Datenschutz in Amazon Forecast - Amazon Forecast
Verschlüsselung im RuhezustandVerschlüsselung bei Übertragung und VerarbeitungSo verwendet Amazon Forecast Zuschüsse in AWS KMSEinen kundenverwalteten Schlüssel erstellenÜberwachung Ihrer Verschlüsselungsschlüssel für Amazon Forecast Service

Amazon Forecast ist für Neukunden nicht mehr verfügbar. Bestehende Kunden von Amazon Forecast können den Service weiterhin wie gewohnt nutzen. Erfahren Sie mehr“

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in Amazon Forecast

Das Modell der AWS gemeinsamen Verantwortung gilt für den Datenschutz in Amazon Forecast. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der die gesamte Infrastruktur läuft AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie im Abschnitt Datenschutz FAQ. Informationen zum Datenschutz in Europa finden Sie im AWS Shared Responsibility Model und im GDPR Blogbeitrag im AWS Security Blog.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).

  • Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie FIPS 140-3 validierte kryptografische Module für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-3. FIPS

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Forecast oder anderen AWS-Services über die Konsole arbeitenAPI, AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.

Verschlüsselung im Ruhezustand

In Amazon Forecast wird die Verschlüsselungskonfiguration während der CreatePredictor Operationen CreateDataset und bereitgestellt. Wenn während des CreateDataset Vorgangs eine Verschlüsselungskonfiguration bereitgestellt wird, wird Ihre IAM Rolle CMK und Ihre Rolle für Verschlüsselung im Ruhezustand für den CreateDatasetImportJob Vorgang verwendet.

Wenn Sie beispielsweise Ihren Schlüssel KMSKeyArn und einen RoleArn in der EncryptionConfig Anweisung der CreateDataset Operation angeben, übernimmt Forecast diese Rolle und verwendet den Schlüssel, um den Datensatz zu verschlüsseln. Wenn keine Konfiguration bereitgestellt wird, verwendet Forecast die Standard-Serviceschlüssel für die Verschlüsselung. Wenn Sie außerdem die EncryptionConfig Informationen für den CreatePredictor Vorgang angeben, verwenden alle nachfolgenden Operationen, wie z. B. CreateForecast und CreatePredictorExplanability CreatePredictorBacktestExportJob, dieselbe Konfiguration, um die Verschlüsselung im Ruhezustand durchzuführen. Auch hier gilt: Wenn Sie keine Verschlüsselungskonfiguration angeben, verwendet Forecast die standardmäßige Dienstverschlüsselung.

Für alle in Ihrem Amazon S3 S3-Bucket gespeicherten Daten werden die Daten mit dem Amazon S3 S3-Standardschlüssel verschlüsselt. Sie können auch Ihren eigenen AWS KMS Schlüssel verwenden, um Ihre Daten zu verschlüsseln und Forecast Zugriff auf diesen Schlüssel zu gewähren. Informationen zur Datenverschlüsselung in Amazon S3 finden Sie unter Schutz von Daten durch Verschlüsselung. Informationen zur Verwaltung Ihres eigenen AWS KMS Schlüssels finden Sie unter Schlüssel verwalten im AWS Key Management Service Entwicklerhandbuch.

Verschlüsselung bei Übertragung und Verarbeitung

Amazon Forecast verwendet TLS AWS WIT-Zertifikate, um alle an andere AWS Dienste gesendeten Daten zu verschlüsseln. Jegliche Kommunikation mit anderen AWS Diensten erfolgt überHTTPS, und Forecast-Endpunkte unterstützen nur sichere Verbindungen überHTTPS.

Amazon Forecast kopiert Daten aus Ihrem Konto und verarbeitet sie in einem internen AWS System. Bei der Verarbeitung von Daten verschlüsselt Forecast Daten entweder mit einem AWS KMS Forecast-Schlüssel oder einem beliebigen von Ihnen bereitgestellten AWS KMS Schlüssel.

So verwendet Amazon Forecast Zuschüsse in AWS KMS

Amazon Forecast benötigt einen Zuschuss, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.

Forecast erstellt einen Zuschuss unter Verwendung der IAM Rolle, die während des EncryptionConfigCreateDatasetVorgangs CreatePredictoroder übergeben wurde. Forecast übernimmt die Rolle und führt in Ihrem Namen einen Grant-Vorgang durch. Weitere Informationen finden Sie unter IAMRolle einrichten.

Wenn Sie jedoch einen Prädiktor erstellen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt Amazon Forecast in Ihrem Namen einen Zuschuss, indem es eine CreateGrantAnfrage an AWS KMS sendet. Zuschüsse in AWS KMS werden verwendet, um Amazon Forecast Zugriff auf einen AWS KMS Schlüssel in einem Kundenkonto zu gewähren.

Amazon Forecast benötigt den Zuschuss, damit es Ihren vom Kunden verwalteten Schlüssel verwenden kann, um Decrypt-Anfragen an zu AWS KMS senden, um die verschlüsselten Datensatz-Artefakte zu lesen. Forecast verwendet den Zuschuss auch, um GenerateDataKey Anfragen AWS KMS an zu senden, um die Schulungsartefakte zurück nach Amazon S3 zu verschlüsseln.

Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Amazon Forecast auf keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise versuchen, den CreateForecast Vorgang mit einem verschlüsselten Prädiktor auszuführen, auf den Amazon Forecast nicht zugreifen kann, gibt der Vorgang einen AccessDeniedException Fehler zurück.

Einen kundenverwalteten Schlüssel erstellen

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS Management Console oder den verwenden. AWS KMS API Um einen symmetrischen, vom Kunden verwalteten Schlüssel zu erstellen, folgen Sie den Schritten unter Erstellen eines symmetrischen kundenverwalteten Schlüssels im AWS Key Management Service Entwicklerhandbuch.

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service .

Um Ihren vom Kunden verwalteten Schlüssel mit Amazon Forecast-Ressourcen zu verwenden, müssen die folgenden API Vorgänge in der Schlüsselrichtlinie zulässig sein:

  • kms: DescribeKey — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, die es Amazon Forecast ermöglichen, den Schlüssel zu validieren.

  • kms: CreateGrant — Fügt einem vom Kunden verwalteten Schlüssel einen Zuschuss hinzu. Gewährt Kontrollzugriff auf einen bestimmten AWS KMS Schlüssel, der den Zugriff auf Grant-Operationen ermöglicht, die Amazon Forecast benötigt. Durch diesen Vorgang kann Amazon Forecast aufrufenGenerateDataKey, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort für die Verschlüsselung verwendet wird. Durch den Vorgang kann Amazon Forecast außerdem anrufen, Decrypt sodass es den gespeicherten verschlüsselten Datenschlüssel verwenden und auf die verschlüsselten Daten zugreifen kann.

  • km: RetireGrant - Alle während des CreateGrant Betriebs gewährten Zuschüsse werden nach Abschluss der Operation zurückgezogen.

Anmerkung

Amazon Forecast führt eine kms:Decrypt kms:GenerateDataKey Überprüfung der Identität des Anrufers durch. Sie erhalten eine, AccessDeniedException falls der Anrufer nicht über die entsprechenden Berechtigungen verfügt. Die Schlüsselrichtlinie sollte auch dem folgenden Code ähneln:

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Weitere Informationen finden Sie unter IAMRichtlinie.

Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für Amazon Forecast hinzufügen können. Dies sind die erforderlichen Mindestberechtigungen. Sie können auch mithilfe von IAM Richtlinien hinzugefügt werden.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie und zur Fehlerbehebung beim Schlüsselzugriff finden Sie im AWS Key Management Service Entwicklerhandbuch.

Überwachung Ihrer Verschlüsselungsschlüssel für Amazon Forecast Service

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Forecast Service-Ressourcen verwenden, können Sie AWS CloudTrailoder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, an die Forecast sendet AWS KMS. Die folgenden Beispiele sind AWS CloudTrail Ereignisse fürCreateGrant, und DescribeKey zur Überwachung von AWS KMS VorgängenRetireGrant, die von Amazon Forecast aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
RetireGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}