Verschlüsselungsoptionen für S3-Objekte Erlaubt Macie, einen vom Kunden verwalteten Dienst zu verwenden AWS KMS key

Analysieren verschlüsselter Amazon S3 S3-Objekte mit Amazon Macie

Wenn Sie Amazon Macie für Sie aktivieren AWS-Konto, erstellt Macie eine servicebezogene Rolle, die Macie die erforderlichen Berechtigungen erteilt, um Amazon Simple Storage Service (Amazon S3) und andere AWS-Services in Ihrem Namen aufzurufen. Eine dienstbezogene Rolle vereinfacht den Prozess der Einrichtung einer, AWS-Service da Sie nicht manuell Berechtigungen hinzufügen müssen, damit der Service Aktionen in Ihrem Namen ausführen kann. Weitere Informationen zu dieser Art von Rolle finden Sie unter Verwenden von dienstbezogenen Rollen im AWS Identity and Access Management Benutzerhandbuch.

Die Berechtigungsrichtlinie für die serviceverknüpfte Macie-Rolle (AWSServiceRoleForAmazonMacie) ermöglicht es Macie, Aktionen auszuführen, zu denen das Abrufen von Informationen über Ihre S3-Buckets und Objekte sowie das Abrufen und Analysieren von Objekten in Ihren S3-Buckets gehören. Wenn es sich bei Ihrem Konto um das Macie-Administratorkonto für eine Organisation handelt, ermöglicht die Richtlinie Macie auch, diese Aktionen in Ihrem Namen für Mitgliedskonten in Ihrer Organisation durchzuführen.

Wenn ein S3-Objekt verschlüsselt ist, gewährt die Berechtigungsrichtlinie für die mit dem Macie-Dienst verknüpfte Rolle Macie in der Regel die Berechtigungen, die für die Entschlüsselung des Objekts erforderlich sind. Dies hängt jedoch von der Art der verwendeten Verschlüsselung ab. Es kann auch davon abhängen, ob Macie den entsprechenden Verschlüsselungsschlüssel verwenden darf.

Themen

Verschlüsselungsoptionen für S3-Objekte
Erlaubt Macie, einen vom Kunden verwalteten Dienst zu verwenden AWS KMS key

Verschlüsselungsoptionen für Amazon S3 S3-Objekte

Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Bei den meisten dieser Optionen kann Amazon Macie ein Objekt mithilfe der mit dem Macie-Service verknüpften Rolle für Ihr Konto entschlüsseln. Dies hängt jedoch von der Art der Verschlüsselung ab, die zum Verschlüsseln eines Objekts verwendet wurde.

Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

Wenn ein Objekt serverseitig mit einem von Amazon S3 verwalteten Schlüssel (SSE-S3) verschlüsselt wird, kann Macie das Objekt entschlüsseln.

Weitere Informationen zu dieser Art der Verschlüsselung finden Sie unter Verwenden der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln im Amazon Simple Storage Service-Benutzerhandbuch.

Serverseitige Verschlüsselung mit AWS KMS keys (DSSE-KMS und SSE-KMS)

Wenn ein Objekt mithilfe einer zweischichtigen serverseitigen Verschlüsselung oder serverseitigen Verschlüsselung mit einer AWS verwalteten Verschlüsselung AWS KMS key (DSSE-KMS oder SSE-KMS) verschlüsselt wird, kann Macie das Objekt entschlüsseln.

Wenn ein Objekt mit zweischichtiger serverseitiger Verschlüsselung oder serverseitiger Verschlüsselung mit einem vom Kunden verwalteten AWS KMS key (DSSE-KMS oder SSE-KMS) verschlüsselt wird, kann Macie das Objekt nur entschlüsseln, wenn Sie Macie die Verwendung des Schlüssels gestatten. Dies ist der Fall bei Objekten, die mit vollständig innerhalb verwalteten KMS-Schlüsseln und KMS-Schlüsseln in einem externen Schlüsselspeicher verschlüsselt sind. AWS KMS Wenn Macie den entsprechenden KMS-Schlüssel nicht verwenden darf, kann Macie nur Metadaten für das Objekt speichern und melden.

Weitere Informationen zu diesen Verschlüsselungsarten finden Sie unter Verwenden der dualen serverseitigen Verschlüsselung mit AWS KMS keys und Verwenden der serverseitigen Verschlüsselung mit AWS KMS keys im Amazon Simple Storage Service-Benutzerhandbuch.

Tipp

Sie können automatisch eine Liste aller vom Kunden verwalteten Dateien erstellen, auf AWS KMS keys die Macie zugreifen muss, um Objekte in S3-Buckets für Ihr Konto zu analysieren. Führen Sie dazu das AWS KMS Permission Analyzer-Skript aus, das im Amazon Macie Scripts-Repository verfügbar GitHub ist. Das Skript kann auch ein zusätzliches Skript mit AWS Command Line Interface (AWS CLI) -Befehlen generieren. Sie können diese Befehle optional ausführen, um die erforderlichen Konfigurationseinstellungen und Richtlinien für die von Ihnen angegebenen KMS-Schlüssel zu aktualisieren.

Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

Wenn ein Objekt serverseitig mit einem vom Kunden bereitgestellten Schlüssel (SSE-C) verschlüsselt wird, kann Macie das Objekt nicht entschlüsseln. Macie kann nur Metadaten für das Objekt speichern und melden.

Weitere Informationen zu dieser Art der Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln verwenden im Amazon Simple Storage Service-Benutzerhandbuch.

Clientseitige Verschlüsselung

Wenn ein Objekt mit clientseitiger Verschlüsselung verschlüsselt ist, kann Macie das Objekt nicht entschlüsseln. Macie kann nur Metadaten für das Objekt speichern und melden. Macie kann beispielsweise die Größe des Objekts und die mit dem Objekt verknüpften Tags melden.

Weitere Informationen zu dieser Art der Verschlüsselung im Kontext von Amazon S3 finden Sie unter Schützen von Daten durch clientseitige Verschlüsselung im Amazon Simple Storage Service-Benutzerhandbuch.

Sie können Ihr Bucket-Inventar in Macie filtern, um festzustellen, in welchen S3-Buckets Objekte gespeichert sind, die bestimmte Verschlüsselungsarten verwenden. Sie können auch festlegen, welche Buckets beim Speichern neuer Objekte standardmäßig bestimmte Arten der serverseitigen Verschlüsselung verwenden. Die folgende Tabelle enthält Beispiele für Filter, die Sie auf Ihr Bucket-Inventar anwenden können, um diese Informationen zu finden.

Um Buckets anzuzeigen, die...	Diesen Filter anwenden...
Objekte speichern, die SSE-C-Verschlüsselung verwenden	Die Anzahl der Objekte bei Verschlüsselung wird vom Kunden angegeben und von = 1
Speichern Sie Objekte, die DSSE-KMS- oder SSE-KMS-Verschlüsselung verwenden	*Die Anzahl der Objekte durch Verschlüsselung wird AWS KMS verwaltet und From = 1*
Speichern Sie Objekte, die SSE-S3-Verschlüsselung verwenden	Die Anzahl der Objekte durch Verschlüsselung wird von Amazon S3 verwaltet und Von = 1
Speichern Sie Objekte, die clientseitige Verschlüsselung verwenden (oder nicht verschlüsselt sind)	Die Anzahl der Objekte bei Verschlüsselung* ist „Keine Verschlüsselung“ und „Von“ = 1*
Verschlüsseln Sie neue Objekte standardmäßig mit der DSSE-KMS-Verschlüsselung	Standardverschlüsselung = aws:kms:dsse
Verschlüsseln Sie neue Objekte standardmäßig mit der SSE-KMS-Verschlüsselung	Standardverschlüsselung = aws:kms
Verschlüsseln Sie neue Objekte standardmäßig mit der SSE-S3-Verschlüsselung	Standardverschlüsselung = AES256

Wenn ein Bucket so konfiguriert ist, dass neue Objekte standardmäßig mit DSSE-KMS- oder SSE-KMS-Verschlüsselung verschlüsselt werden, können Sie auch bestimmen, welches verwendet wird. AWS KMS key Wählen Sie dazu den Bucket auf der Seite S3-Buckets aus. Verweisen Sie im Bereich mit den Bucket-Details unter Serverseitige Verschlüsselung auf das AWS KMS keyFeld. Dieses Feld zeigt den Amazon-Ressourcennamen (ARN) oder die eindeutige Kennung (Schlüssel-ID) für den Schlüssel.

Amazon Macie die Nutzung eines vom Kunden verwalteten AWS KMS key

Wenn ein Amazon S3 S3-Objekt mit zweischichtiger serverseitiger Verschlüsselung oder serverseitiger Verschlüsselung mit einem vom Kunden verwalteten AWS KMS key (DSSE-KMS oder SSE-KMS) verschlüsselt wird, kann Amazon Macie das Objekt nur entschlüsseln, wenn es den Schlüssel verwenden darf. Wie dieser Zugriff gewährt wird, hängt davon ab, ob das Konto, dem der Schlüssel gehört, auch den S3-Bucket besitzt, in dem das Objekt gespeichert ist:

Wenn der Bucket AWS KMS key und der Bucket demselben Konto gehören, muss ein Benutzer des Kontos die Richtlinie des Schlüssels aktualisieren.
Wenn ein Konto den Bucket besitzt AWS KMS key und ein anderes Konto den Bucket besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontoübergreifenden Zugriff auf den Schlüssel gewähren.

In diesem Thema wird beschrieben, wie diese Aufgaben ausgeführt werden, und es werden Beispiele für beide Szenarien bereitgestellt. Weitere Informationen zur Gewährung des Zugriffs auf vom Kunden verwaltete AWS KMS keys Dateien finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Erlauben des Zugriffs auf einen vom Kunden verwalteten Schlüssel für dasselbe Konto

Wenn dasselbe Konto AWS KMS key sowohl den S3-Bucket als auch den S3-Bucket besitzt, muss ein Benutzer des Kontos der Richtlinie für den Schlüssel eine Erklärung hinzufügen. Die zusätzliche Anweisung muss es der mit dem Macie-Dienst verknüpften Rolle für das Konto ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln. Ausführliche Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

In der Erklärung:

Das Principal Element muss den Amazon-Ressourcennamen (ARN) der mit dem Macie-Service verknüpften Rolle für das Konto angeben, dem der AWS KMS key und der S3-Bucket gehört.

Wenn es sich bei dem Konto um ein Opt-In handelt AWS-Region, muss der ARN auch den entsprechenden Regionalcode für die Region enthalten. Wenn sich das Konto beispielsweise in der Region Naher Osten (Bahrain) befindet, die den Regionalcode me-south-1 hat, muss das Principal Element angebenarn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie, wobei 123456789012 die Konto-ID für das Konto ist. Eine Liste der Regionscodes für die Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz
Das Action Array muss die Aktion spezifizieren. kms:Decrypt Dies ist die einzige AWS KMS Aktion, die Macie ausführen darf, um ein mit dem Schlüssel verschlüsseltes S3-Objekt zu entschlüsseln.

Das Folgende ist ein Beispiel für die Anweisung, die der Richtlinie für eine hinzugefügt werden soll. AWS KMS key


{
    "Sid": "Allow the Macie service-linked role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Für das obige Beispiel gilt:

Das AWS Feld im Principal Element gibt den ARN der mit dem Macie-Dienst verknüpften Rolle (AWSServiceRoleForAmazonMacie) für das Konto an. Es ermöglicht der mit dem Macie-Dienst verknüpften Rolle, die in der Richtlinienerklärung angegebene Aktion auszuführen. 123456789012 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto, dem der KMS-Schlüssel und der S3-Bucket gehören.
Das Action Array gibt die Aktion an, die die mit dem Macie-Dienst verknüpfte Rolle mithilfe des KMS-Schlüssels ausführen darf, d. h. den mit dem Schlüssel verschlüsselten Chiffretext entschlüsseln.

Wo Sie diese Anweisung zu einer wichtigen Richtlinie hinzufügen, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn Sie die Anweisung hinzufügen, stellen Sie sicher, dass die Syntax gültig ist. Wichtige Richtlinien verwenden das JSON-Format. Das bedeutet, dass Sie vor oder nach der Anweisung auch ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen.

Ermöglicht den kontoübergreifenden Zugriff auf einen vom Kunden verwalteten Schlüssel

Wenn ein Konto den AWS KMS key (Schlüsselbesitzer) besitzt und ein anderes Konto den S3-Bucket (Bucket-Besitzer) besitzt, muss der Schlüsselbesitzer dem Bucket-Besitzer kontoübergreifenden Zugriff auf den KMS-Schlüssel gewähren. Zu diesem Zweck stellt der Schlüsselinhaber zunächst sicher, dass die Richtlinie des Schlüssels es dem Bucket-Besitzer ermöglicht, sowohl den Schlüssel zu verwenden als auch eine Genehmigung für den Schlüssel zu gewähren. Der Bucket-Besitzer erstellt dann einen Grant für den Schlüssel. Ein Grant ist ein politisches Instrument, das es AWS Prinzipalen ermöglicht, KMS-Schlüssel für kryptografische Operationen zu verwenden, sofern die im Grant festgelegten Bedingungen erfüllt sind. In diesem Fall delegiert die Gewährung die entsprechenden Berechtigungen an die mit dem Macie-Dienst verknüpfte Rolle für das Konto des Bucket-Besitzers.

Ausführliche Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zu Zuschüssen finden Sie unter Zuschüsse AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Schritt 1: Aktualisieren Sie die wichtigsten Richtlinien

In der Schlüsselrichtlinie sollte der Schlüsselinhaber sicherstellen, dass die Richtlinie zwei Aussagen enthält:

Die erste Anweisung ermöglicht es dem Bucket-Besitzer, den Schlüssel zum Entschlüsseln von Daten zu verwenden.
Die zweite Anweisung ermöglicht es dem Bucket-Besitzer, für sein Konto (das Konto des Bucket-Besitzers) einen Grant für die mit dem Macie-Dienst verknüpfte Rolle zu erstellen.

In der ersten Anweisung muss das Principal Element den ARN des Kontos des Bucket-Besitzers angeben. Das Action Array muss die kms:Decrypt Aktion spezifizieren. Dies ist die einzige AWS KMS Aktion, die Macie ausführen darf, um ein Objekt zu entschlüsseln, das mit dem Schlüssel verschlüsselt wurde. Im Folgenden finden Sie ein Beispiel für diese Aussage in der Richtlinie für eine. AWS KMS key


{
    "Sid": "Allow account 111122223333 to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Für das obige Beispiel gilt:

Das AWS Feld im Principal Element gibt den ARN des Kontos des Bucket-Besitzers an (111122223333). Es ermöglicht dem Bucket-Besitzer, die in der Richtlinienanweisung angegebene Aktion auszuführen. 111122223333 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Bucket-Besitzers.
Das Action Array gibt die Aktion an, die der Bucket-Besitzer mithilfe des KMS-Schlüssels ausführen darf, d. h. den mit dem Schlüssel verschlüsselten Chiffretext entschlüsseln.

Die zweite Anweisung in der Schlüsselrichtlinie ermöglicht es dem Bucket-Besitzer, einen Zuschuss für die mit dem Macie-Dienst verknüpfte Rolle für sein Konto zu erstellen. In dieser Anweisung muss das Principal Element den ARN des Kontos des Bucket-Besitzers angeben. Das Action Array muss die kms:CreateGrant Aktion spezifizieren. Ein Condition Element kann den Zugriff auf die in der Anweisung angegebene kms:CreateGrant Aktion filtern. Im Folgenden finden Sie ein Beispiel für diese Anweisung in der Richtlinie für eine AWS KMS key.


{
    "Sid": "Allow account 111122223333 to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
        }
    }
}

Für das obige Beispiel gilt:

Das AWS Feld im Principal Element gibt den ARN des Kontos des Bucket-Besitzers an (111122223333). Es ermöglicht dem Bucket-Besitzer, die in der Richtlinienanweisung angegebene Aktion auszuführen. 111122223333 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Bucket-Besitzers.
Das Action Array gibt die Aktion an, die der Bucket-Besitzer mit dem KMS-Schlüssel ausführen darf — eine Zuteilung für den Schlüssel erstellen.
Das Condition Element verwendet den StringEquals Bedingungsoperator und den kms:GranteePrincipal Bedingungsschlüssel, um den Zugriff auf die in der Richtlinienanweisung angegebene Aktion zu filtern. In diesem Fall kann der Bucket-Besitzer einen Grant nur für das angegebene GranteePrincipal Konto erstellen. Dabei handelt es sich um den ARN der mit dem Macie-Dienst verknüpften Rolle für sein Konto. In diesem ARN ist 111122223333 ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Bucket-Besitzers.

Wenn sich das Konto des Bucket-Besitzers in einem Opt-In befindet AWS-Region, geben Sie auch den entsprechenden Regionalcode in den ARN der mit dem Macie-Dienst verknüpften Rolle ein. Wenn sich das Konto beispielsweise in der Region Naher Osten (Bahrain) befindet, die den Regionalcode me-south-1 hat, macie.amazonaws.com ersetzen Sie es macie.me-south-1.amazonaws.com im ARN durch. Eine Liste der Regionscodes für die Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz

Wo der Haupteigentümer diese Aussagen zur wichtigsten Richtlinie hinzufügt, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn der Schlüsselinhaber die Anweisungen hinzufügt, sollte er sicherstellen, dass die Syntax gültig ist. Wichtige Richtlinien verwenden das JSON-Format. Das bedeutet, dass der Schlüsselinhaber vor oder nach jeder Anweisung auch ein Komma hinzufügen muss, je nachdem, wo er die Anweisung zur Richtlinie hinzufügt.

Schritt 2: Erstellen Sie einen Zuschuss

Nachdem der Schlüsselinhaber die Schlüsselrichtlinie bei Bedarf aktualisiert hat, muss der Bucket-Besitzer eine Grant für den Schlüssel erstellen. Durch die Gewährung werden die entsprechenden Berechtigungen an die mit dem Macie-Dienst verknüpfte Rolle für ihr Konto (das Konto des Bucket-Besitzers) delegiert. Bevor der Bucket-Besitzer den Grant erstellt, sollte er überprüfen, ob er die kms:CreateGrant Aktion für sein Konto ausführen darf. Diese Aktion ermöglicht es ihm, einem bestehenden, vom Kunden verwalteten Betrag einen Zuschuss hinzuzufügen AWS KMS key.

Um den Zuschuss zu erstellen, kann der Bucket-Besitzer den CreateGrantBetrieb der AWS Key Management Service API verwenden. Wenn der Bucket-Besitzer den Grant erstellt, sollte er die folgenden Werte für die erforderlichen Parameter angeben:

KeyId— Der ARN des KMS-Schlüssels. Für den kontoübergreifenden Zugriff auf einen KMS-Schlüssel muss es sich bei diesem Wert um einen ARN handeln. Es kann keine Schlüssel-ID sein.
GranteePrincipal— Der ARN der mit dem Macie-Dienst verknüpften Rolle (AWSServiceRoleForAmazonMacie) für ihr Konto. Dieser Wert sollte lautenarn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie, wobei 111122223333 die Konto-ID für das Konto des Bucket-Besitzers ist.

Wenn sich ihr Konto in einer Opt-in-Region befindet, muss der ARN den entsprechenden Regionalcode enthalten. Wenn sich ihr Konto beispielsweise in der Region Naher Osten (Bahrain) befindet, die den Regionalcode me-south-1 hat, sollte der ARN lautenarn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie, wobei 111122223333 die Konto-ID für das Konto des Bucket-Besitzers ist.
Operations— Die Entschlüsselungsaktion (). AWS KMS Decrypt Dies ist die einzige AWS KMS Aktion, die Macie ausführen darf, um ein Objekt zu entschlüsseln, das mit dem KMS-Schlüssel verschlüsselt ist.

Führen Sie den Befehl create-grant aus, um mithilfe von AWS Command Line Interface (AWS CLI) einen Zuschuss für einen vom Kunden verwalteten KMS-Schlüssel zu erstellen. Im folgenden Beispiel wird gezeigt, wie dies geschieht. Das Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.


C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"

Wobei gilt:

key-idgibt den ARN des KMS-Schlüssels an, auf den der Zuschuss angewendet werden soll.
grantee-principalgibt den ARN der mit dem Macie-Dienst verknüpften Rolle für das Konto an, das die im Grant angegebene Aktion ausführen darf. Dieser Wert sollte dem ARN entsprechen, der in der kms:GranteePrincipal Bedingung der zweiten Anweisung in der Schlüsselrichtlinie angegeben ist.
operationsgibt die Aktion an, die der angegebene Prinzipal aufgrund des Grants ausführen kann: Entschlüsseln von Chiffretext, der mit dem KMS-Schlüssel verschlüsselt wurde.

Wird der Befehl erfolgreich ausgeführt, erhalten Sie eine Ausgabe ähnlich der folgenden:


{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Dabei GrantToken handelt es sich um eine eindeutige, nicht geheime, Base64-kodierte Zeichenfolge mit variabler Länge, die den Grant darstellt, der erstellt wurde, und der eindeutige Bezeichner für den Grant ist. GrantId

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Für Jobs empfohlene Identifikatoren verwalteter Daten

Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten