Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung auf Amazon MWAA
In den folgenden Themen wird beschrieben, wie Amazon MWAA Ihre Daten im Speicher und bei der Übertragung schützt. Anhand dieser Informationen erfahren Sie, wie Amazon MWAA integriert ist, AWS KMS um Daten im Ruhezustand zu verschlüsseln und wie Daten bei der Übertragung mit dem Transport Layer Security (TLS) -Protokoll verschlüsselt werden.
Verschlüsselung im Ruhezustand
Bei Amazon MWAA handelt es sich bei Daten im Ruhezustand um Daten, die der Service auf persistenten Medien speichert.
Sie können einen AWS eigenen Schlüssel für die Verschlüsselung von Daten im Ruhezustand verwenden oder optional einen vom Kunden verwalteten Schlüssel für zusätzliche Verschlüsselung bereitstellen, wenn Sie eine Umgebung erstellen. Wenn Sie sich für die Verwendung eines vom Kunden verwalteten KMS-Schlüssels entscheiden, muss sich dieser in demselben Konto befinden wie die anderen AWS Ressourcen und Dienste, die Sie in Ihrer Umgebung verwenden.
Um einen vom Kunden verwalteten KMS-Schlüssel zu verwenden, müssen Sie die erforderliche Richtlinienerklärung für den CloudWatch Zugriff auf Ihre Schlüsselrichtlinie beifügen. Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel für Ihre Umgebung verwenden, fügt Amazon MWAA in Ihrem Namen vier Zuschüsse hinzu. Weitere Informationen zu den Zuschüssen, die Amazon MWAA einem vom Kunden verwalteten KMS-Schlüssel zuweist, finden Sie unter Vom Kunden verwaltete Schlüssel für die Datenverschlüsselung.
Wenn Sie keinen vom Kunden verwalteten KMS-Schlüssel angeben, verwendet Amazon MWAA standardmäßig einen AWS eigenen KMS-Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Daten. Wir empfehlen die Verwendung eines AWS eigenen KMS-Schlüssels zur Verwaltung der Datenverschlüsselung auf Amazon MWAA.
Anmerkung
Sie zahlen für die Speicherung und Nutzung von AWS eigenen oder vom Kunden verwalteten KMS-Schlüsseln auf Amazon MWAA. Weitere Informationen finden Sie unter AWS KMS -Preisgestaltung
Verschlüsselungsartefakte
Sie geben die Verschlüsselungsartefakte an, die für die Verschlüsselung im Ruhezustand verwendet werden, indem Sie bei der Erstellung Ihrer Amazon MWAA-Umgebung einen AWS eigenen Schlüssel oder einen vom Kunden verwalteten Schlüssel angeben. Amazon MWAA fügt die benötigten Zuschüsse zu Ihrem angegebenen Schlüssel hinzu.
Amazon S3 — Amazon S3 S3-Daten werden auf Objektebene mit serverseitiger Verschlüsselung (SSE) verschlüsselt. Die Amazon S3 S3-Verschlüsselung und Entschlüsselung erfolgt im Amazon S3 S3-Bucket, in dem Ihr DAG-Code und die unterstützenden Dateien gespeichert sind. Objekte werden verschlüsselt, wenn sie auf Amazon S3 hochgeladen werden, und entschlüsselt, wenn sie in Ihre Amazon MWAA-Umgebung heruntergeladen werden. Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel verwenden, verwendet Amazon MWAA ihn standardmäßig zum Lesen und Entschlüsseln der Daten in Ihrem Amazon S3 S3-Bucket.
CloudWatch Protokolle — Wenn Sie einen AWS eigenen KMS-Schlüssel verwenden, werden die an Logs gesendeten Apache Airflow-Protokolle mit serverseitiger Verschlüsselung (SSE) mit dem eigenen KMS-Schlüssel von CloudWatch Logs verschlüsselt. CloudWatch AWS Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel verwenden, müssen Sie Ihrem KMS-Schlüssel eine Schlüsselrichtlinie hinzufügen, damit CloudWatch Logs Ihren Schlüssel verwenden kann.
Amazon SQS — Amazon MWAA erstellt eine Amazon SQS SQS-Warteschlange für Ihre Umgebung. Amazon MWAA verarbeitet die Verschlüsselung von Daten, die an und aus der Warteschlange übergeben werden, mit serverseitiger Verschlüsselung (SSE) entweder mit einem AWS eigenen KMS-Schlüssel oder einem von Ihnen angegebenen, vom Kunden verwalteten KMS-Schlüssel. Sie müssen Ihrer Ausführungsrolle Amazon SQS SQS-Berechtigungen hinzufügen, unabhängig davon, ob Sie einen AWS eigenen oder einen vom Kunden verwalteten KMS-Schlüssel verwenden.
Aurora PostgreSQL — Amazon MWAA erstellt einen PostgreSQL-Cluster für Ihre Umgebung. Aurora PostgreSQL verschlüsselt den Inhalt entweder mit einem AWS eigenen oder einem vom Kunden verwalteten KMS-Schlüssel mithilfe serverseitiger Verschlüsselung (SSE). Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel verwenden, fügt Amazon RDS dem Schlüssel mindestens zwei Grants hinzu: eine für den Cluster und eine für die Datenbank-Instance. Amazon RDS kann zusätzliche Zuschüsse gewähren, wenn Sie Ihren vom Kunden verwalteten KMS-Schlüssel in mehreren Umgebungen verwenden möchten. Weitere Informationen finden Sie unter Datenschutz in Amazon RDS.
Verschlüsselung während der Übertragung
Daten, die übertragen werden, werden als Daten bezeichnet, die bei der Übertragung im Netzwerk abgefangen werden können.
Transport Layer Security (TLS) verschlüsselt die Amazon MWAA-Objekte, die zwischen den Apache Airflow-Komponenten Ihrer Umgebung und anderen in Amazon MWAA integrierten AWS Diensten wie Amazon S3 übertragen werden. Weitere Informationen zur Amazon S3 S3-Verschlüsselung finden Sie unter Schutz von Daten durch Verschlüsselung.
