Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in Amazon FSx für Windows File Server
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in Amazon FSx for Windows File Server. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit FSx für Windows File Server oder anderen Geräten arbeiten, indem Sie die Konsole, die API oder AWS-Services verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Datenverschlüsselung FSx für Windows File Server
Amazon FSx für Windows File Server unterstützt die Verschlüsselung von Daten im Ruhezustand und die Verschlüsselung von Daten während der Übertragung. Die Verschlüsselung von Daten im Ruhezustand wird automatisch aktiviert, wenn ein FSx Amazon-Dateisystem erstellt wird. Die Verschlüsselung von Daten während der Übertragung wird auf Dateifreigaben unterstützt, die einer Compute-Instance zugeordnet sind, die das SMB-Protokoll 3.0 oder neuer unterstützt. Amazon verschlüsselt Daten während der Übertragung FSx automatisch mithilfe der SMB-Verschlüsselung, wenn Sie auf Ihr Dateisystem zugreifen, ohne dass Sie Ihre Anwendungen ändern müssen.
### Verwendung von Verschlüsselung
Wenn in Ihrem Unternehmen Unternehmens- oder Behördenrichtlinien für die Verschlüsselung von gespeicherten Daten und Metadaten gelten, sollten Sie ein verschlüsseltes Dateisystem erstellen, bei dem Daten während der Übertragung verschlüsselt werden.
Wenn Ihr Unternehmen Unternehmens- oder behördlichen Richtlinien unterliegt, die die Verschlüsselung von Daten und Metadaten im Ruhezustand vorschreiben, werden Ihre Daten im Ruhezustand automatisch verschlüsselt. Wir empfehlen Ihnen außerdem, die Verschlüsselung von Daten bei der Übertragung zu aktivieren, indem Sie Ihr Dateisystem mithilfe der Verschlüsselung von Daten während der Übertragung einbinden.
# Verschlüsselung gespeicherter Daten
Alle FSx Amazon-Dateisysteme sind im Ruhezustand mit Schlüsseln verschlüsselt, die mit AWS Key Management Service (AWS KMS) verwaltet werden. Daten werden automatisch verschlüsselt, bevor sie in das Dateisystem geschrieben werden, und beim Lesen automatisch entschlüsselt. Diese Prozesse werden von Amazon transparent abgewickelt FSx, sodass Sie Ihre Anwendungen nicht ändern müssen.
Amazon FSx verwendet einen branchenüblichen AES-256-Verschlüsselungsalgorithmus, um FSx Daten und Metadaten von Amazon im Ruhezustand zu verschlüsseln. Weitere Informationen finden Sie unter [Grundlagen der Kryptographie](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) im *AWS Key Management Service -Entwicklerhandbuch*.
**Anmerkung**
Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-2 zugelassene kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen der National Institute of Standards and Technology (NIST) 800-57.
## So FSx nutzt Amazon AWS KMS
Amazon FSx integriert sich in AWS KMS unsere Schlüsselverwaltung. Amazon FSx verwendet ein AWS KMS key , um Ihr Dateisystem zu verschlüsseln. Sie wählen den KMS-Schlüssel, der zum Verschlüsseln und Entschlüsseln von Dateisystemen (sowohl Daten als auch Metadaten) verwendet wird. Sie können Zuweisungen für diesen KMS-Schlüssel aktivieren, deaktivieren oder widerrufen. Dieser KMS-Schlüssel kann einer der beiden folgenden Typen sein:
+ **Von AWS verwalteter Schlüssel**— Dies ist der Standard-KMS-Schlüssel, der kostenlos verwendet werden kann.
+ **Kundenverwalteter Schlüssel** – Dies ist der flexibelste KMS-Schlüssel, da Sie seine Schlüsselrichtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im * AWS Key Management Service Developer Guide*.
Wenn Sie einen vom Kunden verwalteten Schlüssel als KMS-Schlüssel für die Verschlüsselung und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. In diesem Fall rotiert AWS KMS Ihren Schlüssel einmal jährlich automatisch. Darüber hinaus können Sie mit einem vom Kunden verwalteten Schlüssel jederzeit wählen, wann Sie den Zugriff auf Ihren KMS-Schlüssel deaktivieren, erneut aktivieren, löschen oder widerrufen möchten. Weitere Informationen finden Sie unter [Rotating AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) im * AWS Key Management Service Entwicklerhandbuch*.
## FSx Wichtige Richtlinien von Amazon für AWS KMS
Schlüsselrichtlinien sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Weitere Informationen zu wichtigen Richtlinien finden Sie unter [Verwenden wichtiger Richtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch.*In der folgenden Liste werden alle zugehörigen Berechtigungen AWS KMS beschrieben, die von Amazon FSx für Dateisysteme mit Verschlüsselung im Ruhezustand unterstützt werden:
+ **kms:Encrypt** – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms:Decrypt** – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ReEncrypt** — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen KMS-Schlüssel, ohne den Klartext der Daten auf der Clientseite offenzulegen. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Erforderlich) Gibt einen mit einem KMS-Schlüssel verschlüsselten Datenverschlüsselungsschlüssel zurück. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter **kms: GenerateDataKey \$1** enthalten.
+ **kms: CreateGrant** — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter [Verwendung von Zuschüssen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im AWS Key Management Service Entwicklerhandbuch. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: DescribeKey** — (Erforderlich) Stellt detaillierte Informationen zum angegebenen KMS-Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ListAliases** — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, füllt diese Berechtigung die Liste der KMS-Schlüssel auf. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
# Verschlüsseln von Daten während der Übertragung.
Die Verschlüsselung von Daten während der Übertragung wird für Dateifreigaben unterstützt, die einer Recheninstanz zugeordnet sind, die das SMB-Protokoll 3.0 oder neuer unterstützt. Dies umfasst alle Windows-Versionen ab Windows Server 2012 und Windows 8 sowie alle Linux-Clients mit Samba-Client-Version 4.2 oder neuer. Amazon FSx für Windows File Server verschlüsselt Daten während der Übertragung automatisch mithilfe der SMB-Verschlüsselung, wenn Sie auf Ihr Dateisystem zugreifen, ohne dass Sie Ihre Anwendungen ändern müssen.
Die SMB-Verschlüsselung verwendet AES-128-GCM oder AES-128-CCM (wobei die GCM-Variante ausgewählt wird, wenn der Client SMB 3.1.1 unterstützt) als Verschlüsselungsalgorithmus und bietet außerdem Datenintegrität durch Signierung mit SMB-Kerberos-Sitzungsschlüsseln. Die Verwendung von AES-128-GCM führt zu einer besseren Leistung, beispielsweise bis zu einer zweifachen Leistungssteigerung beim Kopieren großer Dateien über verschlüsselte SMB-Verbindungen.
Um die Compliance-Anforderungen für eine durchgehende Verschlüsselung zu erfüllen data-in-transit, können Sie den Dateisystemzugriff so einschränken, dass nur Clients Zugriff haben, die SMB-Verschlüsselung unterstützen. Sie können auch die Verschlüsselung während der Übertragung pro Dateifreigabe oder für das gesamte Dateisystem aktivieren oder deaktivieren. Auf diese Weise können Sie eine Mischung aus verschlüsselten und unverschlüsselten Dateifreigaben auf demselben Dateisystem verwenden.
## Verwaltung der Verschlüsselung bei der Übertragung
Sie können eine Reihe von benutzerdefinierten PowerShell Befehlen verwenden, um die Verschlüsselung Ihrer Daten bei der Übertragung zwischen Ihrem Dateisystem FSx für Windows File Server und Clients zu steuern. Sie können den Dateisystemzugriff auf Clients beschränken, die SMB-Verschlüsselung unterstützen, sodass diese immer verschlüsselt data-in-transit ist. Wenn die Erzwingung für die Verschlüsselung von aktiviert ist data-in-transit, können Benutzer, die von Clients aus auf das Dateisystem zugreifen, die die SMB 3.0-Verschlüsselung nicht unterstützen, nicht auf Dateifreigaben zugreifen, für die die Verschlüsselung aktiviert ist.
Sie können die Verschlüsselung auch auf Dateifreigabeebene statt data-in-transit auf Dateiserverebene steuern. Sie können Verschlüsselungskontrollen auf Dateifreigabeebene verwenden, um eine Mischung aus verschlüsselten und unverschlüsselten Dateifreigaben auf demselben Dateisystem einzurichten, wenn Sie für einige Dateifreigaben mit vertraulichen Daten die Verschlüsselung während der Übertragung erzwingen und allen Benutzern den Zugriff auf andere Dateifreigaben ermöglichen möchten. Die serverweite Verschlüsselung hat Vorrang vor der Verschlüsselung auf Freigabeebene. Wenn die globale Verschlüsselung aktiviert ist, können Sie die Verschlüsselung für bestimmte Shares nicht selektiv deaktivieren.
Sie können die Verschlüsselung während der Übertragung in Ihrem Dateisystem verwalten, indem Sie die Amazon FSx CLI für die Fernverwaltung verwenden. PowerShell Informationen zur Verwendung dieser CLI finden Sie unter[Verwenden der Amazon FSx CLI für PowerShell](administering-file-systems.md#remote-pwrshell).
Im Folgenden finden Sie Befehle, mit denen Sie die Verschlüsselung von Benutzern während der Übertragung in Ihrem Dateisystem verwalten können.
| Verschlüsselung im Transit Command | Beschreibung |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | Ruft die Server Message Block (SMB) -Serverkonfiguration ab. In der Systemantwort können Sie die Einstellungen für die Verschlüsselung bei der Übertragung für Ihr Dateisystem anhand der Werte für die `EncryptData` Eigenschaften und festlegen. `RejectUnencryptedAccess` |
| **Set-FSxSmbServerConfiguration** | Dieser Befehl bietet zwei Optionen für die globale Konfiguration der Verschlüsselung während der Übertragung im Dateisystem: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Legen Sie diesen Parameter auf fest, `True` um die Verschlüsselung von Daten während der Übertragung für die gemeinsame Nutzung zu aktivieren. Legen Sie diesen Parameter auf fest, `False` um die Verschlüsselung von Daten bei der Übertragung für die gemeinsame Nutzung zu deaktivieren. |
Die Online-Hilfe für jeden Befehl enthält eine Referenz zu allen Befehlsoptionen. Um auf diese Hilfe zuzugreifen, führen Sie den Befehl **-?** beispielsweise mit aus**Get-FSxSmbServerConfiguration -?**.