Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenverschlüsselung
Mit AWS HealthImaging können Sie Ihren in der Cloud gespeicherten Daten eine Sicherheitsebene hinzufügen und skalierbare und effiziente Verschlüsselungsfunktionen bereitstellen. Dazu zählen:
-
Verschlüsselungsfunktionen für ruhende Daten sind in den meisten AWS Diensten verfügbar
-
Flexible Schlüsselverwaltungsoptionen AWS Key Management Service, mit denen Sie wählen können, ob Sie die Verschlüsselungsschlüssel AWS verwalten möchten oder ob Sie die vollständige Kontrolle über Ihre eigenen Schlüssel behalten möchten.
-
AWS eigene AWS KMS Verschlüsselungsschlüssel
-
Verschlüsselte Nachrichtenwarteschlangen für die Übertragung sensibler Daten mit serverseitiger Verschlüsselung (SSE) für Amazon SQS
Darüber hinaus AWS ermöglicht APIs es Ihnen, Verschlüsselung und Datenschutz in alle Dienste zu integrieren, die Sie in einer AWS Umgebung entwickeln oder bereitstellen.
Einen vom Kunden verwalteten Schlüssel erstellen
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS Management Console oder den AWS KMS APIs verwenden. Weitere Informationen finden Sie unter Erstellen symmetrischer KMS Verschlüsselungsschlüssel im AWS Key Management Service Entwicklerhandbuch.
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service .
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren HealthImaging Ressourcen verwenden zu können, müssen kms: CreateGrant -Operationen in der Schlüsselrichtlinie zugelassen sein. Dadurch wird einem vom Kunden verwalteten Schlüssel ein Grant hinzugefügt, der den Zugriff auf einen bestimmten KMS Schlüssel steuert, wodurch ein Benutzer Zugriff auf die für Grant-Operationen erforderlichen Rechte HealthImaging erhält. Weitere Informationen finden Sie unter Grants AWS KMS im AWS Key Management Service Developer Guide.
Damit Sie Ihren vom Kunden verwalteten KMS Schlüssel mit Ihren HealthImaging Ressourcen verwenden können, müssen die folgenden API Vorgänge in der Schlüsselrichtlinie zulässig sein:
-
kms:DescribeKeystellt die vom Kunden verwalteten Schlüsseldetails bereit, die zur Validierung des Schlüssels erforderlich sind. Dies ist für alle Operationen erforderlich. -
kms:GenerateDataKeybietet Zugriff auf verschlüsselte Ressourcen im Ruhezustand für alle Schreibvorgänge. -
kms:Decryptbietet Zugriff auf Lese- oder Suchvorgänge für verschlüsselte Ressourcen. -
kms:ReEncrypt*bietet Zugriff auf neu verschlüsselte Ressourcen.
Im Folgenden finden Sie ein Beispiel für eine Richtlinienanweisung, die es einem Benutzer ermöglicht, einen Datenspeicher zu erstellen und mit ihm zu interagieren HealthImaging , der mit diesem Schlüssel verschlüsselt ist:
{ "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging", "Effect": "Allow", "Principal": { "Service": [ "medical-imaging.amazonaws.com" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f", "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId" } } }
Erforderliche IAM Berechtigungen für die Verwendung eines vom Kunden verwalteten KMS Schlüssels
Beim Erstellen eines Datenspeichers mit aktivierter AWS KMS Verschlüsselung mithilfe eines vom Kunden verwalteten KMS Schlüssels sind Berechtigungen sowohl für die Schlüsselrichtlinie als auch für die IAM Richtlinie für den Benutzer oder die Rolle erforderlich, die den HealthImaging Datenspeicher erstellt.
Weitere Informationen zu wichtigen Richtlinien finden Sie unter Aktivieren von IAM Richtlinien im AWS Key Management Service Entwicklerhandbuch.
Der IAM Benutzer, die IAM Rolle oder das AWS Konto, die Ihre Repositorys erstellt, muss über Berechtigungen für kms:CreateGrant kms:GenerateDataKeykms:RetireGrant, kms:Decryptkms:ReEncrypt*, und sowie über die erforderlichen Berechtigungen für AWS HealthImaging verfügen.
Wie HealthImaging verwendet man Zuschüsse in AWS KMS
HealthImaging erfordert einen Zuschuss, um Ihren vom Kunden verwalteten KMS Schlüssel verwenden zu können. Wenn Sie einen Datenspeicher erstellen, der mit einem vom Kunden verwalteten KMS Schlüssel verschlüsselt ist, HealthImaging erstellt in Ihrem Namen einen Zuschuss, indem Sie eine CreateGrantAnfrage an senden AWS KMS. Grants in AWS KMS werden verwendet, um HealthImaging Zugriff auf einen KMS Schlüssel in einem Kundenkonto zu gewähren.
Die Zuschüsse, die HealthImaging in Ihrem Namen gewährt werden, sollten nicht zurückgezogen oder zurückgezogen werden. Wenn Sie die Erteilung widerrufen oder zurückziehen, mit der Sie die HealthImaging Erlaubnis erhalten, die AWS KMS Schlüssel in Ihrem Konto zu verwenden, HealthImaging können Sie nicht auf diese Daten zugreifen, neue Bildgebungsressourcen verschlüsseln, die in den Datenspeicher übertragen werden, oder sie entschlüsseln, wenn sie abgerufen werden. Wenn Sie eine Genehmigung für widerrufen oder zurückziehen HealthImaging, wird die Änderung sofort wirksam. Um die Zugriffsrechte zu widerrufen, sollten Sie den Datenspeicher löschen, anstatt die Gewährung zu widerrufen. Wenn ein Datenspeicher gelöscht wird, werden die Zuschüsse in Ihrem Namen HealthImaging zurückgezogen.
Überwachen Sie Ihre Verschlüsselungsschlüssel für HealthImaging
Sie können CloudTrail damit die Anfragen verfolgen, die in Ihrem Namen HealthImaging AWS KMS an gesendet werden, wenn Sie einen vom Kunden verwalteten KMS Schlüssel verwenden. Die Protokolleinträge im CloudTrail Protokoll werden in dem userAgent Feld angezeigtmedical-imaging.amazonaws.com, sodass die Anfragen von eindeutig unterschieden werden können HealthImaging.
Bei den folgenden Beispielen handelt es sich um CloudTrail Ereignisse fürCreateGrant, GenerateDataKeyDecrypt, und DescribeKey zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden, HealthImaging um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
Im Folgenden wird gezeigt, wie Sie CreateGrant den HealthImaging Zugriff auf einen vom Kunden bereitgestellten KMS Schlüssel HealthImaging ermöglichen, sodass Sie mit diesem KMS Schlüssel alle gespeicherten Kundendaten verschlüsseln können.
Benutzer müssen keine eigenen Zuschüsse erstellen. HealthImaging erstellt in Ihrem Namen einen Zuschuss, indem Sie eine CreateGrant Anfrage an senden AWS KMS. Zuschüsse in AWS KMS werden verwendet, um HealthImaging Zugriff auf einen AWS KMS Schlüssel in einem Kundenkonto zu gewähren.
{ "Grants": [ { "Operations": [ "Decrypt", "Encrypt", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "DescribeKey" ], "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", "RetiringPrincipal": "AWS Internal", "GranteePrincipal": "AWS Internal", "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", "IssuingAccount": "AWS Internal", "CreationDate": 1685050229.0, "Constraints": { "EncryptionContextSubset": { "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1" } } }, { "Operations": [ "GenerateDataKey", "CreateGrant", "RetireGrant", "DescribeKey" ], "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", "Name": "2023-05-25T21:30:17", "RetiringPrincipal": "AWS Internal", "GranteePrincipal": "AWS Internal", "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", "IssuingAccount": "AWS Internal", "CreationDate": 1685050217.0, } ] }
Die folgenden Beispiele zeigen, wie sichergestellt werden kannGenerateDataKey, dass der Benutzer vor dem Speichern über die erforderlichen Berechtigungen zum Verschlüsseln von Daten verfügt.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "EXAMPLEUSER", "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLEKEYID", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "EXAMPLEROLE", "arn": "arn:aws:iam::111122223333:role/Sampleuser01", "accountId": "111122223333", "userName": "Sampleuser01" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-06-30T21:17:06Z", "mfaAuthenticated": "false" } }, "invokedBy": "medical-imaging.amazonaws.com" }, "eventTime": "2021-06-30T21:17:37Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-east-1", "sourceIPAddress": "medical-imaging.amazonaws.com", "userAgent": "medical-imaging.amazonaws.com", "requestParameters": { "keySpec": "AES_256", "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" }, "responseElements": null, "requestID": "EXAMPLE_ID_01", "eventID": "EXAMPLE_ID_02", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Das folgende Beispiel zeigt, wie der Decrypt Vorgang HealthImaging aufgerufen wird, mit dem der gespeicherte verschlüsselte Datenschlüssel für den Zugriff auf die verschlüsselten Daten verwendet wird.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "EXAMPLEUSER", "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLEKEYID", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "EXAMPLEROLE", "arn": "arn:aws:iam::111122223333:role/Sampleuser01", "accountId": "111122223333", "userName": "Sampleuser01" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-06-30T21:17:06Z", "mfaAuthenticated": "false" } }, "invokedBy": "medical-imaging.amazonaws.com" }, "eventTime": "2021-06-30T21:21:59Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "medical-imaging.amazonaws.com", "userAgent": "medical-imaging.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" }, "responseElements": null, "requestID": "EXAMPLE_ID_01", "eventID": "EXAMPLE_ID_02", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Das folgende Beispiel zeigt, wie der DescribeKey Vorgang HealthImaging verwendet wird, um zu überprüfen, ob sich der AWS KMS Schlüssel im Besitz des AWS KMS Kunden in einem verwendbaren Zustand befindet, und um einem Benutzer bei der Fehlerbehebung zu helfen, falls er nicht funktioniert.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "EXAMPLEUSER", "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLEKEYID", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "EXAMPLEROLE", "arn": "arn:aws:iam::111122223333:role/Sampleuser01", "accountId": "111122223333", "userName": "Sampleuser01" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-07-01T18:36:14Z", "mfaAuthenticated": "false" } }, "invokedBy": "medical-imaging.amazonaws.com" }, "eventTime": "2021-07-01T18:36:36Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-east-1", "sourceIPAddress": "medical-imaging.amazonaws.com", "userAgent": "medical-imaging.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" }, "responseElements": null, "requestID": "EXAMPLE_ID_01", "eventID": "EXAMPLE_ID_02", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Weitere Informationen
Die folgenden Ressourcen enthalten weitere Informationen zur Verschlüsselung von Daten im Ruhezustand und befinden sich im AWS Key Management Service Entwicklerhandbuch.
