Datenschutz in AWS HealthOmics - AWS HealthOmics
Verschlüsselung im RuhezustandVerschlüsselung während der Übertragung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AWS HealthOmics

Das AWS Modell der gilt für den Datenschutz in AWS HealthOmics. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS -Modell der geteilten Verantwortung und in der DSGVO im AWS -Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS HealthOmics oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Verschlüsselung im Ruhezustand

Zum Schutz vertraulicher Kundendaten im Speicher wird standardmäßig eine Verschlüsselung mit einem serviceeigenen AWS Key Management Service (AWS KMS) -Schlüssel bereitgestellt. AWS HealthOmics Kundenverwaltete Schlüssel werden ebenfalls unterstützt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Amazon Key Management Service.

Alle HealthOmics Datenspeicher (Storage und Analytics) unterstützen die Verwendung von kundenverwalteten Schlüsseln. Die Verschlüsselungskonfiguration kann nicht geändert werden, nachdem ein Datenspeicher erstellt wurde. Wenn ein Datenspeicher einen verwendet AWS-eigener Schlüssel, wird er als gekennzeichnet, AWS_OWNED_KMS_KEY und der spezifische Schlüssel, der für die Verschlüsselung verwendet wird, wird im Ruhezustand nicht angezeigt.

Bei HealthOmics Workflows werden vom Kunden verwaltete Schlüssel vom temporären Dateisystem nicht unterstützt. Alle Daten im Ruhezustand werden jedoch automatisch mit dem Blockchiffrierverschlüsselungsalgorithmus XTS-AES-256 verschlüsselt, um das Dateisystem zu verschlüsseln. Der IAM-Benutzer und die Rolle, die zum Starten einer Workflow-Ausführung verwendet wurden, müssen auch Zugriff auf die Schlüssel haben, die für Workflow-Eingabe- und -Ausgabe-Buckets verwendet werden. AWS KMS Workflows verwenden keine Zuschüsse, und die AWS KMS Verschlüsselung ist auf Eingabe- und Ausgabe-Amazon S3-Buckets beschränkt. Die IAM-Rolle, die sowohl für den Workflow verwendet wird, APIs muss auch Zugriff auf die verwendeten AWS KMS Schlüssel sowie auf die Eingabe- und Ausgabe-Buckets von Amazon S3 haben. Sie können entweder IAM-Rollen und -Berechtigungen verwenden, um den Zugriff oder Richtlinien zu kontrollieren. AWS KMS Weitere Informationen finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS.

Wenn Sie HealthOmics Analytics verwenden AWS Lake Formation , werden alle Entschlüsselungsberechtigungen, die mit der Lake Formation verknüpft sind, auch für die Eingabe- und Ausgabe-Amazon S3-Buckets erteilt. Weitere Informationen zur AWS Lake Formation Verwaltung von Berechtigungen finden Sie in der AWS Lake Formation Dokumentation.

HealthOmics Analytics gewährt Lake Formation kms: Decrypt Berechtigungen zum Lesen der verschlüsselten Daten in einem Amazon S3 S3-Bucket. Solange Sie berechtigt sind, die Daten über Lake Formation abzufragen, können Sie die verschlüsselten Daten lesen. Der Zugriff auf die Daten wird durch die Datenzugriffskontrolle in Lake Formation gesteuert, nicht durch eine KMS-Schlüsselrichtlinie. Weitere Informationen finden Sie in den AWS integrierten AWS-Serviceanfragen in der Lake Formation Formation-Dokumentation.

AWS-eigene Schlüssel

Standardmäßig werden Daten im Ruhezustand automatisch verschlüsselt, da diese Daten vertrauliche Informationen wie personenbezogene Daten (PII) oder geschützte Gesundheitsinformationen (PHI) enthalten können. HealthOmics AWS-eigene Schlüssel AWS-eigene Schlüssel sind nicht in Ihrem Konto gespeichert. Sie sind Teil einer Sammlung von KMS-Schlüsseln, die AWS besitzt und verwaltet, um sie in mehreren AWS-Konten zu verwenden.

AWS-Services können AWS-eigene Schlüssel zum Schutz Ihrer Daten verwendet werden. Sie können ihre Verwendung nicht einsehen, verwalten AWS-eigene Schlüssel, darauf zugreifen oder sie überprüfen. Sie müssen jedoch keine Arbeit verrichten oder Programme ändern, um die Schlüssel zu schützen, mit denen Ihre Daten verschlüsselt werden.

Ihnen wird keine monatliche Gebühr oder Nutzungsgebühr für die Nutzung berechnet AWS-eigene Schlüssel, und sie werden auch nicht auf die AWS KMS KMS-Kontingente für Ihr Konto angerechnet. Weitere Informationen finden Sie unter Von AWS verwaltete Schlüssel.

Kundenverwaltete Schlüssel

HealthOmics unterstützt die Verwendung von symmetrischen, vom Kunden verwalteten Schlüsseln, die Sie erstellen, besitzen und verwalten, um eine zweite Verschlüsselungsebene gegenüber der bestehenden AWS-eigenen Verschlüsselung hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:

  • Einrichtung und Pflege wichtiger Richtlinien, IAM-Richtlinien und Zuschüsse

  • Kryptographisches Material mit rotierendem Schlüssel

  • Aktivieren und Deaktivieren wichtiger Richtlinien

  • Hinzufügen von Tags

  • Erstellen von Schlüsselaliasen

  • Schlüssel für das Löschen von Schlüsseln planen

Sie können es auch verwenden CloudTrail , um die Anfragen nachzuverfolgen, die in Ihrem Namen HealthOmics AWS KMS an gesendet werden. Es AWS KMS fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel.

Einen vom Kunden verwalteten Schlüssel erstellen

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS-Managementkonsole oder der AWS KMS APIs erstellen.

Folgen Sie den Schritten zur Erstellung symmetrischer kundenverwalteter Schlüssel im AWS Key Management Service Developer Guide.

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie einen vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel im AWS Key Management Service Developer Guide.

Um einen vom Kunden verwalteten Schlüssel mit Ihren HealthOmics Analytics-Ressourcen zu verwenden, benötigt der aufrufende Principal die CreateGrant Operationen kms: in der Schlüsselrichtlinie. Auf diese Weise kann das System mithilfe eines FAS-Tokens einen Zuschuss für einen vom Kunden verwalteten Schlüssel gewähren, der den Zugriff auf einen bestimmten KMS-Schlüssel steuert. Dieser Schlüssel gewährt einem Benutzer Zugriff auf die erforderlichen kms:grant-Operationen. HealthOmics Weitere Informationen finden Sie unter Grants verwenden.

Für HealthOmics Analysen müssen die folgenden API-Operationen für den aufrufenden Prinzipal zulässig sein:

  • kms: CreateGrant fügt einem bestimmten vom Kunden verwalteten Schlüssel Zuschüsse hinzu, wodurch der Zugriff auf Grant-Operationen in HealthOmics Analytics ermöglicht wird.

  • kms: DescribeKey stellt die vom Kunden verwalteten Schlüsseldetails bereit, die zur Validierung des Schlüssels erforderlich sind. Dies ist für alle Operationen erforderlich.

  • kms: GenerateDataKey bietet Zugriff auf die Verschlüsselung von Ressourcen im Ruhezustand für alle Schreibvorgänge. Außerdem stellt diese Aktion vom Kunden verwaltete Schlüsselinformationen bereit, anhand derer der Dienst überprüfen kann, ob der Anrufer Zugriff auf den Schlüssel hat.

  • kms:Decrypt bietet Zugriff auf Lese- oder Suchvorgänge für verschlüsselte Ressourcen.

Um einen vom Kunden verwalteten Schlüssel mit Ihren HealthOmics Speicherressourcen zu verwenden, müssen der HealthOmics Service Principal und der Calling Principal in der Schlüsselrichtlinie zugelassen sein. Auf diese Weise kann der Service überprüfen, ob der Anrufer Zugriff auf den Schlüssel hat, und den Service Principal verwenden, um die Geschäftsverwaltung mithilfe des vom Kunden verwalteten Schlüssels auszuführen. Für die HealthOmics Speicherung muss die Schlüsselrichtlinie für den Service Principal die folgenden API-Operationen zulassen:

  • kms: DescribeKey stellt die vom Kunden verwalteten Schlüsseldetails bereit, die zur Validierung des Schlüssels erforderlich sind. Dies ist für alle Operationen erforderlich.

  • kms: GenerateDataKey bietet Zugriff auf die Verschlüsselung von Ressourcen im Ruhezustand für alle Schreibvorgänge. Außerdem stellt diese Aktion vom Kunden verwaltete Schlüsselinformationen bereit, anhand derer der Dienst überprüfen kann, ob der Anrufer Zugriff auf den Schlüssel hat.

  • kms:Decrypt bietet Zugriff auf Lese- oder Suchvorgänge für verschlüsselte Ressourcen.

Das folgende Beispiel zeigt eine Richtlinienanweisung, die es einem Dienstprinzipal ermöglicht, eine HealthOmics Sequenz oder einen Referenzspeicher zu erstellen und mit diesem zu interagieren, der mit dem vom Kunden verwalteten Schlüssel verschlüsselt ist:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
{
    "Effect": "Allow",
    "Principal": {
        "Service": "omics.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*"
        }
    ]
}

Das folgende Beispiel zeigt eine Richtlinie, die Berechtigungen für einen Datenspeicher zum Entschlüsseln von Daten aus einem Amazon S3 S3-Bucket erstellt.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "omics:GetReference", 
                "omics:GetReferenceMetadata"
            ],
            "Resource": [
                "arn:AWS:omics:{{region}}:{{accountId}}:referenceStore/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:AWS:s3:::[[s3path]]/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:AWS:kms:{{region}}:{111122223333}:key/{{key_id}}"
            ],
            "Condition": {
              "StringEquals": {
                  "kms:ViaService": [
                    "s3.{{region}}.amazonAWS.com"
                  ]
              }
           }
        }
    ]
}

Erforderliche IAM-Berechtigungen für die Verwendung eines vom Kunden verwalteten Schlüssels

Beim Erstellen einer Ressource wie eines Datenspeichers mit AWS KMS Verschlüsselung mithilfe eines vom Kunden verwalteten Schlüssels sind Berechtigungen sowohl für die Schlüsselrichtlinie als auch für die IAM-Richtlinie für den IAM-Benutzer oder die IAM-Rolle erforderlich.

Sie können den ViaService Bedingungsschlüssel kms: verwenden, um die Verwendung des KMS-Schlüssels auf Anfragen zu beschränken, die von stammen. HealthOmics

Weitere Informationen zu wichtigen Richtlinien finden Sie unter Enabling IAM-Policies im AWS Key Management Service Developer Guide.

Analytics-API-Berechtigungen

Für HealthOmics Analysen muss der IAM-Benutzer oder die IAM-Rolle, die die Stores erstellt, über die Berechtigungen kms:CreateGrant, kms:GenerateDataKey, kms: Decrypt und die erforderlichen kms: DescribeKey HealthOmics Berechtigungen verfügen.

Speicher-API-Berechtigungen

Für die HealthOmics Speicherung APIs benötigt der IAM-Benutzer oder die IAM-Rolle, die die folgenden API-Operationen aufruft, die aufgeführten Berechtigungen:

CreateReferenceStore, CreateSequenceStore

Um einen Store zu erstellen, muss der IAM-Aufrufer über Berechtigungen und die kms:DescribeKey erforderlichen Berechtigungen verfügen. HealthOmics Der HealthOmics Dienstprinzipal ruft aufkms:GenerateDataKeyWithoutPlaintext, um Zugriffsprüfungen für das Laden und den Zugriff auf Daten durchzuführen.

StartReadSetImportJob, StartReferenceImportJob

Um Datenimportaufträge zu starten, muss kms:Decrypt der IAM-Aufrufer über kms:GenerateDataKey Berechtigungen für den KMS-Schlüssel im Store für den Import sowie über kms:Decrypt Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die zu importierenden Objekte enthält. Darüber hinaus muss die an den Aufruf übergebene Rolle über kms:Decrypt Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die zu importierenden Objekte enthält. Der IAM-Aufrufer muss außerdem über die Berechtigungen verfügen, um die Rolle an den Job weiterzugeben.

CreateMultipartReadSetUpload, UploadReadSetPart, CompleteMultipartReadSetUpload

Um einen mehrteiligen Upload abzuschließen, muss kms:Decrypt der IAM-Aufrufer den mehrteiligen Upload erstellen, hochladen und abschließen können. kms:GenerateDataKey

StartReadSetExportJob

Um einen Datenexportauftrag zu starten, muss der IAM-Aufrufer über die kms:Decrypt Berechtigung für den KMS-Schlüssel im Store zum Exportieren aus kms:GenerateDataKey und über kms:Decrypt Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die Objekte empfängt. Darüber hinaus muss die an den Aufruf übergebene Rolle über kms:Decrypt Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die Objekte empfängt. Der IAM-Aufrufer muss außerdem über Berechtigungen verfügen, um die Rolle an den Job weiterzugeben.

StartReadsetActivationJob

Um einen Read-Set-Aktivierungsjob zu starten, muss der IAM-Aufrufer über kms:GenerateDataKey Berechtigungen für die kms:Decrypt Objekte verfügen.

GetReference, GetReadSet

Um Objekte aus dem Speicher lesen zu können, muss der IAM-Aufrufer über kms:Decrypt Berechtigungen für die Objekte verfügen.

Lesen Sie Set S3 GetObject

Um Objekte aus dem Store mithilfe der Amazon S3 GetObject S3-API lesen zu können, muss der IAM-Aufrufer über kms:Decrypt Berechtigungen für die Objekte verfügen. Legen Sie diese Berechtigung sowohl für vom Kunden verwaltete Schlüssel als auch für Konfigurationen fest AWS-eigener Schlüssel .

Wie HealthOmics werden Zuschüsse in AWS KMS verwendet

HealthOmics Analytics erfordert eine Genehmigung zur Nutzung Ihres vom Kunden verwalteten KMS-Schlüssels. Zuschüsse sind nicht erforderlich und werden auch nicht für HealthOmics Workflows verwendet. HealthOmics Storage verwendet den vom Kunden verwalteten Schlüssel direkt vom Service Principal. Verwenden Sie also keine Grants. Wenn Sie einen Analyseshop erstellen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt HealthOmics Analytics in Ihrem Namen einen Zuschuss, indem eine CreateGrantAnfrage an AWS KMS gesendet wird. Zuschüsse in AWS KMS werden verwendet, um HealthOmics Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.

Es wird nicht empfohlen, die Zuschüsse, die HealthOmics Analytics in Ihrem Namen gewährt, zu widerrufen oder zurückzuziehen. Wenn Sie die HealthOmics Genehmigung zur Verwendung der AWS-KMS-Schlüssel in Ihrem Konto widerrufen oder zurückziehen, können Sie HealthOmics nicht auf diese Daten zugreifen, neue Ressourcen, die in den Datenspeicher übertragen werden, verschlüsseln oder sie entschlüsseln, wenn sie abgerufen werden.

Wenn Sie einen Zuschuss für widerrufen oder zurückziehen HealthOmics, erfolgt die Änderung sofort. Um die Zugriffsrechte zu widerrufen, empfehlen wir, den Datenspeicher zu löschen, anstatt die Gewährung zu widerrufen. Wenn Sie den Datenspeicher löschen, werden die Zuschüsse HealthOmics in Ihrem Namen zurückgezogen.

Überwachen Sie Ihre Verschlüsselungsschlüssel für AWS HealthOmics

Sie können CloudTrail damit die Anfragen verfolgen, die in Ihrem Namen AWS HealthOmics AWS KMS an gesendet werden, wenn Sie einen vom Kunden verwalteten Schlüssel verwenden. In den Protokolleinträgen im CloudTrail Protokoll wird HealthOmics .amazonaws.com im Feld UserAgent angezeigt, um Anfragen von eindeutig zu unterscheiden. HealthOmics

Bei den folgenden Beispielen handelt es sich um CloudTrail Ereignisse für CreateGrant GenerateDataKey, Decrypt und zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden, DescribeKey um auf Daten zuzugreifen, HealthOmics die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

Im Folgenden wird auch gezeigt, wie Sie HealthOmics Analytics CreateGrant den Zugriff auf einen vom Kunden bereitgestellten KMS-Schlüssel ermöglichen, sodass HealthOmics dieser KMS-Schlüssel zur Verschlüsselung aller gespeicherten Kundendaten verwendet werden kann.

Sie müssen keine eigenen Zuschüsse erstellen. HealthOmics erstellt in Ihrem Namen einen Zuschuss, indem Sie eine CreateGrant Anfrage an AWS KMS senden. Zuschüsse AWS KMS werden verwendet, um HealthOmics Zugriff auf einen AWS KMS Schlüssel in einem Kundenkonto zu gewähren.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "xx:test",
        "arn": "arn:AWS:sts::555555555555:assumed-role/user-admin/test",
        "accountId": "xx",
        "accessKeyId": "xxx",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "xxxx",
                "arn": "arn:AWS:iam::555555555555:role/user-admin",
                "accountId": "555555555555",
                "userName": "user-admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-11-11T01:36:17Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "apigateway.amazonAWS.com"
    },
    "eventTime": "2022-11-11T02:34:41Z",
    "eventSource": "kms.amazonAWS.com",
    "eventName": "CreateGrant",
    "AWSRegion": "us-west-2",
    "sourceIPAddress": "apigateway.amazonAWS.com",
    "userAgent": "apigateway.amazonAWS.com",
    "requestParameters": {
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:AWS:kms:us-west-2:555555555555:key/a6e87d77-cc3e-4a98-a354-e4c275d775ef",
        "operations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "GenerateDataKey"
        ]
    },
    "responseElements": {
        "grantId": "4869b81e0e1db234342842af9f5531d692a76edaff03e94f4645d493f4620ed7",
        "keyId": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
    },
    "requestID": "d31d23d6-b6ce-41b3-bbca-6e0757f7c59a",
    "eventID": "3a746636-20ef-426b-861f-e77efc56e23c",
    "readOnly": false,
    "resources": [
        {
            "accountId": "245126421963",
            "type": "AWS::KMS::Key",
            "ARN": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
        }
    ],
    "eventType": "AWSApiCall",
    "managementEvent": true,
    "recipientAccountId": "245126421963",
    "eventCategory": "Management"
}

Das folgende Beispiel zeigt, wie sichergestellt werden kann GenerateDataKey , dass der Benutzer vor dem Speichern über die erforderlichen Berechtigungen zum Verschlüsseln von Daten verfügt.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:AWS:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:AWS:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "omics.amazonAWS.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonAWS.com",
    "eventName": "GenerateDataKey",
    "AWSRegion": "us-east-1",
    "sourceIPAddress": "omics.amazonAWS.com",
    "userAgent": "omics.amazonAWS.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AWSApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Weitere Informationen

Die folgenden Ressourcen bieten weitere Informationen zur Verschlüsselung von Daten im Ruhezustand.

Weitere Informationen zu den Grundkonzepten von AWS Key Management Service finden Sie in der AWS KMS Dokumentation.

Weitere Informationen zu bewährten Sicherheitsmethoden finden Sie in der AWS KMS Dokumentation.

Verschlüsselung während der Übertragung

AWS HealthOmics verwendet TLS 1.2 und höher, um Daten zu verschlüsseln, die über die öffentlichen Endpunkte und über Backend-Dienste übertragen werden.