Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschutz in AWS Systems Manager
Datenschutz bezieht sich auf den Schutz von Daten während der Übertragung (auf dem Hin- und Rückweg) Systems Manager) und im Ruhezustand (solange sie in AWS Rechenzentren gespeichert sind).
Das Modell der AWS gemeinsamen Verantwortung
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
-
Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
-
Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.
-
Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
-
Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
-
Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3
.
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dazu gehört auch, wenn Sie mit arbeiten Systems Manager oder andere, die die AWS-Services Konsole, die API AWS CLI, oder verwenden AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
Datenverschlüsselung
Verschlüsselung im Ruhezustand
Parameter Store Parameter
Die Arten von Parametern, in denen Sie erstellen können Parameter Store, ein Tool in AWS Systems Manager, String
includeStringList
, undSecureString
.
Um SecureString
Parameterwerte zu verschlüsseln, Parameter Store verwendet ein AWS KMS key in AWS Key Management Service (AWS KMS). AWS KMS verwendet entweder einen vom Kunden verwalteten Schlüssel oder einen Von AWS verwalteter Schlüssel , um den Parameterwert in einer AWS verwalteten Datenbank zu verschlüsseln.
Wichtig
Speichern Sie keine vertraulichen Daten in einem String
- oder StringList
-Parameter. Verwenden Sie für alle vertraulichen Daten, die verschlüsselt bleiben müssen, nur den SecureString
-Parametertyp.
Weitere Informationen erhalten Sie unter Was ist ein Parameter? und Beschränken des Zugriffs auf Parameter Store Parameter mithilfe von IAM-Richtlinien.
Inhalt in S3-Buckets
Als Teil Ihres Systems Manager Bei Vorgängen können Sie sich dafür entscheiden, Daten in einen oder mehrere Amazon Simple Storage Service (Amazon S3) -Buckets hochzuladen oder zu speichern.
Informationen zur Verschlüsselung von S3-Buckets finden Sie unter Daten durch Verschlüsselung schützen und Datenschutz in Amazon S3 im Benutzerhandbuch zu Amazon Simple Storage Service.
Im Folgenden finden Sie Datentypen, die Sie hochladen oder als Teil Ihrer Daten in S3-Buckets speichern können Systems Manager Aktivitäten:
-
Die Ausgabe von Befehlen in Run Command, ein Tool in AWS Systems Manager
-
Pakete in Distributor, ein Tool in AWS Systems Manager
-
Der Patchvorgang meldet sich an Patch Manager, ein Tool in AWS Systems Manager
-
Patch Manager Listen zum Überschreiben von Patches
-
Skripte oder Ansible Playbooks zur Ausführung in einem Runbook-Workflow in Automation, ein Tool in AWS Systems Manager
-
Chef InSpec Profile zur Verwendung mit Scans in Compliance, einem Tool in AWS Systems Manager
-
AWS CloudTrail protokolliert
-
Der Sitzungsverlauf meldet sich an Session Manager, ein Tool in AWS Systems Manager
-
Berichte von Explorer, ein Tool in AWS Systems Manager
-
OpsData von OpsCenter, ein Tool in AWS Systems Manager
-
AWS CloudFormation Vorlagen zur Verwendung mit Automatisierungs-Workflows
-
Compliance-Daten aus einem Resource Data Sync-Scan
-
Ausgabe von Anfragen zum Erstellen oder Bearbeiten von Verknüpfungen in State Manager, ein Tool in AWS Systems Manager, auf verwalteten Knoten
-
Benutzerdefinierte Systems Manager-Dokumente (SSM-Dokumente), die Sie mit dem AWS -verwalteten SSM-Dokument
AWS-RunDocument
ausführen können
CloudWatch Protokolliert Protokollgruppen
Als Teil Ihres Systems Manager Bei Vorgängen können Sie sich dafür entscheiden, Daten in eine oder mehrere Amazon CloudWatch Logs-Protokollgruppen zu streamen.
Informationen zur Verschlüsselung von CloudWatch Logs-Protokollgruppen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs using AWS Key Management Service im Amazon CloudWatch Logs-Benutzerhandbuch.
Im Folgenden sind Datentypen aufgeführt, die Sie möglicherweise als Teil Ihrer Logs-Protokollgruppe in eine CloudWatch Logs-Protokollgruppe gestreamt haben Systems Manager Aktivitäten:
-
Der Output von Run Command commands
-
Ausgabe von Skripten, die mit der
aws:executeScript
-Aktion in einem Automation-Runbooks ausgeführt werden -
Session Manager Protokolle des Sitzungsverlaufs
-
Protokolle von SSM Agent auf Ihren verwalteten Knoten
Verschlüsselung während der Übertragung
Wir empfehlen, dass Sie ein Verschlüsselungsprotokoll wie Transport Layer Security (TLS) verwenden, um sensible Daten bei der Übertragung zwischen den Clients und Ihren Knoten zu verschlüsseln.
Systems Manager bietet die folgende Unterstützung für die Verschlüsselung Ihrer Daten während der Übertragung.
- Verbindungen zu Systems Manager API-Endpunkte
-
Systems Manager API-Endpunkte unterstützen nur sichere Verbindungen über HTTPS. Wenn Sie verwalten Systems Manager Ressourcen mit dem AWS Management Console, AWS SDK oder dem Systems Manager API, die gesamte Kommunikation wird mit Transport Layer Security (TLS) verschlüsselt. Eine vollständige Liste der API-Endpunkte finden Sie unter AWS-Service -Endpunkte im Allgemeine Amazon Web Services-Referenz.
- Verwaltete Instances
-
AWS bietet sichere und private Konnektivität zwischen Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Darüber hinaus verschlüsseln wir automatisch den während der Übertragung befindlichen Datenverkehr zwischen unterstützten Instanzen in derselben Virtual Private Cloud (VPC) oder im Peered-Modus mithilfe von AEAD-Algorithmen mit VPCs 256-Bit-Verschlüsselung. Das Verschlüsselungsfeature verwendet die Offload-Möglichkeiten der zugrunde liegenden Hardware ohne Auswirkungen auf die Netzwerkleistung. Unterstützte Instances: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn und R5n.
- Session Manager sessions
-
Standardmäßig Session Manager verwendet TLS 1.3, um Sitzungsdaten zu verschlüsseln, die zwischen den lokalen Computern der Benutzer in Ihrem Konto und Ihren EC2 Instanzen übertragen werden. Sie können sich auch dafür entscheiden, die Daten während der Übertragung mit einem AWS KMS key , das in erstellt wurde, weiter zu verschlüsseln. AWS KMS AWS KMS Verschlüsselung ist für die
NonInteractiveCommands
SitzungstypenStandard_Stream
InteractiveCommands
, und verfügbar. - Run Command access
-
Standardmäßig erfolgt der Fernzugriff auf Ihre Knoten mit Run Command wird mit TLS 1.3 verschlüsselt, und Anfragen zum Herstellen einer Verbindung werden mit Sigv4 signiert.
Richtlinie für den Datenverkehr zwischen Netzwerken
Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um Grenzen zwischen Ressourcen in Ihren verwalteten Knoten zu erstellen und den Datenverkehr zwischen ihnen, Ihrem On-Premises-Netzwerk und dem Internet zu steuern. Einzelheiten finden Sie unter Verbessern Sie die Sicherheit von EC2 Instances mithilfe von VPC-Endpunkten für Systems Manager.
Weitere Informationen zur Sicherheit der Amazon Virtual Private Cloud finden Sie unter Datenschutz des Internet-Datenverkehrs in Amazon VPC im Benutzerhandbuch Amazon VPC.