Verschlüsselung während der Übertragung Verschlüsselung im Ruhezustand

Datenschutz in Amazon VPC Lattice

Das Tool AWS Das Modell Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre Inhalte zu behalten, die auf dieser Infrastruktur gehostet werden. Dieser Inhalt umfasst die Sicherheitskonfiguration und Verwaltungsaufgaben für AWS-Services die Sie verwenden. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzerklärung FAQ. Informationen zum Datenschutz in Europa finden Sie auf der AWS Modell der geteilten Verantwortung und GDPR Blogbeitrag auf AWS Blog zum Thema Sicherheit.

Verschlüsselung während der Übertragung

VPCLattice ist ein vollständig verwalteter Service, der aus einer Steuerungsebene und einer Datenebene besteht. Jede Ebene dient einem bestimmten Zweck im Service. Die Steuerungsebene stellt die administrative Ebene bereit, die APIs zum Erstellen, Lesen/Beschreiben, Aktualisieren, Löschen und Auflisten (CRUDL) von Ressourcen (z. B. CreateService undUpdateService) verwendet wird. Die Kommunikation mit der VPC Lattice-Steuerungsebene ist während der Übertragung durch geschützt. TLS Die Datenebene ist VPC Lattice InvokeAPI, die für die Verbindung zwischen Diensten sorgt. TLSverschlüsselt die Kommunikation mit der VPC Lattice-Datenebene, wenn Sie oder verwenden. HTTPS TLS Die Cipher Suite und die Protokollversion verwenden die von VPC Lattice bereitgestellten Standardeinstellungen und sind nicht konfigurierbar. Weitere Informationen finden Sie unter HTTPS-Listener für VPC Lattice-Dienste.

Verschlüsselung im Ruhezustand

Standardmäßig trägt die Verschlüsselung ruhender Daten dazu bei, den betrieblichen Aufwand und die Komplexität beim Schutz sensibler Daten zu reduzieren. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.

Inhalt

Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)
Serverseitige Verschlüsselung mit AWS KMS Schlüssel gespeichert in AWS KMS (SSE-KMS)

Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)

Wenn Sie serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verwenden, wird jedes Objekt mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzliche Sicherheitsmaßnahme verschlüsseln wir den Schlüssel selbst mit einem Stammschlüssel, den wir regelmäßig wechseln. Die serverseitige Amazon S3 S3-Verschlüsselung verwendet eine der stärksten verfügbaren Blockchiffren, den 256-Bit-Advanced Encryption Standard (AES-256)GCM, um Ihre Daten zu verschlüsseln. Für Objekte, die vor AES - verschlüsselt wurdenGCM, CBC wird die Entschlüsselung dieser Objekte AES weiterhin unterstützt. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) verwenden.

Wenn Sie die serverseitige Verschlüsselung mit von Amazon SSE S3 verwalteten Verschlüsselungsschlüsseln (-S3) für Ihren S3-Bucket für VPC Lattice-Zugriffsprotokolle aktivieren, verschlüsseln wir automatisch jede Zugriffsprotokolldatei, bevor sie in Ihrem S3-Bucket gespeichert wird. Weitere Informationen finden Sie unter An Amazon S3 gesendete Logs im CloudWatch Amazon-Benutzerhandbuch.

Serverseitige Verschlüsselung mit AWS KMS Schlüssel gespeichert in AWS KMS (SSE-KMS)

Serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) ähnelt SSE -S3, bietet jedoch zusätzliche Vorteile und Gebühren für die Nutzung dieses Dienstes. Es gibt separate Berechtigungen für AWS KMS Schlüssel, der zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE- bietet Ihnen KMS auch einen Prüfpfad, aus dem hervorgeht, wann AWS KMS Der Schlüssel wurde verwendet und von wem. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung verwenden mit AWS Key Management Service (SSE-KMS).

Inhalt

Verschlüsselung und Entschlüsselung des privaten Schlüssels Ihres Zertifikats
Verschlüsselungskontext für VPC Lattice
Überwachung Ihrer Verschlüsselungsschlüssel für VPC Lattice

Verschlüsselung und Entschlüsselung des privaten Schlüssels Ihres Zertifikats

Ihr ACM Zertifikat und Ihr privater Schlüssel werden mit einem verschlüsselt AWS verwalteter KMS Schlüssel mit dem Alias aws/acm. Sie können die Schlüssel-ID mit diesem Alias im AWS KMS Konsole unter AWS verwaltete Schlüssel.

VPCLattice greift nicht direkt auf Ihre ACM Ressourcen zu. Es benutzt AWS TLSConnection Manager zum Sichern und Zugreifen auf die privaten Schlüssel für Ihr Zertifikat. Wenn Sie Ihr ACM Zertifikat verwenden, um einen VPC Lattice-Dienst zu erstellen, verknüpft VPC Lattice Ihr Zertifikat mit AWS TLSVerbindungs-Manager. Dies erfolgt durch die Erstellung eines Zuschusses in AWS KMS gegen deine AWS Verwalteter Schlüssel mit dem Präfix aws/acm. Ein Grant ist ein politisches Instrument, das es dem TLS Connection Manager ermöglicht, KMS Schlüssel für kryptografische Operationen zu verwenden. Die Grant ermöglicht es dem Prinzipal des Empfängers (TLSConnection Manager), die angegebenen Grant-Operationen für den Schlüssel aufzurufen, um den privaten KMS Schlüssel Ihres Zertifikats zu entschlüsseln. TLSDer Verbindungs-Manager verwendet dann das Zertifikat und den entschlüsselten privaten Schlüssel (Klartext), um eine sichere Verbindung (SSL/TLSsession) mit Clients von Lattice Services herzustellen. VPC Wenn die Zuordnung des Zertifikats zu einem VPC Lattice-Dienst aufgehoben wird, wird der Grant zurückgezogen.

Wenn Sie den Zugriff auf den KMS Schlüssel entziehen möchten, empfehlen wir Ihnen, das Zertifikat mithilfe des AWS Management Console oder der update-service Befehl in der AWS CLI.

Verschlüsselungskontext für VPC Lattice

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die kontextbezogene Informationen darüber enthalten, wofür Ihr privater Schlüssel verwendet werden könnte. AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten und verwendet ihn als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen.

Wenn Ihre TLS Schlüssel mit VPC Lattice und TLS Connection Manager verwendet werden, ist der Name Ihres VPC Lattice-Dienstes im Verschlüsselungskontext enthalten, der zur Verschlüsselung Ihres Schlüssels im Ruhezustand verwendet wird. Sie können überprüfen, für welchen VPC Lattice-Dienst Ihr Zertifikat und Ihr privater Schlüssel verwendet werden, indem Sie sich den Verschlüsselungskontext in Ihren CloudTrail Protokollen ansehen, wie im nächsten Abschnitt gezeigt, oder indem Sie in der Konsole die Registerkarte Zugeordnete Ressourcen aufrufen. ACM

Um Daten zu entschlüsseln, ist derselbe Verschlüsselungskontext in der Anfrage enthalten. VPCLattice verwendet in allen Fällen denselben Verschlüsselungskontext AWS KMSkryptografische Operationen, bei denen der Schlüssel aws:vpc-lattice:arn und der Wert der Amazon-Ressourcenname (ARN) des VPC Lattice-Dienstes sind.

Das folgende Beispiel zeigt den Verschlüsselungskontext in der Ausgabe einer Operation wie. CreateGrant


"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Überwachung Ihrer Verschlüsselungsschlüssel für VPC Lattice

Wenn Sie eine verwenden AWS Den verwalteten Schlüssel mit Ihrem VPC Lattice-Dienst können Sie verwenden AWS CloudTrailum Anfragen zu verfolgen, an die VPC Lattice sendet AWS KMS.

CreateGrant

Wenn Sie Ihr ACM Zertifikat zu einem VPC Lattice-Dienst hinzufügen, wird in Ihrem Namen eine CreateGrant Anfrage gesendet, dass der TLS Verbindungs-Manager den mit Ihrem Zertifikat verknüpften privaten Schlüssel entschlüsseln kann ACM

Sie können den CreateGrant Vorgang als Ereignis in CloudTrail, Ereignisverlauf, anzeigen. CreateGrant

Im Folgenden finden Sie ein Beispiel für einen Ereignisdatensatz im CloudTrail Ereignisverlauf für den CreateGrant Vorgang.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Im obigen CreateGrant Beispiel ist der Prinzipal des Empfängers der TLS Connection Manager, und der Verschlüsselungskontext hat den VPC Lattice-Dienst. ARN

ListGrants

Sie können Ihre KMS Schlüssel-ID und Ihre Konto-ID verwenden, um den aufzurufen. ListGrants API Dadurch erhalten Sie eine Liste aller Zuschüsse für den angegebenen KMS Schlüssel. Weitere Informationen finden Sie unter ListGrants.

Verwenden Sie den folgenden ListGrants Befehl in der AWS CLI um die Details aller Zuschüsse zu sehen.


aws kms list-grants —key-id your-kms-key-id

Es folgt eine Beispielausgabe.


{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Im obigen ListGrants Beispiel ist der Prinzipal des Empfängers der TLS Connection Manager und der Verschlüsselungskontext hat den VPC Lattice-Dienst. ARN

Decrypt

VPCLattice verwendet den TLS Verbindungs-Manager, um den Decrypt Vorgang zum Entschlüsseln Ihres privaten Schlüssels aufzurufen, um TLS Verbindungen in Ihrem Lattice-Dienst bereitzustellen. VPC Sie können den Decrypt Vorgang im Ereignisverlauf unter Decrypt als CloudTrailEreignis anzeigen.

Im Folgenden finden Sie ein Beispiel für einen Ereignisdatensatz im CloudTrail Ereignisverlauf für den Decrypt Vorgang.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Authentifizierte Anfragen

Identity and Access Management