

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verschlüsselung im Ruhezustand für OpenTelemetry Metriken
<a name="cmk-encryption"></a>

## Was ist ein CloudWatch Datensatz
<a name="cmk-encryption-dataset-overview"></a>

OpenTelemetry (oTEL) -Metriken, die Sie an Amazon senden, CloudWatch werden in einer Ressource gespeichert, die als Datensatz bezeichnet wird. Jeder AWS-Konto hat einen `default` Datensatz in jeder Region, in dem sich alle oTEL-Metriken befinden. Der `default` Datensatz ist der einzige unterstützte Datensatz — Sie können keine zusätzlichen Datensätze erstellen.

Datensätze können wie andere AWS Ressourcen verschlüsselt und mit Tags versehen werden. Der Datensatz ARN hat das folgende Format:

`arn:{{{partition}}}:cloudwatch:{{{region}}}:{{{account-id}}}:dataset/default`

Verwenden Sie die `GetDataset` API, um die aktuelle Verschlüsselungskonfiguration Ihres Datensatzes anzuzeigen:

```
aws cloudwatch get-dataset \
    --dataset-identifier default
```

Wenn dem Datensatz ein vom Kunden verwalteter Schlüssel zugeordnet ist, enthält die Antwort den Schlüssel-ARN. Wenn kein vom Kunden verwalteter Schlüssel zugeordnet ist, wird der Datensatz mit einem AWS eigenen Schlüssel verschlüsselt.

## Optionen für die Verschlüsselung im Ruhezustand
<a name="cmk-encryption-options"></a>

CloudWatch verschlüsselt immer Datensatzdaten im Ruhezustand. CloudWatch Verschlüsselt standardmäßig alle Daten im Ruhezustand mit AWS eigenen Schlüsseln. Sie müssen keine Maßnahmen ergreifen, um Ihre Daten mithilfe AWS eigener Schlüssel zu schützen. Weitere Informationen finden Sie unter [AWS -eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im AWS Key Management Service -Entwicklerhandbuch.

Wenn Sie die Schlüssel verwalten möchten, die zur Verschlüsselung Ihrer Datensatzdaten verwendet werden, können Sie einen vom Kunden verwalteten Schlüssel in AWS Key Management Service (AWS KMS) verwenden. Weitere Informationen finden Sie unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im AWS Key Management Service Entwicklerhandbuch.

Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service  – Preise](https://aws.amazon.com/kms/pricing/).

## Wie CloudWatch wird ein vom Kunden verwalteter Schlüssel für die Datensatzverschlüsselung verwendet
<a name="cmk-encryption-how-it-works"></a>

**Wichtig**  
Die vom Kunden verwaltete Schlüsselverschlüsselung gilt für den `default` Datensatz. Der `default` Datensatz ist der einzige unterstützte Datensatz — Sie können keine zusätzlichen Datensätze erstellen.

Wenn Sie dem Datensatz einen vom Kunden verwalteten Schlüssel zuordnen, CloudWatch verwendet es den Schlüssel, um alle in diesem `default` Datensatz gespeicherten oTel-Metrikdaten zu verschlüsseln.

CloudWatch verwendet den Service Principal (`cloudwatch.amazonaws.com`) direkt mit wichtigen Richtlinienberechtigungen. CloudWatch verwendet keine Zuschüsse oder IAM-Rollen für den Zugriff auf Ihren AWS KMS Schlüssel.

CloudWatch speichert keine Datenschlüssel im Cache. Speichert `kms:Decrypt` Antworten jedoch für bis zu 15 Minuten im CloudWatch Cache. Es kann bis zu 15 Minuten dauern, bis Änderungen an einer wichtigen Richtlinie wirksam werden.

CloudWatch verwendet den folgenden Verschlüsselungskontext für alle AWS KMS kryptografischen Operationen:
+ Schlüssel: `aws:cloudwatch:arn`
+ Wert: `arn:{{{partition}}}:cloudwatch:{{{region}}}:{{{account-id}}}:dataset/default`

## Konfiguration eines vom Kunden verwalteten Schlüssels für Dataset
<a name="cmk-encryption-key-requirements"></a>

Der AWS KMS Schlüssel, den Sie mit CloudWatch Dataset verwenden, muss die folgenden Anforderungen erfüllen:
+ Der Schlüssel muss ein symmetrischer Verschlüsselungsschlüssel (SYMMETRIC\_DEFAULT) mit der Schlüsselverwendung ENCRYPT\_DECRYPT sein. Asymmetrische Schlüssel werden nicht unterstützt.
+ Multi-Region Schlüssel werden nicht unterstützt.
+ Der Schlüssel muss sich im selben AWS-Region Datensatz befinden.
+ Sie müssen den Schlüssel als vollqualifizierten Schlüssel-ARN angeben. Schlüsselaliase und Schlüssel-IDs werden nicht unterstützt.

## Konfiguration wichtiger Richtlinienberechtigungen
<a name="cmk-encryption-permissions"></a>

Um einen vom Kunden verwalteten Schlüssel mit CloudWatch Dataset zu verwenden, muss die Schlüsselrichtlinie die CloudWatch Erlaubnis zur Verwendung des Schlüssels gewähren. Das folgende Beispiel für eine Schlüsselrichtlinie gewährt CloudWatch die erforderlichen Berechtigungen und beinhaltet den Schutz vor verwirrten Stellvertretern.

Der Aufrufer, der den Datensatz verknüpft oder verwendet, muss über `kms:Decrypt` Berechtigungen verfügen, die auf den Verschlüsselungskontext CloudWatch `ViaService` und den Verschlüsselungskontext zugeschnitten sind, wie in der `AllowCallerDecrypt` folgenden Erklärung dargestellt. {{YourApplicationRole}}Ersetzen Sie es durch die IAM-Rolle, die zum Aufrufen von Dataset-APIs verwendet wird. CloudWatch 

**Example Wichtige Richtlinie für die CloudWatch Datensatzverschlüsselung**  

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudWatchDatasetDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudwatch.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{account-id}}"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cloudwatch:{{region}}:{{account-id}}:dataset/default"
                }
            }
        },
        {
            "Sid": "AllowCloudWatchDatasetEncryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudwatch.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{account-id}}",
                    "kms:EncryptionContext:aws:cloudwatch:arn": "arn:aws:cloudwatch:{{region}}:{{account-id}}:dataset/default"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cloudwatch:{{region}}:{{account-id}}:dataset/default"
                }
            }
        },
        {
            "Sid": "AllowCallerDecrypt",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{account-id}}:role/{{YourApplicationRole}}"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "cloudwatch.{{region}}.amazonaws.com",
                    "kms:EncryptionContext:aws:cloudwatch:arn": "arn:aws:cloudwatch:{{region}}:{{account-id}}:dataset/default"
                }
            }
        }
    ]
}
```

Ersetzen Sie {{account-id}} und {{region}} durch Ihre eigenen Werte.

Weitere Informationen zu wichtigen Richtlinien finden Sie unter [Wichtige Richtlinien AWS KMS im](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) AWS Key Management Service Entwicklerhandbuch.

## So verknüpfen Sie einen vom Kunden verwalteten Schlüssel mit einem Datensatz
<a name="cmk-encryption-associate"></a>

Verwenden Sie die `AssociateDatasetKmsKey` API, um einen vom Kunden verwalteten Schlüssel mit einem Datensatz zu verknüpfen. Sie müssen `default` als Datensatz-ID angeben.

Führen Sie den folgenden Befehl aus, um einen vom Kunden verwalteten Schlüssel mithilfe der AWS CLI zuzuordnen:

```
aws cloudwatch associate-dataset-kms-key \
    --dataset-name default \
    --kms-key-arn arn:aws:kms:{{region}}:{{account-id}}:key/{{key-id}}
```

## Verschlüsselungskonfiguration ändern oder entfernen
<a name="cmk-encryption-change-disassociate"></a>

Sie können den vom Kunden verwalteten Schlüssel, der Ihre Datensatzdaten verschlüsselt, ändern oder entfernen.

### Um den vom Kunden verwalteten Schlüssel zu ändern
<a name="cmk-encryption-change-key"></a>

Um den vom Kunden verwalteten Schlüssel zu ersetzen, rufen Sie `AssociateDatasetKmsKey` erneut mit einem neuen Schlüssel-ARN an. Der Anrufer muss sowohl für den aktuellen als auch für den neuen Schlüssel über `kms:Decrypt` Berechtigungen verfügen. CloudWatch beginnt, den neuen Schlüssel für nachfolgende Verschlüsselungsvorgänge zu verwenden.

### Um den vom Kunden verwalteten Schlüssel zu entfernen
<a name="cmk-encryption-disassociate"></a>

Rufen `DisassociateDatasetKmsKey` Sie an, um den vom Kunden verwalteten Schlüssel zu entfernen und zur AWS Verschlüsselung mit dem eigenen Schlüssel zurückzukehren. Der Anrufer muss Zugriff auf den aktuell zugewiesenen Schlüssel haben`kms:Decrypt`.

```
aws cloudwatch disassociate-dataset-kms-key \
    --dataset-name default
```

**Wichtig**  
Nachdem Sie die Zuordnung zu einem vom Kunden verwalteten Schlüssel aufgehoben haben, gibt es ein 3-stündiges Erzwingungsfenster, in dem CloudWatch weiterhin die `kms:Decrypt` Genehmigung für den zuvor verknüpften Schlüssel erforderlich ist. Deaktivieren oder löschen Sie den Schlüssel in diesem Zeitraum nicht.

Wenn sich Ihr Schlüssel im deaktivierten Zustand befindet, müssen Sie ihn erneut aktivieren, bevor Sie ihn vom Datensatz trennen können.

## Einschränkung des Zugriffs auf wichtige Richtlinien
<a name="cmk-encryption-scoping-access"></a>

Sie können Bedingungen in der Schlüsselrichtlinie verwenden, um den Zugriff auf Ihren AWS KMS Schlüssel zu beschränken.

Bedingung für den Verschlüsselungskontext  
Verwenden Sie den `kms:EncryptionContext:aws:cloudwatch:arn` Bedingungsschlüssel, um die Schlüsselverwendung auf Ihren `default` Datensatz zu beschränken.  

```
"Condition": {
    "StringEquals": {
        "kms:EncryptionContext:aws:cloudwatch:arn": "arn:aws:cloudwatch:{{region}}:{{account-id}}:dataset/default"
    }
}
```

Schutz vor verwirrtem Stellvertreter  
Verwenden Sie die `aws:SourceAccount` Bedingungen `aws:SourceArn` und, um kontenübergreifende Angriffe mit verwirrten Stellvertretern zu verhindern.  

```
"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "{{account-id}}"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:cloudwatch:{{region}}:{{account-id}}:dataset/default"
    }
}
```

km: Zustand ViaService   
Verwenden Sie den `kms:ViaService` Bedingungsschlüssel, um die Verwendung von Schlüsseln auf Anfragen zu beschränken, die von stammen CloudWatch.  

```
"Condition": {
    "StringEquals": {
        "kms:ViaService": "cloudwatch.{{region}}.amazonaws.com"
    }
}
```

## Überwachung der CloudWatch Interaktion mit AWS KMS
<a name="cmk-encryption-monitoring"></a>

Sie können AWS CloudTrail damit die Anfragen verfolgen, die in Ihrem Namen CloudWatch AWS KMS an gesendet werden. Die AWS CloudTrail Protokolleinträge verwenden den Dienstprinzipal `cloudwatch.amazonaws.com` und `ViaService` den Wert`cloudwatch.{{{region}}}.amazonaws.com`.

Die folgenden CloudTrail Ereignisnamen erscheinen in Protokolleinträgen für CloudWatch Datenmengenverschlüsselungsvorgänge:
+ `GenerateDataKey`
+ `Encrypt`
+ `Decrypt`
+ `DescribeKey`
+ `ReEncrypt`

Jeder Protokolleintrag enthält den Verschlüsselungskontext, anhand dessen Sie den spezifischen Datensatz identifizieren können, für den sich der Vorgang bezieht.

Weitere Informationen zur Überwachung der AWS KMS Schlüsselnutzung finden Sie unter [Überwachung AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html) im AWS Key Management Service Entwicklerhandbuch.