Datenschutz in AWS Secrets Manager

Das Modell der geteilten Verantwortung von AWS gilt für den Datenschutz in AWS Secrets Manager. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt enthält die Sicherheitskonfigurations- und Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS-Modell der geteilten Verantwortung und die GDPR im Blog zur AWS-Sicherheit.

Wir empfehlen aus Gründen des Datenschutzes, dass Sie AWS-Konto-Anmeldeinformationen schützen und die Benutzerkonten jeweils mit AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:

• Verwenden Sie für jedes Konto die Multi-Faktor Authentifizierung (MFA).

• Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Secrets Manager unterstützt TLS 1.2 und 1.3 in allen Regionen. Außerdem unterstützt Secrets Manager eine hybride Post-Quantum-Schlüsselaustauschoption für das Netzwerkverschlüsselungsprotokoll TLS (PQTLS).

• Signieren Sie programmgesteuerte Anfragen an Secrets Manager mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die mit einem IAM-Prinzipal verknüpft sind. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anfragen zu signieren.

• Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Siehe AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail.

• Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Siehe AWS Secrets Manager Endpunkte.

• Wenn Sie über die AWS CLI auf Secrets Manager zugreifen, Reduzieren von Risiken durch die Verwendung der AWS CLI zur Speicherung Ihrer AWS Secrets Manager-Secrets.

Verschlüsselung im Ruhezustand

Secrets Manager verwendet Verschlüsselung über AWS Key Management Service (AWS KMS), um die Vertraulichkeit von Daten im Ruhezustand zu schützen. AWS KMS bietet einen Service für die Schlüsselspeicherung und Verschlüsselung, der von vielen AWS-Services verwendet wird. Jedes Secret in Secrets Manager ist mit einem eindeutigen Datenschlüssel verschlüsselt. Jeder Datenschlüssel wird durch einen KMS-Schlüssel geschützt. Sie können die Standardverschlüsselung mit dem Secrets Manager Von AWS verwalteter Schlüssel für das Konto verwenden oder einen eigenen kundenverwalteten Schlüssel in AWS KMS erstellen. Durch die Verwendung eines vom Kunden verwalteten Schlüssels erhalten Sie detailliertere Autorisierungskontrollen für Ihre KMS-Schlüsselaktivitäten. Weitere Informationen finden Sie unter Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager.

Verschlüsselung während der Übertragung

Secrets Manager bietet für die Verschlüsselung von Daten während der Übertragung sichere und private Endpunkte. Die sicheren und privaten Endpunkte ermöglichen es AWS, die Integrität von API-Anfragen an Secrets Manager zu schützen. AWS erfordert, dass API-Aufrufe vom Aufrufer mit X.509-Zertifikaten und/oder einem geheimen Secrets-Manager-Zugriffsschlüssel signiert sind. Diese Anforderung ist in der Signaturversion 4 Signaturprozess (Sigv4) festgelegt.

Wenn Sie das AWS Command Line Interface (AWS CLI) oder eine der AWS-SDKs verwenden, um Aufrufe von AWS durchzuführen, konfigurieren Sie den zu verwendenden Zugriffsschlüssel. Dann verwenden diese Tools automatisch den Zugriffsschlüssel, um die Anfragen für Sie zu signieren. Siehe Reduzieren von Risiken durch die Verwendung der AWS CLI zur Speicherung Ihrer AWS Secrets Manager-Secrets.

Datenschutz für den Datenverkehr zwischen Netzwerken

AWS bietet Optionen zur Wahrung der Privatsphäre beim Weiterleiten von Datenverkehr über bekannte und private Netzwerkrouten.

Datenverkehr zwischen Service und On-Premises-Clients und -Anwendungen

Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS Secrets Manager:

• Eine AWS-Site-to-Site-VPN-Verbindung. Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN?

• Eine AWS-Direct-Connect-Verbindung. Weitere Informationen finden Sie unter Was ist AWS Direct Connect?

Datenverkehr zwischen AWS-Ressourcen in derselben Region

Wenn Sie den Datenverkehr zwischen Secrets Manager und API-Clients in AWS sichern wollen, richten Sie einen AWS-PrivateLink ein, um privat auf Secrets-Manager-API-Endpunkte zuzugreifen.

Verwaltung von Verschlüsselungsschlüsseln

Wenn Secrets Manager eine neue Version der geschützten Secret-Daten verschlüsseln muss, sendet Secrets Manager eine Anfrage an AWS KMS, um einen neuen Datenschlüssel aus dem KMS-Schlüssel zu generieren. Secrets Manager verwendet diesen Datenschlüssel für die Envelope-Verschlüsselung. Secrets Manager speichert den verschlüsselten Datenschlüssel mit dem verschlüsselten Secret. Wenn das Geheimnis entschlüsselt werden muss, bittet Secrets Manager AWS KMS, den Datenschlüssel zu entschlüsseln. Anschließend verwendet Secrets Manager den entschlüsselten Datenschlüssel, um das verschlüsselte Secret zu entschlüsseln. Secrets Manager speichert den Datenschlüssel nie unverschlüsselt und entfernt ihn so schnell wie möglich aus dem Speicher. Weitere Informationen finden Sie unter Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager.