Datenverschlüsselung im Ruhezustand für Amazon SES - Amazon Simple Email Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung im Ruhezustand für Amazon SES

Standardmäßig SES verschlüsselt Amazon alle Daten im Ruhezustand. Die standardmäßige Verschlüsselung trägt dazu bei, den betrieblichen Aufwand und die Komplexität des Datenschutzes zu reduzieren. Mithilfe der Verschlüsselung können Sie auch Mail Manager-Archive erstellen, die den strengen Verschlüsselungsvorschriften und gesetzlichen Anforderungen entsprechen.

SESbietet die folgenden Verschlüsselungsoptionen:

  • AWS eigene Schlüssel — SES verwendet diese standardmäßig. Sie können sie nicht anzeigen, verwalten oder verwenden AWS Sie besaßen Schlüssel oder überprüfen deren Verwendung. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS eigene Schlüssel in der AWS Key Management Service Leitfaden für Entwickler.

  • Vom Kunden verwaltete Schlüssel — SES unterstützt die Verwendung symmetrischer, vom Kunden verwalteter Schlüssel, die Sie erstellen, besitzen und verwalten. Da Sie die volle Kontrolle über die Verschlüsselung haben, können Sie beispielsweise folgende Aufgaben ausführen:

    • Festlegung und Pflege wichtiger Richtlinien

    • Festlegung und Aufrechterhaltung von IAM Richtlinien und Zuschüssen

    • Aktivieren und Deaktivieren wichtiger Richtlinien

    • Kryptographisches Material mit rotierendem Schlüssel

    • Hinzufügen von Tags

    • Erstellen von Schlüsselaliasen

    • Schlüssel für das Löschen von Schlüsseln planen

    Wenn Sie Ihren eigenen Schlüssel verwenden möchten, wählen Sie bei der Erstellung Ihrer SES Ressourcen einen vom Kunden verwalteten Schlüssel aus.

    Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Leitfaden für Entwickler.

Anmerkung

SESaktiviert automatisch die Verschlüsselung im Ruhezustand mit AWS eigene Schlüssel kostenlos.

Jedoch AWS KMS Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie auf AWS Key Management Service Preisgestaltung.

Einen kundenverwalteten Schlüssel erstellen

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie AWS Management Console, oder das AWS KMS APIs.

Einen symmetrischen kundenverwalteten Schlüssel erstellen

Folgen Sie den Schritten zum Erstellen symmetrischer KMS Verschlüsselungsschlüssel in der AWS Key Management Service Leitfaden für Entwickler.

Anmerkung

Für die Archivierung muss Ihr Schlüssel die folgenden Anforderungen erfüllen:

  • Der Schlüssel muss symmetrisch sein.

  • Der wichtigste Materialursprung muss sein. AWS_KMS

  • Die Schlüsselverwendung muss seinENCRYPT_DECRYPT.

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel in der AWS Key Management Service Leitfaden für Entwickler.

Um Ihren vom Kunden verwalteten Schlüssel mit der Mail Manager-Archivierung zu verwenden, muss Ihre Schlüsselrichtlinie die folgenden API Operationen zulassen:

Das folgende Beispiel zeigt eine typische Schlüsselrichtlinie:

{ "Sid": "Allow SES to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" },

Weitere Informationen finden Sie unter Angeben von Berechtigungen in einer Richtlinie im AWS Key Management Service Leitfaden für Entwickler.

Weitere Informationen zur Problembehandlung finden Sie unter Problembehandlung beim Schlüsselzugriff im AWS Key Management Service Leitfaden für Entwickler.

Angabe eines vom Kunden verwalteten Schlüssels für die Mail Manager-Archivierung

Sie können einen vom Kunden verwalteten Schlüssel als Alternative zur Verwendung von AWS eigene Schlüssel. Wenn Sie ein Archiv erstellen, können Sie den Datenschlüssel angeben, indem Sie einen KMSSchlüssel eingebenARN, mit dem die Mail Manager-Archivierung alle Kundendaten im Archiv verschlüsselt.

  • KMSSchlüssel ARN — Eine Schlüssel-ID für ein AWS KMS vom Kunden verwalteter Schlüssel. Geben Sie eine Schlüssel-ID, einen SchlüsselARN, einen Aliasnamen oder einen Alias einARN.

SESAmazon-Verschlüsselungskontext

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten zur Unterstützung der authentifizierten Verschlüsselung. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Datenverschlüsselung einbeziehen, AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Anmerkung

Amazon unterstützt SES keine Verschlüsselungskontexte für die Archivierungserstellung. Stattdessen verwenden Sie eine IAM KMS Oder-Richtlinie. Richtlinien finden Sie Richtlinien für die Erstellung von Archiven beispielsweise weiter unten in diesem Abschnitt.

SESAmazon-Verschlüsselungskontext

SESverwendet in allen denselben Verschlüsselungskontext AWS KMS kryptografische Operationen, bei denen der Schlüssel aws:ses:arn und der Wert die Ressource Amazon Resource Name (ARN) sind.

"encryptionContext": { "aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID" }

Verwenden des Verschlüsselungskontexts für die Überwachung

Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer SES Ressource verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von generiert wurden AWS CloudTrail oder Amazon CloudWatch Logs.

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel

Sie können den Verschlüsselungskontext in wichtigen Richtlinien und IAM Richtlinien verwenden, conditions um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

SESverwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.

{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID" } } }

Richtlinien für die Erstellung von Archiven

Die folgenden Beispielrichtlinien zeigen, wie die Archivierungserstellung aktiviert wird. Die Richtlinien gelten für alle Ressourcen.

IAMPolitik

{ "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ses:CreateArchive", "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "ses.us-east-1.amazonaws.com", "kms:CallerAccount": "012345678910" } } }

AWS KMS Politik

{ "Sid": "Allow SES to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" },

Überwachung Ihrer Verschlüsselungsschlüssel für Amazon SES

Wenn Sie eine verwenden AWS KMS vom Kunden verwalteter Schlüssel mit Ihren SES Amazon-Ressourcen, den Sie verwenden können AWS CloudTrailoder Amazon CloudWatch Logs, um Anfragen zu verfolgen, die SES gesendet werden an AWS KMS.

Die folgenden Beispiele sind AWS CloudTrail Ereignisse für GenerateDataKeyDecrypt, und DescribeKey zur Überwachung von KMS Vorgängen, die aufgerufen werden, SES um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:

GenerateDataKey

Wenn Sie ein aktivieren AWS KMS Ein vom Kunden verwalteter Schlüssel für Ihre Ressource, SES erstellt einen eindeutigen Tabellenschlüssel. Es sendet eine GenerateDataKey Anfrage an AWS KMS das spezifiziert die AWS KMS vom Kunden verwalteter Schlüssel für die Ressource.

Wenn Sie eine aktivieren AWS KMS Vom Kunden verwalteter Schlüssel für Ihre Mail Manager-Archivressource, der GenerateDataKey beim Verschlüsseln von Archivdaten im Ruhezustand verwendet wird.

Das folgende Beispielereignis zeichnet den Vorgang GenerateDataKey auf:

{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "ses.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID" }, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333", "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e" }
Decrypt

SESRuft beim Zugriff auf eine verschlüsselte Ressource den Decrypt Vorgang auf, bei dem der gespeicherte verschlüsselte Datenschlüssel für den Zugriff auf die verschlüsselten Daten verwendet wird.

Das folgende Beispielereignis zeichnet den Vorgang Decrypt auf:

{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "ses.amazonaws.com" }, "eventTime": "2021-04-22T17:10:51Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID" }, "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333", "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088" }
DescribeKey

SESverwendet den DescribeKey Vorgang, um zu überprüfen, ob AWS KMS Der mit Ihrer Ressource verknüpfte vom Kunden verwaltete Schlüssel ist im Konto und in der Region vorhanden.

Das folgende Beispielereignis zeichnet den Vorgang DescribeKey auf:

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE3", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "ses.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand: