Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Das Tool AWS Modell
Aus Datenschutzgründen empfehlen wir Ihnen, AWS-Konto Anmeldeinformationen und richten Sie einzelne Benutzer ein mit AWS IAM Identity Center or AWS Identity and Access Management (IAM). So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
-
Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
-
Verwenden SieSSL/TLS, um mit zu kommunizieren AWS Ressourcen schätzen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Für Informationen zur Verwendung von CloudTrail Pfaden zum Erfassen AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden in der AWS CloudTrail Benutzerleitfaden.
-
Verwenden Sie AWS Verschlüsselungslösungen, zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
-
Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
-
Wenn Sie für den Zugriff FIPS 140-3 validierte kryptografische Module benötigen AWS über eine Befehlszeilenschnittstelle oder einenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard (FIPS) 140-3
.
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dazu gehört auch, wenn Sie mit oder anderen arbeiten ACM AWS-Services mit der KonsoleAPI, AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.
Sicherheit für private Zertifikatsschlüssel
Wenn Sie ein öffentliches Zertifikat anfordern, AWS Certificate Manager (ACM) generiert ein öffentliches/privates key pair. Für importierte Zertifikate generieren Sie das Schlüsselpaar. Der öffentliche Schlüssel wird Teil des Zertifikats. ACMspeichert das Zertifikat und den entsprechenden privaten Schlüssel und verwendet AWS Key Management Service (AWS KMS), um den privaten Schlüssel zu schützen. Der Prozess funktioniert wie folgt:
-
Wenn Sie zum ersten Mal ein Zertifikat anfordern oder importieren AWS Region, ACM erstellt eine verwaltete AWS KMS key mit dem Alias aws/acm. Dieser KMS Schlüssel ist in jedem Fall einzigartig AWS Konto und jeder AWS Region.
-
ACMverwendet diesen KMS Schlüssel, um den privaten Schlüssel des Zertifikats zu verschlüsseln. ACMspeichert nur eine verschlüsselte Version des privaten Schlüssels; ACM speichert den privaten Schlüssel nicht in Klartextform. ACMverwendet denselben KMS Schlüssel, um die privaten Schlüssel für alle Zertifikate in einem bestimmten AWS Konto und ein bestimmtes AWS Region.
-
Wenn Sie das Zertifikat einem Dienst zuordnen, der integriert ist AWS Certificate Manager, ACM sendet das Zertifikat und den verschlüsselten privaten Schlüssel an den Dienst. Ein Zuschuss wird auch in erstellt AWS KMS Dadurch kann der Dienst den Schlüssel verwenden, um den privaten KMS Schlüssel des Zertifikats zu entschlüsseln. Weitere Informationen zu Zuschüssen finden Sie unter Verwendung von Zuschüssen in der AWS Key Management Service Leitfaden für Entwickler. Weitere Informationen zu Diensten, die von unterstützt werdenACM, finden Sie unterIn ACM integrierte Services.
Anmerkung
Sie haben die Kontrolle über die automatisch erstellten AWS KMS gewähren. Wenn Sie diesen Zuschuss aus irgendeinem Grund löschen, verlieren Sie die ACM Funktionalität des integrierten Dienstes.
-
Integrierte Dienste verwenden den KMS Schlüssel, um den privaten Schlüssel zu entschlüsseln. Dann verwendet der Dienst das Zertifikat und den entschlüsselten privaten Schlüssel (Klartext), um sichere Kommunikationskanäle (SSL/TLSSessions) mit seinen Clients einzurichten.
-
Wenn die Zuordnung eines Zertifikat von einem integrierten Service getrennt wird, wird die in Schritt 3 erstellte Berechtigung zurückgezogen. Das bedeutet, dass der Dienst den Schlüssel nicht mehr verwenden kann, um den privaten KMS Schlüssel des Zertifikats zu entschlüsseln.