So DataZone verwendet Amazon Zuschüsse in AWS KMS Einen kundenverwalteten Schlüssel erstellen Angabe eines vom Kunden verwalteten Schlüssels für Amazon DataZone DataZone Amazon-Verschlüsselungskontext Überwachung Ihrer Verschlüsselungsschlüssel für Amazon DataZone Erstellen von Data Lake-Umgebungen mit verschlüsselten AWS Glue-Katalogen

Datenverschlüsselung im Ruhezustand für Amazon DataZone

Die standardmäßige Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.

Amazon DataZone verwendet AWS eigene Standardschlüssel, um Ihre Daten im Ruhezustand automatisch zu verschlüsseln. Sie können die Verwendung AWS eigener Schlüssel nicht einsehen, verwalten oder überprüfen. Weitere Informationen finden Sie unter AWS Eigene Schlüssel.

Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen anderen Verschlüsselungstyp auswählen, aber Sie können eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen, indem Sie bei der Erstellung Ihrer DataZone Amazon-Domains einen vom Kunden verwalteten Schlüssel auswählen. Amazon DataZone unterstützt die Verwendung symmetrischer, vom Kunden verwalteter Schlüssel, die Sie erstellen, besitzen und verwalten können, um der vorhandenen AWS eigenen Verschlüsselung eine zweite Verschlüsselungsebene hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie darin die folgenden Aufgaben ausführen:

Legen Sie wichtige Richtlinien fest und pflegen Sie sie
Festlegung und Aufrechterhaltung von IAM Richtlinien und Zuschüssen
Aktivieren und deaktivieren Sie wichtige Richtlinien
Rotieren Sie das kryptografische Schlüsselmaterial
Tags hinzufügen
Schlüsselaliase erstellen
Planen Sie das Löschen von Schlüsseln

Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel.

Anmerkung

Amazon aktiviert DataZone automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um Kundendaten kostenlos zu schützen.

AWS KMSFür die Verwendung von vom Kunden verwalteten Schlüsseln fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für den AWS Key Management Service.

So DataZone verwendet Amazon Zuschüsse in AWS KMS

Amazon DataZone benötigt drei Zuschüsse, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können. Wenn Sie eine DataZone Amazon-Domain erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, DataZone erstellt Amazon Zuschüsse und Unterzuschüsse in Ihrem Namen, indem es CreateGrantAnfragen an AWS KMS sendet. Zuschüsse AWS KMS werden verwendet, um Amazon DataZone Zugriff auf einen KMS Schlüssel in Ihrem Konto zu gewähren. Amazon gewährt DataZone die folgenden Zuschüsse, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen zu verwenden:

Ein Zuschuss für die Verschlüsselung Ihrer Daten im Ruhezustand für die folgenden Vorgänge:

Senden Sie DescribeKeyAnfragen, um AWS KMS zu überprüfen, ob die symmetrische, vom Kunden verwaltete KMS Schlüssel-ID, die Sie bei der Erstellung einer DataZone Amazon-Domainsammlung eingegeben haben, gültig ist.
Senden Sie an GenerateDataKeyrequests, AWS KMS um Datenschlüssel zu generieren, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
Senden Sie Entschlüsselungsanfragen an AWS KMS, um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zur Verschlüsselung Ihrer Daten verwendet werden können.
RetireGrantum den Zuschuss zurückzuziehen, wenn die Domain gelöscht wird.

Zwei Zuschüsse für die Suche und Entdeckung Ihrer Daten:

Zuschuss 2:
- DescribeKey
- GenerateDataKey
- Verschlüsseln, Entschlüsseln, ReEncrypt
- CreateGrantum Zuschüsse für Kinder für AWS Dienste zu gewähren, die intern von genutzt werden. DataZone
- RetireGrant
Zuschuss 3:

Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Amazon auf DataZone keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise versuchen, Datenbestandsdetails abzurufen, auf die Amazon nicht zugreifen DataZone kann, gibt der Vorgang einen AccessDeniedException Fehler zurück.

Einen kundenverwalteten Schlüssel erstellen

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS Management Console oder der AWS KMS APIs erstellen.

Um einen symmetrischen, vom Kunden verwalteten Schlüssel zu erstellen, folgen Sie den Schritten unter Erstellen eines symmetrischen kundenverwalteten Schlüssels im AWS Key Management Service Developer Guide.

Schlüsselrichtlinie — Wichtige Richtlinien regeln den Zugriff auf Ihren vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel im AWS Key Management Service Developer Guide.

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren DataZone Amazon-Ressourcen zu verwenden, müssen die folgenden API Vorgänge in der Schlüsselrichtlinie zulässig sein:

kms: CreateGrant — fügt einem vom Kunden verwalteten Schlüssel einen Zuschuss hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS Schlüssel, der den Zugriff auf Grant-Operationen ermöglicht, die Amazon DataZone benötigt. Weitere Informationen zur Verwendung von Grants finden Sie im AWS Key Management Service Developer Guide.
kms: DescribeKey — stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon DataZone den Schlüssel validieren kann.
kms: GenerateDataKey — gibt einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von AWS KMS zurück.
kms:Decrypt — entschlüsselt Chiffretext, der mit einem Schlüssel verschlüsselt wurde. KMS

Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für Amazon hinzufügen können DataZone:



"Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to manage Amazon DataZone",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::<account_id>:root"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant", 
        "kms:GenerateDataKey", 
        "kms:Decrypt"
      ],
      "Resource" : "arn:aws:kms:region:<account_id>:key/key_ID",
    }
  ]

Anmerkung

Die Richtlinie „Deny on the KMS Policy“ gilt nicht für Ressourcen, auf die über das DataZone Amazon-Datenportal zugegriffen wird.

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie finden Sie im AWS Key Management Service Developer Guide.

Weitere Informationen zur Fehlerbehebung beim Schlüsselzugriff finden Sie im AWS Key Management Service Developer Guide.

Angabe eines vom Kunden verwalteten Schlüssels für Amazon DataZone

DataZone Amazon-Verschlüsselungskontext

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

AWS KMSverwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Amazon DataZone verwendet den folgenden Verschlüsselungskontext:



"encryptionContextSubset": {
    "aws:datazone:domainId": "{root-domain-uuid}"
}

Verwendung des Verschlüsselungskontextes für die Überwachung — Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung von Amazon verwenden DataZone, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail .

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf Ihren vom Kunden verwalteten Schlüssel — Sie können den Verschlüsselungskontext in wichtigen Richtlinien und IAM Richtlinien als Bedingungen für die Steuerung des Zugriffs auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel verwenden. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

Amazon DataZone verwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.



{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},{
    "Sid": "Enable Decrypt, GenerateDataKey",
     "Effect": "Allow",
     "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
     ],
     "Resource": "*",
     "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:datazone:domainId": "{root-domain-uuid}"
        }
    }
}

Überwachung Ihrer Verschlüsselungsschlüssel für Amazon DataZone

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren DataZone Amazon-Ressourcen verwenden, können Sie AWS CloudTraildamit Anfragen verfolgen, an die Amazon DataZone sendet AWS KMS. Die folgenden Beispiele sind AWS CloudTrail Ereignisse fürCreateGrant,GenerateDataKey, und zur Überwachung von KMS VorgängenDecrypt, DescribeKey die von Amazon aufgerufen werden, DataZone um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden. Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden, um Ihre DataZone Amazon-Domain zu verschlüsseln, DataZone sendet Amazon in Ihrem Namen eine CreateGrant Anfrage, um auf den KMS Schlüssel in Ihrem AWS Konto zuzugreifen. Zuschüsse, die Amazon DataZone erstellt, sind spezifisch für die Ressource, die dem vom AWS KMS Kunden verwalteten Schlüssel zugeordnet ist. Darüber hinaus DataZone verwendet Amazon den RetireGrant Vorgang, um einen Zuschuss zu entfernen, wenn Sie eine Domain löschen. Das folgende Beispielereignis zeichnet den Vorgang CreateGrant auf:



{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:datazone:domainId": "SAMPLE-root-domain-uuid"
            }
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "operations": [
            "Decrypt",
            "GenerateDataKey",
            "RetireGrant",
            "DescribeKey"
        ],
        "granteePrincipal": "datazone.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Erstellen von Data Lake-Umgebungen mit verschlüsselten AWS Glue-Katalogen

In fortgeschrittenen Anwendungsfällen, wenn Sie mit einem verschlüsselten AWS Glue-Katalog arbeiten, müssen Sie Zugriff auf den DataZone Amazon-Service gewähren, um Ihren vom Kunden verwalteten KMS Schlüssel verwenden zu können. Sie können dies tun, indem Sie Ihre benutzerdefinierte KMS Richtlinie aktualisieren und dem Schlüssel ein Tag hinzufügen. Gehen Sie wie folgt vor, um Zugriff auf den DataZone Amazon-Service für die Arbeit mit Daten in einem verschlüsselten AWS Glue-Katalog zu gewähren:

Fügen Sie Ihrem benutzerdefinierten KMS Schlüssel die folgende Richtlinie hinzu. Weitere Informationen finden Sie unter Changing a key policy (Ändern einer Schlüsselrichtlinie).



{
  "Sid": "Allow datazone environment roles to use the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:Describe*",
    "kms:Get*"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:PrincipalArn": "arn:aws:iam::*:role/*datazone_usr*"
    }
  }
}

Fügen Sie Ihrem benutzerdefinierten KMS Schlüssel das folgende Tag hinzu. Weitere Informationen finden Sie unter Verwenden von Tags zur Steuerung des Zugriffs auf KMS Schlüssel.
```
key: AmazonDataZoneEnvironment
value: all 
          
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

Verwenden von VPC Schnittstellenendpunkten für Amazon DataZone