Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenverschlüsselung im Ruhezustand für verifizierten Zugriff AWS
AWS Verified Access verschlüsselt standardmäßig ruhende Daten mithilfe AWS eigener KMS-Schlüssel. Wenn die Verschlüsselung ruhender Daten standardmäßig erfolgt, trägt dies dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen. In den folgenden Abschnitten wird detailliert beschrieben, wie Verified Access KMS-Schlüssel für die Verschlüsselung inaktiver Daten verwendet.
Inhalt
Verifizierter Zugriff und KMS-Schlüssel
AWS eigene Schlüssel
Verified Access verwendet KMS-Schlüssel, um personenbezogene Daten (PII) automatisch zu verschlüsseln. Dies geschieht standardmäßig, und Sie können die Verwendung der AWS-eigenen Schlüssel nicht selbst einsehen, verwalten, verwenden oder überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS -eigene Schlüssel im AWS Key Management Service -Entwicklerhandbuch.
Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen alternativen Verschlüsselungstyp auswählen, aber Sie können eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen, indem Sie bei der Erstellung Ihrer verifizierten Zugriffsressourcen einen vom Kunden verwalteten Schlüssel auswählen.
Kundenverwaltete Schlüssel
Verified Access unterstützt die Verwendung von symmetrischen, vom Kunden verwalteten Schlüsseln, die Sie erstellen und verwalten, um der vorhandenen Standardverschlüsselung eine zweite Verschlüsselungsebene hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:
-
Festlegung und Pflege wichtiger Richtlinien
-
Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
-
Aktivieren und Deaktivieren wichtiger Richtlinien
-
Kryptographisches Material mit rotierendem Schlüssel
-
Hinzufügen von Tags
-
Erstellen von Schlüsselaliasen
-
Schlüssel für das Löschen von Schlüsseln planen
Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.
Anmerkung
Verified Access ermöglicht automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um personenbezogene Daten kostenlos zu schützen.
Es AWS KMS fallen jedoch Gebühren an, wenn Sie einen vom Kunden verwalteten Schlüssel verwenden. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service
Preisgestaltung
Persönlich identifizierbare Informationen
In der folgenden Tabelle werden die von Verified Access verwendeten personenbezogenen Daten (PII) und deren Verschlüsselung zusammengefasst.
| Datentyp | AWS Verschlüsselung mit eigenem Schlüssel | Vom Kunden verwaltete Schlüsselverschlüsselung (optional) |
|---|---|---|
Trust provider (user-type)Vertrauensanbieter vom Typ Benutzer enthalten OIDC-Optionen wie AuthorizationEndpoint,, UserInfoEndpoint ClientId, usw. ClientSecret, die als personenbezogene Daten betrachtet werden. |
Aktiviert | Aktiviert |
Trust provider (device-type)Vertrauensanbieter vom Typ Gerät enthalten eine TenantId, die als PII betrachtet wird. |
Aktiviert | Aktiviert |
Group policyWird bei der Erstellung oder Änderung der Verified Access-Gruppe bereitgestellt. Enthält Regeln für die Autorisierung von Zugriffsanfragen. Kann personenbezogene Daten wie Benutzername und E-Mail-Adresse usw. enthalten. |
Aktiviert | Aktiviert |
Endpoint policyWird bei der Erstellung oder Änderung des Verified Access-Endpunkts bereitgestellt. Enthält Regeln für die Autorisierung von Zugriffsanfragen. Kann personenbezogene Daten wie Benutzername und E-Mail-Adresse usw. enthalten. |
Aktiviert | Aktiviert |
So verwendet AWS Verified Access Zuschüsse in AWS KMS
Für Verified Access ist eine Genehmigung erforderlich, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.
Wenn Sie Ressourcen mit verifiziertem Zugriff erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, erstellt Verified Access in Ihrem Namen einen Zuschuss, indem es eine CreateGrantAnfrage an sendet AWS KMS. Grants in AWS KMS werden verwendet, um Verified Access den Zugriff auf einen vom Kunden verwalteten Schlüssel in Ihrem Konto zu gewähren.
Verified Access setzt voraus, dass der Zuschuss Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Vorgänge verwendet:
-
Senden Sie Entschlüsselungsanfragen an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zur Entschlüsselung Ihrer Daten verwendet werden können.
-
Senden Sie RetireGrantAnfragen an, um einen AWS KMS Zuschuss zu löschen.
Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Verified Access nicht auf die Daten zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind.
Verwenden von vom Kunden verwalteten Schlüsseln mit verifiziertem Zugriff
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS Management Console, oder den AWS KMS APIs verwenden. Folgen Sie den Schritten zum Erstellen eines symmetrischen Verschlüsselungsschlüssels im AWS Key Management Service Entwicklerhandbuch.
Die wichtigsten Richtlinien
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Wichtige Richtlinien im AWS Key Management Service Entwicklerhandbuch.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren verifizierten Zugriffsressourcen verwenden zu können, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zugelassen sein:
-
kms:CreateGrant: Fügt einem kundenverwalteten Schlüssel eine Erteilung hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS-Schlüssel, der den Zugriff auf die von Verified Access benötigten Genehmigungsvorgänge ermöglicht. Weitere Informationen finden Sie unter Grants im AWS Key Management Service Entwicklerhandbuch.Dadurch kann Verified Access Folgendes tun:
-
GenerateDataKeyWithoutPlainTextaufrufen, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort zum Verschlüsseln verwendet wird. -
Decryptaufrufen, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden. -
Richten Sie einen Principal ein, der in den Ruhestand geht,
RetireGrantdamit der Dienst
-
-
kms:DescribeKey— Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Verified Access den Schlüssel überprüfen kann. -
kms:GenerateDataKey— Ermöglicht Verified Access, den Schlüssel zum Verschlüsseln von Daten zu verwenden. -
kms:Decrypt— Erlaubt Verified Access, die verschlüsselten Datenschlüssel zu entschlüsseln.
Im Folgenden finden Sie ein Beispiel für eine Schlüsselrichtlinie, die Sie für Verified Access verwenden können.
"Statement" : [ { "Sid" : "Allow access to principals authorized to use Verified Access", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "verified-access.region.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid" : "Allow read-only access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource" : "*" } ]
Weitere Informationen finden Sie unter Erstellen einer Schlüsselrichtlinie und Problembehandlung beim Schlüsselzugriff im AWS Key Management Service Entwicklerhandbuch.
Angabe eines vom Kunden verwalteten Schlüssels für Ressourcen mit verifiziertem Zugriff
Sie können einen vom Kunden verwalteten Schlüssel angeben, um eine zweite Verschlüsselungsebene für die folgenden Ressourcen bereitzustellen:
Wenn Sie eine dieser Ressourcen mit dem erstellen AWS Management Console, können Sie im Abschnitt Zusätzliche Verschlüsselung — optional einen vom Kunden verwalteten Schlüssel angeben. Aktivieren Sie während des Vorgangs das Kontrollkästchen Verschlüsselungseinstellungen anpassen (erweitert) und geben Sie dann die AWS KMS Schlüssel-ID ein, die Sie verwenden möchten. Dies ist auch möglich, wenn Sie eine vorhandene Ressource ändern, oder indem Sie den verwenden AWS CLI.
Anmerkung
Wenn der vom Kunden verwaltete Schlüssel, mit dem eine zusätzliche Verschlüsselung für eine der oben genannten Ressourcen hinzugefügt wurde, verloren geht, sind die Konfigurationswerte für die Ressourcen nicht mehr zugänglich. Die Ressourcen können jedoch geändert werden, indem das AWS Management Console oder verwendet wird AWS CLI, um einen neuen, vom Kunden verwalteten Schlüssel anzuwenden und die Konfigurationswerte zurückzusetzen.
AWS Verschlüsselungskontext für verifizierten Zugriff
Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.
AWS Verifizierter Access-Verschlüsselungskontext
Verified Access verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel aws:verified-access:arn und der Wert die Ressource Amazon Resource Name (ARN) ist. Im Folgenden finden Sie die Verschlüsselungskontexte für Ressourcen mit verifiziertem Zugriff.
Vertrauensanbieter mit verifiziertem Zugriff
"encryptionContext": { "aws:verified-access:arn": "arn:aws:ec2:region:111122223333:VerifiedAccessTrustProviderId" }
Gruppe „Verifizierter Zugriff“
"encryptionContext": { "aws:verified-access:arn": "arn:aws:ec2:region:111122223333:VerifiedAccessGroupId" }
Verifizierter Zugriffsendpunkt
"encryptionContext": { "aws:verified-access:arn": "arn:aws:ec2:region:111122223333:VerifiedAccessEndpointId" }
Überwachen Sie Ihre Verschlüsselungsschlüssel für AWS verifizierten Zugriff
Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel mit Ihren AWS Verified Access-Ressourcen verwenden, können Sie AWS CloudTraildamit Anfragen verfolgen, an die Verified Access sendet AWS KMS.
Bei den folgenden Beispielen handelt es sich um AWS CloudTrail Ereignisse fürCreateGrant,RetireGrant, und Decrypt DescribeKeyGenerateDataKey, mit denen KMS-Vorgänge überwacht werden, die von Verified Access aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten KMS-Schlüssel verschlüsselt wurden:
