Datenschutz in AWS AppFabric - AWS AppFabric
Verschlüsselung im RuhezustandVerschlüsselung während der ÜbertragungSchlüsselverwaltungSchlüsselrichtlinieWie AppFabric verwendet Zuschüsse in AWS KMSÜberwachen Sie Ihre Verschlüsselungsschlüssel für AppFabric

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AWS AppFabric

Das Modell der AWS gemeinsamen Verantwortung und geteilter Verantwortung gilt für den Datenschutz in AWS AppFabric. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie im Abschnitt Datenschutz FAQ. Informationen zum Datenschutz in Europa finden Sie im AWS Shared Responsibility Model und im GDPR Blogbeitrag auf dem AWS Security Blog.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).

  • Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie FIPS 140-3 validierte kryptografische Module für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-3. FIPS

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole arbeiten AppFabric oder sie anderweitig AWS-Services verwenden,API, AWS CLI oder. AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen in den angebenURL, um Ihre Anfrage an diesen Server zu überprüfen.

Anmerkung

Weitere Informationen zum Datenschutz in Bezug auf die Sicherheit AppFabric finden Sie unterDatenverarbeitung.

Verschlüsselung im Ruhezustand

AWS AppFabric unterstützt Verschlüsselung im Ruhezustand, eine serverseitige Verschlüsselungsfunktion, mit der alle Daten, die sich auf Ihre App-Bundles beziehen, AppFabric transparent verschlüsselt werden, wenn sie dauerhaft auf der Festplatte gespeichert sind, und sie beim Zugriff auf die Daten entschlüsselt werden. AppFabric Verschlüsselt Ihre Daten standardmäßig mit einem from (). AWS-eigener Schlüssel AWS Key Management Service AWS KMS Sie können sich auch dafür entscheiden, Ihre Daten mit Ihrem eigenen, vom Kunden verwalteten Schlüssel von zu verschlüsseln. AWS KMS

Wenn Sie ein App-Bundle löschen, werden alle zugehörigen Metadaten dauerhaft gelöscht.

Verschlüsselung während der Übertragung

Wenn Sie ein App-Bundle konfigurieren, können Sie entweder einen AWS-eigener Schlüssel oder einen vom Kunden verwalteten Schlüssel wählen. Beim Sammeln und Normalisieren der Daten für eine Audit-Log-Ingestion werden die Daten vorübergehend in einem Zwischenspeicher von Amazon Simple Storage Service (Amazon S3) AppFabric gespeichert und mit diesem Schlüssel verschlüsselt. Dieser Zwischen-Bucket wird nach 30 Tagen mithilfe einer Bucket-Lifecycle-Richtlinie gelöscht.

AppFabric sichert alle Daten während der Übertragung mithilfe von TLS 1.2 und signiert API Anfragen für AWS-Services mit AWS Signature V4.

Schlüsselverwaltung

AppFabric unterstützt die Verschlüsselung von Daten mit einem AWS-eigener Schlüssel oder einem vom Kunden verwalteten Schlüssel. Wir empfehlen Ihnen, einen vom Kunden verwalteten Schlüssel zu verwenden, da Sie damit die volle Kontrolle über Ihre verschlüsselten Daten haben. Wenn Sie sich für einen vom Kunden verwalteten Schlüssel entscheiden, AppFabric fügt er dem vom Kunden verwalteten Schlüssel eine Ressourcenrichtlinie hinzu, die ihm Zugriff auf den vom Kunden verwalteten Schlüssel gewährt.

Kundenverwalteter Schlüssel

Um einen vom Kunden verwalteten Schlüssel zu erstellen, folgen Sie den Schritten zum Erstellen symmetrischer KMS Verschlüsselungsschlüssel im AWS KMS Entwicklerhandbuch.

Schlüsselrichtlinie

Wichtige Richtlinien regeln den Zugriff auf Ihre vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Informationen zum Erstellen einer Schlüsselrichtlinie finden Sie unter Erstellen einer Schlüsselrichtlinie im AWS KMS Entwicklerhandbuch.

Um einen vom Kunden verwalteten Schlüssel mit verwenden zu können AppFabric, muss der Benutzer oder die Rolle AWS Identity and Access Management (IAM), die Ihre AppFabric Ressourcen erstellt haben, über die Berechtigung verfügen, Ihren vom Kunden verwalteten Schlüssel zu verwenden. Wir empfehlen Ihnen, einen Schlüssel zu erstellen, den Sie nur mit diesem Schlüssel verwenden, AppFabric und Ihre AppFabric Benutzer als Benutzer des Schlüssels hinzuzufügen. Dieser Ansatz schränkt den Umfang des Zugriffs auf Ihre Daten ein. Die Berechtigungen, die Ihre Benutzer benötigen, lauten wie folgt:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:Decrypt

Die AWS KMS Konsole führt Sie durch die Erstellung eines Schlüssels mit der entsprechenden Schlüsselrichtlinie. Weitere Informationen zu wichtigen Richtlinien finden Sie unter Wichtige Richtlinien AWS KMS im AWS KMS Entwicklerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine wichtige Richtlinie, die Folgendes ermöglicht:

  • Die Root-Benutzer des AWS-Kontos vollständige Kontrolle über den Schlüssel.

  • Benutzer, mit denen Sie AppFabric Ihren vom Kunden verwalteten Schlüssel verwenden dürfen AppFabric.

  • Eine wichtige Richtlinie für die Einrichtung eines App-Bundles inus-east-1.

{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": ["kms:*"],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        },
        {
            "Sid": "Allow read-only access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow access to principals authorized to use AWS AppFabric",
            "Effect": "Allow",
            "Principal": {"AWS": "IAM-role/user-creating-appfabric-resources"},
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListAliases"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "appfabric.us-east-1.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        }
    ]
}

Wie AppFabric verwendet Zuschüsse in AWS KMS

AppFabric erfordert einen Zuschuss, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können. Weitere Informationen finden Sie unter Grants AWS KMS im AWS KMS Developer Guide.

Wenn Sie ein App-Bundle erstellen, AppFabric erstellt es in Ihrem Namen einen Zuschuss, indem Sie eine CreateGrant Anfrage an senden AWS KMS. Zuschüsse in AWS KMS werden verwendet, um AppFabric Zugriff auf einen AWS KMS Schlüssel in einem Kundenkonto zu gewähren. AppFabric setzt voraus, dass der Zuschuss Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen verwendet:

  • Senden Sie GenerateDataKey Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt sind.

  • Senden Sie Decrypt Anfragen AWS KMS zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass diese zur Verschlüsselung Ihrer Daten und zur Entschlüsselung von Anwendungszugriffstoken während der Übertragung verwendet werden können.

  • Senden Sie Encrypt Anfragen an, AWS KMS um Zugriffstoken für Anwendungen während der Übertragung zu verschlüsseln.

Im Folgenden finden Sie ein Beispiel für einen Zuschuss.

{
  "KeyId": "arn:aws:kms:us-east-1:111122223333:key/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "GrantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
  "Name": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "CreationDate": "2022-10-11T20:35:39+00:00",
  "GranteePrincipal": "appfabric.us-east-1.amazonaws.com",
  "RetiringPrincipal": "appfabric.us-east-1.amazonaws.com",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "Operations": [
    "Decrypt",
    "Encrypt",
    "GenerateDataKey"
  ],
  "Constraints": {
    "EncryptionContextSubset": {
      "appBundleArn": "arn:aws:fabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
    }
  }
},

Wenn Sie ein App-Paket löschen, werden gewährte Zuschüsse für Ihren vom Kunden verwalteten Schlüssel AppFabric zurückgezogen.

Überwachen Sie Ihre Verschlüsselungsschlüssel für AppFabric

Wenn Sie vom AWS KMS Kunden verwaltete Schlüssel mit verwenden AppFabric, können Sie AWS CloudTrail Protokolle verwenden, um Anfragen nachzuverfolgen, die AppFabric an gesendet AWS KMS werden.

Im Folgenden finden Sie ein Beispiel CreateGrant für ein CloudTrail Ereignis, das protokolliert wird, wenn Ihr vom Kunden verwalteter Schlüssel AppFabric verwendet wird.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser",
        "arn": "arn:aws:sts::111122223333:assumed-role/AssumedRole/SampleUser",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/AssumedRole",
                "accountId": "111122223333",
                "userName": "SampleUser"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-04-28T14:01:33Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-04-28T14:05:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "appfabric.amazonaws.com",
    "userAgent": "appfabric.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "appfabric.us-east-1.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": {
                "appBundleArn": "arn:aws:appfabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
            }
        },
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLEID",
        "retiringPrincipal": "appfabric.us-east-1.amazonaws.com",
        "operations": [
            "Encrypt",
            "Decrypt",
            "GenerateDataKey"
        ]
    },
    "responseElements": {
        "grantId": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/KEY_ID"
    },
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_256_GCM_SHA384",
        "clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
    }
}