenschutz in Europa finden Sie auf der AWS Modell der geteilten Verantwortung und GDPR Blogbeitrag auf der AWS Blog zum Thema Sicherheit.

Aus Datenschutzgründen empfehlen wir Ihnen, AWS-Konto Anmeldeinformationen und richten Sie einzelne Benutzer ein mit AWS IAM Identity Center or AWS Identity and Access Management (IAM). So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Verwenden SieSSL/TLS, um mit zu kommunizieren AWS Ressourcen schätzen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Für Informationen zur Verwendung von CloudTrail Pfaden zum Erfassen AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden in der AWS CloudTrail Benutzerleitfaden.

  • Verwenden Sie AWS Verschlüsselungslösungen, zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff FIPS 140-3 validierte kryptografische Module benötigen AWS über eine Befehlszeilenschnittstelle oder einenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Image Builder oder anderen Programmen arbeiten AWS-Services mit der KonsoleAPI, AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu überprüfen.

Verschlüsselung und Schlüsselverwaltung in Image Builder

Image Builder verschlüsselt Daten während der Übertragung und im Ruhezustand standardmäßig mit einem diensteigenen KMS Schlüssel, mit Ausnahme der folgenden:

  • Benutzerdefinierte Komponenten — Image Builder verschlüsselt benutzerdefinierte Komponenten mit Ihrem KMS Standardschlüssel oder einem diensteigenen KMS Schlüssel.

  • Image-Workflows — Image Builder kann Ihre Image-Workflows mit einem vom Kunden verwalteten Schlüssel verschlüsseln, wenn Sie den Schlüssel bei der Workflow-Erstellung angeben. Image Builder übernimmt die Verschlüsselung und Entschlüsselung mit Ihrem Schlüssel, um die Workflows auszuführen, die Sie für Ihre Bilder konfiguriert haben.

Sie können Ihre eigenen Schlüssel verwalten über AWS KMS. Sie sind jedoch nicht berechtigt, den Image KMS Builder-Schlüssel zu verwalten, der Image Builder gehört. Weitere Informationen zur Verwaltung Ihrer KMS Schlüssel finden Sie mit AWS Key Management Service, siehe Erste Schritte im AWS Key Management Service Entwicklerhandbuch.

Verschlüsselungskontext

Um eine zusätzliche Integritäts- und Authentizitätsprüfung Ihrer verschlüsselten Daten durchzuführen, haben Sie die Möglichkeit, beim Verschlüsseln der Daten einen Verschlüsselungskontext einzubeziehen. Wenn eine Ressource mit einem Verschlüsselungskontext verschlüsselt ist, AWS KMS Bindet den Kontext kryptografisch an den Chiffretext. Die Ressource kann nur entschlüsselt werden, wenn der Anforderer eine exakte Übereinstimmung mit dem Kontext unter Berücksichtigung der Groß- und Kleinschreibung angibt.

Die Richtlinienbeispiele in diesem Abschnitt verwenden einen Verschlüsselungskontext, der dem Amazon-Ressourcennamen (ARN) einer Image Builder Builder-Workflow-Ressource ähnelt.

Verschlüsseln Sie Image-Workflows mit einem vom Kunden verwalteten Schlüssel

Um eine zusätzliche Schutzebene hinzuzufügen, können Sie Ihre Image Builder Builder-Workflow-Ressourcen mit Ihrem eigenen, vom Kunden verwalteten Schlüssel verschlüsseln. Wenn Sie Ihren vom Kunden verwalteten Schlüssel zum Verschlüsseln der von Ihnen erstellten Image Builder-Workflows verwenden, müssen Sie in der Schlüsselrichtlinie Zugriff gewähren, damit Image Builder Ihren Schlüssel beim Verschlüsseln und Entschlüsseln von Workflow-Ressourcen verwenden kann. Sie können den Zugriff jederzeit widerrufen. Image Builder hat jedoch keinen Zugriff auf Workflows, die bereits verschlüsselt sind, wenn Sie den Zugriff auf den Schlüssel widerrufen.

Das Verfahren, um Image Builder Zugriff auf die Verwendung Ihres vom Kunden verwalteten Schlüssels zu gewähren, besteht aus zwei Schritten:

Schritt 1: Wichtige Richtlinienberechtigungen für Image Builder Builder-Workflows hinzufügen

Damit Image Builder Workflow-Ressourcen bei der Erstellung oder Verwendung dieser Workflows ver- und entschlüsseln kann, müssen Sie in der KMS Schlüsselrichtlinie Berechtigungen angeben.

Diese Beispielschlüsselrichtlinie gewährt Image Builder Builder-Pipelines Zugriff, um Workflow-Ressourcen während des Erstellungsprozesses zu verschlüsseln und Workflow-Ressourcen zu entschlüsseln, um sie zu verwenden. Die Richtlinie gewährt auch Schlüsseladministratoren Zugriff. Der Verschlüsselungskontext und die Ressourcenspezifikation verwenden einen Platzhalter, um alle Regionen abzudecken, in denen Sie über Workflow-Ressourcen verfügen.

Als Voraussetzung für die Verwendung von Image-Workflows haben Sie eine IAM Workflow-Ausführungsrolle erstellt, die Image Builder die Erlaubnis erteilt, Workflow-Aktionen auszuführen. Der Prinzipal für die erste Anweisung, der hier im Beispiel für eine wichtige Richtlinie gezeigt wird, muss Ihre IAM Workflow-Ausführungsrolle angeben.

Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel in der AWS Key Management Service Leitfaden für Entwickler.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Allow access to build images with encrypted workflow",
			"Effect": "Allow",
			"Principal": {
				"AWS": "arn:aws:iam::111122223333:role/YourImageBuilderExecutionRole"
			},
			"Action": [
				"kms:Decrypt",
				"kms:GenerateDataKey"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
				}
			}
		},
		{
			"Sid": "Allow access for key administrators",
			"Effect": "Allow",
			"Principal": {
				"AWS": "arn:aws:iam::111122223333:root"
			},
			"Action": [
				"kms:*"
			],
			"Resource": "arn:aws:kms:*:111122223333:key/"
		}
	]
}
Schritt 2: Gewähren Sie Schlüsselzugriff auf Ihre Workflow-Ausführungsrolle

Die IAM Rolle, die Image Builder zur Ausführung Ihrer Workflows übernimmt, benötigt die Erlaubnis, Ihren vom Kunden verwalteten Schlüssel zu verwenden. Ohne Zugriff auf Ihren Schlüssel kann Image Builder Ihre Workflow-Ressourcen nicht damit ver- oder entschlüsseln.

Bearbeiten Sie die Richtlinie für Ihre Workflow-Ausführungsrolle, um die folgende Richtlinienerklärung hinzuzufügen.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Allow access to the workflow key",
			"Effect": "Allow",
			"Action": [
				"kms:Decrypt",
				"kms:GenerateDataKey"
			],
			"Resource": "arn:aws:kms:us-west-2:111122223333:key/key_ID",
			"Condition": {
				"StringLike": {
					"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
				}
			}
		}
	]
}

AWS CloudTrail Ereignisse für Image-Workflows

Die folgenden Beispiele zeigen typische AWS CloudTrail Einträge zum Verschlüsseln und Entschlüsseln von Image-Workflows, die mit einem vom Kunden verwalteten Schlüssel gespeichert werden.

Beispiel: GenerateDataKey

Dieses Beispiel zeigt, wie ein CloudTrail Ereignis aussehen könnte, wenn Image Builder den AWS KMS GenerateDataKeyAPIAktion aus der Image Builder CreateWorkflow API Builder-Aktion. Image Builder muss einen neuen Workflow verschlüsseln, bevor die Workflow-Ressource erstellt wird.

{
	"eventVersion": "1.08",
	"userIdentity": {
		"type": "AssumedRole",
		"principalId": "PRINCIPALID1234567890:workflow-role-name",
		"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
		"accountId": "111122223333",
		"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
		"sessionContext": {
			"sessionIssuer": {
				"type": "Role",
				"principalId": "PRINCIPALID1234567890",
				"arn": "arn:aws:iam::111122223333:role/Admin",
				"accountId": "111122223333",
				"userName": "Admin"
			},
			"webIdFederationData": {},
			"attributes": {
				"creationDate": "2023-11-21T20:29:31Z",
				"mfaAuthenticated": "false"
			}
		},
		"invokedBy": "imagebuilder.amazonaws.com"
	},
	"eventTime": "2023-11-21T20:31:03Z",
	"eventSource": "kms.amazonaws.com",
	"eventName": "GenerateDataKey",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "imagebuilder.amazonaws.com",
	"userAgent": "imagebuilder.amazonaws.com",
	"requestParameters": {
		"encryptionContext": {
			"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
			"aws-crypto-public-key": "key value"
		},
		"keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleKMSKey",
		"numberOfBytes": 32
	},
	"responseElements": null,
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"readOnly": true,
	"resources": [
		{
			"accountId": "111122223333",
			"type": "AWS::KMS::Key",
			"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
		}
	],
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"eventCategory": "Management"
}
Beispiel: Entschlüsseln

Dieses Beispiel zeigt, wie ein CloudTrail Ereignis aussehen könnte, wenn Image Builder den AWS KMS DecryptAPIAktion aus der Image Builder GetWorkflow API Builder-Aktion. Image Builder Builder-Pipelines müssen eine Workflow-Ressource entschlüsseln, bevor sie sie verwenden können.

{
	"eventVersion": "1.08",
	"userIdentity": {
		"type": "AssumedRole",
		"principalId": "PRINCIPALID1234567890:workflow-role-name",
		"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
		"accountId": "111122223333",
		"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
		"sessionContext": {
			"sessionIssuer": {
				"type": "Role",
				"principalId": "PRINCIPALID1234567890",
				"arn": "arn:aws:iam::111122223333:role/Admin",
				"accountId": "111122223333",
				"userName": "Admin"
			},
			"webIdFederationData": {},
			"attributes": {
				"creationDate": "2023-11-21T20:29:31Z",
				"mfaAuthenticated": "false"
			}
		},
		"invokedBy": "imagebuilder.amazonaws.com"
	},
	"eventTime": "2023-11-21T20:34:25Z",
	"eventSource": "kms.amazonaws.com",
	"eventName": "Decrypt",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "imagebuilder.amazonaws.com",
	"userAgent": "imagebuilder.amazonaws.com",
	"requestParameters": {
		"keyId": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz",
		"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
		"encryptionContext": {
			"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
			"aws-crypto-public-key": "ABC123def4567890abc12345678/90dE/F123abcDEF+4567890abc123D+ef1=="
		}
	},
	"responseElements": null,
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
	"readOnly": true,
	"resources": [
		{
			"accountId": "111122223333",
			"type": "AWS::KMS::Key",
			"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
		}
	],
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"eventCategory": "Management"
}

Datenspeicherung in Image Builder

Image Builder speichert keine Ihrer Protokolle im Service. Alle Protokolle werden auf Ihrer EC2 Amazon-Instance gespeichert, die zum Erstellen des Images verwendet wird, oder in Ihren Systems Manager Manager-Automatisierungsprotokollen.

Datenschutz bei netzwerkinternem Datenverkehr in Image Builder

Verbindungen zwischen Image Builder und lokalen Standorten sind gesichert, zwischen AZs innerhalb eines AWS Region und zwischen AWS Regionen bisHTTPS. Es gibt keine direkten Verbindungen zwischen Konten.