Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenverschlüsselung im Ruhezustand für Amazon SES
Standardmäßig SES verschlüsselt Amazon alle Daten im Ruhezustand. Die standardmäßige Verschlüsselung trägt dazu bei, den betrieblichen Aufwand und die Komplexität des Datenschutzes zu reduzieren. Mithilfe der Verschlüsselung können Sie auch Mail Manager-Archive erstellen, die den strengen Verschlüsselungsvorschriften und gesetzlichen Anforderungen entsprechen.
SESbietet die folgenden Verschlüsselungsoptionen:
-
AWS eigene Schlüssel — SES verwendet diese standardmäßig. Sie können sie nicht anzeigen, verwalten oder verwenden AWS Sie besaßen Schlüssel oder überprüfen deren Verwendung. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS eigene Schlüssel in der AWS Key Management Service Leitfaden für Entwickler.
-
Vom Kunden verwaltete Schlüssel — SES unterstützt die Verwendung symmetrischer, vom Kunden verwalteter Schlüssel, die Sie erstellen, besitzen und verwalten. Da Sie die volle Kontrolle über die Verschlüsselung haben, können Sie beispielsweise folgende Aufgaben ausführen:
-
Festlegung und Pflege wichtiger Richtlinien
-
Festlegung und Aufrechterhaltung von IAM Richtlinien und Zuschüssen
-
Aktivieren und Deaktivieren wichtiger Richtlinien
-
Kryptographisches Material mit rotierendem Schlüssel
-
Hinzufügen von Tags
-
Erstellen von Schlüsselaliasen
-
Schlüssel für das Löschen von Schlüsseln planen
Wenn Sie Ihren eigenen Schlüssel verwenden möchten, wählen Sie bei der Erstellung Ihrer SES Ressourcen einen vom Kunden verwalteten Schlüssel aus.
Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Leitfaden für Entwickler.
-
Anmerkung
SESaktiviert automatisch die Verschlüsselung im Ruhezustand mit AWS eigene Schlüssel kostenlos.
Jedoch AWS KMS Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie auf AWS Key Management Service Preisgestaltung
Einen kundenverwalteten Schlüssel erstellen
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie AWS Management Console, oder das AWS KMS APIs.
Einen symmetrischen kundenverwalteten Schlüssel erstellen
Folgen Sie den Schritten zum Erstellen symmetrischer KMS Verschlüsselungsschlüssel in der AWS Key Management Service Leitfaden für Entwickler.
Anmerkung
Für die Archivierung muss Ihr Schlüssel die folgenden Anforderungen erfüllen:
-
Der Schlüssel muss symmetrisch sein.
-
Der wichtigste Materialursprung muss sein.
AWS_KMS
-
Die Schlüsselverwendung muss sein
ENCRYPT_DECRYPT
.
Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel in der AWS Key Management Service Leitfaden für Entwickler.
Um Ihren vom Kunden verwalteten Schlüssel mit der Mail Manager-Archivierung zu verwenden, muss Ihre Schlüsselrichtlinie die folgenden API Operationen zulassen:
-
kms: DescribeKey — Stellt dem Kunden verwaltete Schlüssel SES zur Verfügung, anhand derer der Schlüssel validiert werden kann.
-
kms: GenerateDataKey — Ermöglicht SES die Generierung eines Datenschlüssels für die Verschlüsselung von Daten im Ruhezustand.
-
kms:Decrypt — Ermöglicht das Entschlüsseln von gespeicherten Daten, bevor sie SES an Clients zurückgegeben werden. API
Das folgende Beispiel zeigt eine typische Schlüsselrichtlinie:
{ "Sid": "Allow SES to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" },
Weitere Informationen finden Sie unter Angeben von Berechtigungen in einer Richtlinie im AWS Key Management Service Leitfaden für Entwickler.
Weitere Informationen zur Problembehandlung finden Sie unter Problembehandlung beim Schlüsselzugriff im AWS Key Management Service Leitfaden für Entwickler.
Angabe eines vom Kunden verwalteten Schlüssels für die Mail Manager-Archivierung
Sie können einen vom Kunden verwalteten Schlüssel als Alternative zur Verwendung von AWS eigene Schlüssel. Wenn Sie ein Archiv erstellen, können Sie den Datenschlüssel angeben, indem Sie einen KMSSchlüssel eingebenARN, mit dem die Mail Manager-Archivierung alle Kundendaten im Archiv verschlüsselt.
-
KMSSchlüssel ARN — Eine Schlüssel-ID für ein AWS KMS vom Kunden verwalteter Schlüssel. Geben Sie eine Schlüssel-ID, einen SchlüsselARN, einen Aliasnamen oder einen Alias einARN.
SESAmazon-Verschlüsselungskontext
Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.
AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten zur Unterstützung der authentifizierten Verschlüsselung. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Datenverschlüsselung einbeziehen, AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.
Anmerkung
Amazon unterstützt SES keine Verschlüsselungskontexte für die Archivierungserstellung. Stattdessen verwenden Sie eine IAM KMS Oder-Richtlinie. Richtlinien finden Sie Richtlinien für die Erstellung von Archiven beispielsweise weiter unten in diesem Abschnitt.
SESAmazon-Verschlüsselungskontext
SESverwendet in allen denselben Verschlüsselungskontext AWS KMS kryptografische Operationen, bei denen der Schlüssel aws:ses:arn
und der Wert die Ressource Amazon Resource Name (ARN) sind.
"encryptionContext": { "aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID" }
Verwenden des Verschlüsselungskontexts für die Überwachung
Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer SES Ressource verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von generiert wurden AWS CloudTrail oder Amazon CloudWatch Logs.
Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel
Sie können den Verschlüsselungskontext in wichtigen Richtlinien und IAM Richtlinien verwenden, conditions
um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.
SESverwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID" } } }
Richtlinien für die Erstellung von Archiven
Die folgenden Beispielrichtlinien zeigen, wie die Archivierungserstellung aktiviert wird. Die Richtlinien gelten für alle Ressourcen.
IAMPolitik
{ "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ses:CreateArchive", "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "ses.us-east-1.amazonaws.com", "kms:CallerAccount": "012345678910" } } }
AWS KMS Politik
{ "Sid": "Allow SES to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" },
Überwachung Ihrer Verschlüsselungsschlüssel für Amazon SES
Wenn Sie eine verwenden AWS KMS vom Kunden verwalteter Schlüssel mit Ihren SES Amazon-Ressourcen, den Sie verwenden können AWS CloudTrailoder Amazon CloudWatch Logs, um Anfragen zu verfolgen, die SES gesendet werden an AWS KMS.
Die folgenden Beispiele sind AWS CloudTrail Ereignisse für GenerateDataKey
Decrypt
, und DescribeKey
zur Überwachung von KMS Vorgängen, die aufgerufen werden, SES um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:
Weitere Informationen
Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:
-
Weitere Informationen zu AWS Key Management Service grundlegende Konzepte finden Sie im AWS Key Management Service Leitfaden für Entwickler.
-
Weitere Informationen zu bewährten Sicherheitsmethoden für AWS Key Management Service, finden Sie im AWS Key Management Service Leitfaden für Entwickler.