Datenschutz im Incident Manager - Incident Manager
Datenverschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz im Incident Manager

Das Tool AWS Modell der der gilt für den Datenschutz in AWS Systems Manager Incident Manager. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre Inhalte zu behalten, die auf dieser Infrastruktur gehostet werden. Sie sind auch verantwortlich für die Sicherheitskonfiguration und die Verwaltungsaufgaben für AWS-Services die Sie verwenden. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzerklärung FAQ. Informationen zum Datenschutz in Europa finden Sie auf der AWS Modell der geteilten Verantwortung und GDPR Blogbeitrag auf der AWS Blog zum Thema Sicherheit.

Aus Datenschutzgründen empfehlen wir Ihnen, AWS-Konto Anmeldeinformationen und richten Sie einzelne Benutzer ein mit AWS IAM Identity Center or AWS Identity and Access Management (IAM). So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Verwenden SieSSL/TLS, um mit zu kommunizieren AWS Ressourcen schätzen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Für Informationen zur Verwendung von CloudTrail Spuren zum Erfassen AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden in der AWS CloudTrail Benutzerleitfaden.

  • Verwenden Sie AWS Verschlüsselungslösungen, zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff FIPS 140-3 validierte kryptografische Module benötigen AWS über eine Befehlszeilenschnittstelle oder einenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Incident Manager oder anderen zusammenarbeiten AWS-Services die Konsole verwendenAPI, AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.

Standardmäßig verschlüsselt Incident Manager Daten während der Übertragung mitSSL/TLS.

Datenverschlüsselung

Incident Manager verwendet AWS Key Management Service (AWS KMS) Schlüssel zur Verschlüsselung Ihrer Incident Manager-Ressourcen. Weitere Informationen zur AWS KMS, siehe AWS KMS Leitfaden für Entwickler. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software zu einem für die Cloud skalierten Schlüsselverwaltungssystem. Incident Manager verschlüsselt Ihre Daten mit Ihrem angegebenen Schlüssel und verschlüsselt Metadaten mit einem AWS eigener Schlüssel. Um Incident Manager verwenden zu können, müssen Sie Ihren Replikationssatz einrichten, der auch die Verschlüsselung einschließt. Für die Verwendung von Incident Manager ist eine Datenverschlüsselung erforderlich.

Sie können eine verwenden AWS Sie können Ihren eigenen Schlüssel verwenden, um Ihren Replikationssatz zu verschlüsseln, oder Sie können Ihren eigenen, vom Kunden verwalteten Schlüssel verwenden, den Sie in AWS KMS um die Regionen in Ihrem Replikationssatz zu verschlüsseln. Incident Manager unterstützt nur symmetrische Verschlüsselung AWS KMS Schlüssel zur Verschlüsselung Ihrer darin erstellten Daten AWS KMS. Incident Manager unterstützt nicht AWS KMS Schlüssel mit importiertem Schlüsselmaterial, benutzerdefinierte Schlüsselspeicher, Hash-basierter Nachrichtenauthentifizierungscode (HMAC) oder andere Arten von Schlüsseln. Wenn Sie vom Kunden verwaltete Schlüssel verwenden, verwenden Sie AWS KMS Konsole oder AWS KMS APIsum die vom Kunden verwalteten Schlüssel zentral zu erstellen und die wichtigsten Richtlinien zu definieren, die steuern, wie Incident Manager die vom Kunden verwalteten Schlüssel verwenden kann. Wenn Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung mit Incident Manager verwenden, AWS KMS Der vom Kunden verwaltete Schlüssel muss sich in derselben Region wie die Ressourcen befinden. Weitere Informationen zur Einrichtung der Datenverschlüsselung in Incident Manager finden Sie unterAssistent zur Vorbereitung.

Für die Nutzung fallen zusätzliche Gebühren an AWS KMS vom Kunden verwaltete Schlüssel. Weitere Informationen finden Sie unter AWS KMS Konzepte - KMS Schlüssel in der AWS Key Management Service Entwicklerhandbuch und AWS KMS Preisgestaltung.

Wichtig

Wenn Sie einen vom Kunden verwalteten Schlüssel (CMK) verwenden, um Ihren Replikationssatz und die Incident Manager-Daten zu verschlüsseln, sich aber später dazu entschließen, den Replikationssatz zu löschen, müssen Sie den Replikationssatz löschen, bevor Sie den deaktivieren oder löschen. CMK

Damit Incident Manager Ihren vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Daten verwenden kann, müssen Sie der Schlüsselrichtlinie Ihres vom Kunden verwalteten Schlüssels die folgenden Richtlinienerklärungen hinzufügen. Weitere Informationen zum Einrichten und Ändern der wichtigsten Richtlinien in Ihrem Konto finden Sie unter Verwenden wichtiger Richtlinien in AWS KMS in der AWS Key Management Service Leitfaden für Entwickler. Die Richtlinie bietet die folgenden Berechtigungen:

  • Ermöglicht Incident Manager, schreibgeschützte Operationen durchzuführen, um den CMK für den Incident Manager in Ihrem Konto verwendeten Incident Manager zu finden.

  • Ermöglicht es Incident Manager, den CMK zur Erstellung von Zuschüssen und zur Beschreibung des Schlüssels zu verwenden, aber nur, wenn er im Namen von Principals im Account handelt, die über die Berechtigung zur Verwendung von Incident Manager verfügen. Wenn die in der Richtlinienerklärung angegebenen Hauptbenutzer nicht berechtigt sind, die KMS Schlüssel zu verwenden und Incident Manager zu verwenden, schlägt der Anruf fehl, auch wenn er vom Incident Manager-Service stammt.

       {
       "Sid": "Allow CreateGrant through AWS Systems Manager Incident Manager",
       "Effect": "Allow",
       "Principal": {
         "AWS": "arn:aws:iam::111122223333:user/ssm-lead"
       },
       "Action": [
         "kms:CreateGrant",
         "kms:DescribeKey"
       ],
       "Resource": "*",
       "Condition": {
         "StringLike": {
           "kms:ViaService": [
             "ssm-incidents.amazonaws.com",
             "ssm-contacts.amazonaws.com"
           ]
         }
       }
      }

Ersetzen Sie den Principal Wert durch den IAM Prinzipal, der Ihren Replikationssatz erstellt hat.

Incident Manager verwendet in allen Anfragen einen Verschlüsselungskontext AWS KMS für kryptografische Operationen. Sie können diesen Verschlüsselungskontext verwenden, um CloudTrail Protokollereignisse zu identifizieren, bei denen Incident Manager Ihre KMS Schlüssel verwendet. Incident Manager verwendet den folgenden Verschlüsselungskontext:

  • contactArn=ARN of the contact or escalation plan