Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherung der Anmeldeinformationen für Speicherorte mit Secrets Manager
<a name="location-credentials"></a>

DataSync verwendet [Standorte](https://docs.aws.amazon.com/datasync/latest/userguide/how-datasync-transfer-works.html#sync-locations), um auf Ihre Speicherressourcen zuzugreifen, die sich vor Ort, in anderen Clouds oder in. AWS Bei einigen Standorttypen müssen Sie Anmeldeinformationen angeben (z. B. Zugriffsschlüssel und geheimer Schlüssel, Benutzername und Passwort, Kerberos-Keytab, SAS-Token usw.), um sich bei Ihrem Speichersystem zu authentifizieren. Wenn Sie einen DataSync Standort erstellen, für den Anmeldeinformationen für die Authentifizierung erforderlich sind, können Sie AWS Secrets Manager (Secrets Manager) verwenden, um das Geheimnis für Ihre Anmeldeinformationen zu speichern. Die folgenden Optionen sind verfügbar:
+ [ManagedSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_ManagedSecretConfig.html): DataSync -Managed Secret-Konfiguration. Speichern Sie das Geheimnis in Secrets Manager, indem Sie ein vom DataSync Service verwaltetes Geheimnis verwenden, das mit einem Standardschlüssel verschlüsselt ist.
+ [CmkSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_CmkSecretConfig.html): DataSync -Managed Secret mit CMK-Konfiguration (Customer-Managed Key). Speichern Sie das Geheimnis in Secrets Manager, indem Sie ein vom DataSync Service verwaltetes Geheimnis verwenden, das mit einem von Ihnen verwalteten AWS KMS Schlüssel verschlüsselt ist.
+ [CustomSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_CustomSecretConfig.html): Konfiguration für vom Kunden verwaltetes Geheimnis. Speichern Sie das Geheimnis in Secrets Manager mithilfe eines Secrets und Schlüssels, den Sie erstellen und verwalten. DataSync greift mithilfe einer von Ihnen bereitgestellten IAM-Rolle auf dieses Geheimnis zu.

In allen Fällen wird das Secrets Manager Manager-Geheimnis in Ihrem Konto gespeichert, sodass Sie das Geheimnis bei Bedarf unabhängig vom DataSync Dienst aktualisieren können. Secrets, die von erstellt und verwaltet werden DataSync , haben das Präfix`aws-datasync`.

Die Verwendung von Geheimnissen wird Ihnen nur dann in Rechnung gestellt, wenn Sie Geheimnisse außerhalb von Diensten erstellen DataSync oder API-Aufrufe für vom Dienst verwaltete Geheimnisse aus anderen Diensten als DataSync ausführen.

## Verwenden eines vom Service verwalteten Geheimnisses, das mit einem Standardschlüssel verschlüsselt ist
<a name="service-secret-default-key"></a>

Wenn Sie Ihren DataSync Standort erstellen, geben Sie einfach die geheime Zeichenfolge an. DataSyncerstellt eine geheime Ressource in Secrets Manager, um das von Ihnen angegebene Geheimnis zu speichern, und verschlüsselt das Geheimnis mit dem standardmäßigen Secrets Manager KMS-Schlüssel für Ihr Konto. Sie können den geheimen Wert direkt in Secrets Manager ändern oder indem Sie den Speicherort mithilfe der DataSync Konsole oder des SDK aktualisieren. AWS CLI Wenn Sie die Standortressource löschen oder sie so aktualisieren, dass sie ein benutzerdefiniertes Geheimnis verwendet, wird die geheime Ressource automatisch DataSync gelöscht.

**Anmerkung**  
Um geheime Ressourcen in Secrets Manager zu erstellen, zu ändern und zu löschen, DataSync müssen Sie über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien für DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awsdatasyncfullaccess).

## Es wird ein vom Service verwaltetes Geheimnis verwendet, das mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt ist
<a name="service-secret-custom-key"></a>

Wenn Sie Ihren DataSync Standort erstellen, geben Sie das Geheimnis und den ARN Ihres AWS KMS Schlüssels an. DataSync erstellt automatisch eine geheime Ressource in Secrets Manager, um das von Ihnen angegebene Geheimnis zu speichern, und verschlüsselt es mit Ihrem AWS KMS Schlüssel. Sie können den geheimen Wert direkt in Secrets Manager ändern oder indem Sie den Speicherort mithilfe der DataSync Konsole oder des SDK aktualisieren. AWS CLI Wenn Sie die Standortressource löschen oder sie so aktualisieren, dass sie ein benutzerdefiniertes Geheimnis verwendet, wird die geheime Ressource automatisch DataSync gelöscht.

**Anmerkung**  
Ihr AWS KMS Schlüssel muss eine symmetrische Verschlüsselung mit dem `ENCRYPT_DECRYPT` Schlüsseltyp verwenden. Weitere Informationen finden Sie im *AWS Secrets Manager Benutzerhandbuch* unter [Einen AWS Key Management Service Schlüssel](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) auswählen.

Um geheime Ressourcen in Secrets Manager zu erstellen, zu ändern und zu löschen, DataSync müssen Sie über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter [AWS managed policy: AWSDataSyncFullAccess](https://docs.aws.amazon.com/datasync/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awsdatasyncfullaccess) (verwaltete Richtlinie).

Neben der Verwendung der richtigen DataSync verwalteten Richtlinie benötigen Sie auch die folgenden Berechtigungen:

```
{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}
```

*your-kms-key-arn*Ersetzen Sie es durch Ihren KMS-Schlüssel ARN.

Um den geheimen Wert abzurufen und zu entschlüsseln, DataSync verwendet eine Service Linked Role (SLR), um auf Ihren AWS KMS Schlüssel zuzugreifen. Um sicherzustellen, dass Sie Ihren KMS-Schlüssel verwenden DataSync können, fügen Sie der Richtlinienerklärung des Schlüssels Folgendes hinzu:

```
{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}
```

Ersetze es *111122223333* durch deine AWS-Konto ID.

## Verwenden Sie ein Geheimnis, das Sie verwalten
<a name="custom-secret-custom-key"></a>

Bevor Sie Ihren DataSync Standort erstellen, [erstellen Sie ein Geheimnis in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html). Der Wert für das Geheimnis darf nur die geheime Zeichenfolge selbst im Klartext enthalten. Wenn Sie Ihren DataSync Standort erstellen, geben Sie den ARN Ihres Geheimnisses und eine IAM-Rolle an, die DataSync für den Zugriff auf Ihr Geheimnis und den AWS KMS Schlüssel verwendet wird, mit dem Ihr Geheimnis verschlüsselt wurde. Gehen Sie wie folgt vor, um eine IAM-Rolle mit den entsprechenden Berechtigungen zu erstellen:

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im linken Navigationsbereich unter **Zugriffsverwaltung** die Option **Rollen** und dann **Rolle erstellen** aus.

1. **Wählen Sie auf der Seite Vertrauenswürdige Entität** auswählen für **Vertrauenswürdigen Entitätstyp** die Option **AWS Dienst** aus.

1. Wählen **Sie unter Anwendungsfall** eine Option **DataSync**aus der Dropdownliste aus. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die Option **Next** (Weiter) aus. Geben Sie einen Namen für Ihre Rolle ein und wählen Sie dann **Rolle erstellen** aus.

1. Suchen Sie auf der Seite **Rollen** nach der Rolle, die Sie gerade erstellt haben, und wählen Sie ihren Namen aus.

1. Wählen Sie auf der **Detailseite** für die Rolle den Tab **Berechtigungen** aus. Wählen **Sie Berechtigungen hinzufügen** und dann **Inline-Richtlinie erstellen** aus.

1. Wählen Sie die Registerkarte **JSON** und fügen Sie dem Richtlinieneditor die folgenden Berechtigungen hinzu:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:your-secret-name"
           }
       ]
   }
   ```

------

   *your-secret-name*Ersetzen Sie es durch den Namen Ihres Secrets Manager Manager-Geheimnisses.

1. Wählen Sie **Weiter** aus. Geben Sie einen Namen für Ihre Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus.

1. (Empfohlen) Gehen Sie wie folgt vor, um das [dienstübergreifende Problem mit verwirrten Stellvertretern](https://docs.aws.amazon.com/datasync/latest/userguide/cross-service-confused-deputy-prevention.html) zu vermeiden:

   1. Wählen Sie auf der **Detailseite** für die Rolle die Registerkarte **Vertrauensbeziehungen** aus. Wählen Sie **Vertrauensrichtlinie bearbeiten** aus.

   1. Aktualisieren Sie die Vertrauensrichtlinie anhand des folgenden Beispiels, das die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel enthält:

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "datasync.amazonaws.com"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                      "aws:SourceAccount": "111122223333"
                      },
                      "ArnLike": {
                      "aws:SourceArn": "arn:aws:datasync:us-east-1:111122223333:*"
                      }
                  }
              }
          ]
      }
      ```

------

   1. Wählen Sie **Richtlinie aktualisieren**.

Sie können diese Rolle bei der Erstellung Ihres Standorts angeben. Wenn Ihr Secret einen vom Kunden verwalteten AWS KMS Schlüssel für die Verschlüsselung verwendet, müssen Sie auch die Richtlinie des Schlüssels aktualisieren, um den Zugriff von der Rolle aus zu ermöglichen, die Sie im vorherigen Verfahren erstellt haben. Um die Richtlinie zu aktualisieren, fügen Sie der Richtlinienerklärung Ihres AWS KMS Schlüssels Folgendes hinzu:

```
{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam:111122223333:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}
```

*111122223333*Ersetzen Sie es durch Ihre AWS-Konto ID und *your-role-name* den Namen der IAM-Rolle, die Sie im vorherigen Verfahren erstellt haben.

**Anmerkung**  
Wenn Sie Geheimnisse im Secrets Manager speichern, AWS-Konto fallen Gebühren an. Informationen zu Preisen erhalten Sie unter [AWS Secrets Manager -Preise](https://aws.amazon.com/secrets-manager/pricing/).