Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenschlüssel generieren
<a name="data-keys"></a>

*Datenschlüssel* sind symmetrische Schlüssel, mit denen Sie Daten verschlüsseln können. Dazu gehören große Datenmengen und andere Datenverschlüsselungsschlüssel. Im Gegensatz zu symmetrischen KMS-Schlüsseln, die nicht heruntergeladen werden können, werden Datenschlüssel an Sie zurückgegeben, damit Sie sie außerhalb von verwenden können. AWS KMS

Beim AWS KMS Generieren von Datenschlüsseln werden ein Klartext-Datenschlüssel zur sofortigen Verwendung (optional) und eine verschlüsselte Kopie des Datenschlüssels zurückgegeben, die Sie sicher zusammen mit den Daten speichern können. Wenn Sie bereit sind, die Daten zu entschlüsseln, bitten Sie zunächst darum, den verschlüsselten Datenschlüssel AWS KMS zu entschlüsseln. 

AWS KMS generiert, verschlüsselt und entschlüsselt Datenschlüssel. AWS KMS Speichert, verwaltet oder verfolgt Ihre Datenschlüssel jedoch nicht und führt auch keine kryptografischen Operationen mit Datenschlüsseln durch. Sie müssen Datenschlüssel außerhalb von AWS KMS verwenden und verwalten. Hilfe bei der sicheren Verwendung von Datenschlüsseln finden Sie unter [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).

**Topics**
+ [

## Erstellen eines Datenschlüssels
](#data-keys-create)
+ [

## Wie funktionieren kryptografische Operationen mit Datenschlüsseln
](#use-data-keys)
+ [

# Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel
](unusable-kms-keys.md)

## Erstellen eines Datenschlüssels
<a name="data-keys-create"></a>

Rufen Sie den [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Vorgang auf, um einen Datenschlüssel zu erstellen. AWS KMS generiert den Datenschlüssel. Anschließend wird eine Kopie des Datenschlüssels unter dem von Ihnen angegebenen [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) verschlüsselt. Diese Operation gibt eine Klartextkopie des Datenschlüssels und die unter dem KMS-Schlüssel verschlüsselte Kopie des Datenschlüssels zurück. Die folgende Abbildung zeigt diese Operation.

![\[Erzeugen eines Datenschlüssels\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/generate-data-key.png)


AWS KMS unterstützt auch den [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)Vorgang, der nur einen verschlüsselten Datenschlüssel zurückgibt. Wenn Sie den Datenschlüssel verwenden müssen, bitten Sie darum, ihn AWS KMS zu [entschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

## Wie funktionieren kryptografische Operationen mit Datenschlüsseln
<a name="use-data-keys"></a>

In den folgenden Themen wird erklärt, wie Datenschlüssel funktionieren, die durch eine [GenerateDataKey[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)OR-Operation generiert wurden.

### Verschlüsseln von Daten mit einem Datenschlüssel
<a name="data-keys-encrypt"></a>

AWS KMS kann keinen Datenschlüssel zum Verschlüsseln von Daten verwenden. Sie können den Datenschlüssel jedoch auch außerhalb von verwenden AWS KMS, z. B. mithilfe von OpenSSL oder einer kryptografischen Bibliothek wie der. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)

Entfernen Sie den Klartext-Datenschlüssel nach dem Verschlüsseln der Daten möglichst schnell aus dem Arbeitsspeicher. Sie können den verschlüsselten Datenschlüssel sicher zusammen mit den verschlüsselten Daten speichern, damit er zum Entschlüsseln der Daten verfügbar ist.

![\[Verschlüsseln Sie Benutzerdaten außerhalb von AWS KMS\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/encrypt-with-data-key.png)


### Entschlüsseln von Daten mit einem Datenschlüssel
<a name="data-keys-decrypt"></a>

Um Ihre Daten zu entschlüsseln, übergeben Sie den verschlüsselten Datenschlüssel an den Vorgang [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). AWS KMS verwendet Ihren KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln, und gibt dann den Klartext-Datenschlüssel zurück. Entschlüsseln Sie die Daten mit dem Klartext-Datenschlüssel und entfernen den Klartext-Datenschlüssel dann schnellstmöglich aus dem Arbeitsspeicher.

Das folgende Diagramm zeigt, wie Sie mit der Operation `Decrypt` einen verschlüsselten Datenschlüssel entschlüsseln.

![\[Entschlüsseln eines Datenschlüssels\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/decrypt.png)


# Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel
<a name="unusable-kms-keys"></a>

Wenn ein KMS-Schlüssel unbrauchbar wird, wirkt sich das fast sofort aus (vorbehaltlich einer letztendlichen Konsistenz). Der [Schlüsselstatus](key-state.md) des KMS-Schlüssels ändert sich, um seinen neuen Zustand widerzuspiegeln, und alle Anforderungen der Verwendung des KMS-Schlüssels in [kryptografischen Vorgängen](kms-cryptography.md#cryptographic-operations) schlagen fehl.

Die Auswirkungen auf die mit dem KMS-Schlüssel verschlüsselten Datenschlüssel und auf die mit dem Datenschlüssel verschlüsselten Daten werden jedoch so lange verzögert, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels.

KMS-Schlüssel können aus einer Vielzahl von Gründen unbrauchbar werden, einschließlich der folgenden Aktionen, die Sie möglicherweise durchführen:
+ [Deaktivieren des KMS-Schlüssels](enabling-keys.md)
+ [Planen der Löschung des KMS-Schlüssels](deleting-keys.md)
+ [Löschen des Schlüsselmaterials](importing-keys-delete-key-material.md) aus einem KMS-Schlüssel mit importiertem Schlüsselmaterial oder Ablaufenlassen des importierten Schlüsselmaterials Wenn einem KMS-Schlüssel mit `EXTERNAL` Ursprung mehrere Schlüsselmaterialien zugeordnet sind, führt das Löschen oder Ablaufen aller Schlüsselmaterialien dazu, dass der Schlüssel unbrauchbar wird.
+ [Trennen der Verbindung zum AWS CloudHSM Schlüsselspeicher](disconnect-keystore.md), der den KMS-Schlüssel hostet, oder [Löschen des Schlüssels aus dem AWS CloudHSM Cluster](fix-keystore.md#fix-cmk-failed), der als Schlüsselmaterial für den KMS-Schlüssel dient.
+ [Trennen des externen Schlüsselspeichers](about-xks-disconnecting.md), der den KMS-Schlüssel hostet, oder jede andere Aktion, die Verschlüsselungs- und Entschlüsselungsanforderungen an den Proxy des externen Schlüsselspeichers beeinträchtigt, einschließlich der Löschung des externen Schlüssels aus seinem externen Schlüsselmanager

Dieser Effekt ist besonders wichtig für viele Unternehmen, die Datenschlüssel verwenden AWS-Services , um die Ressourcen zu schützen, die der Dienst verwaltet. Das folgende Beispiel verwendet Amazon Elastic Block Store (Amazon EBS) und Amazon Elastic Compute Cloud (Amazon EC2). Verschiedene AWS-Services verwenden Datenschlüssel auf unterschiedliche Weise. Einzelheiten finden Sie im Abschnitt „Datenschutz“ des Kapitels „Sicherheit“ für den AWS-Service.

Betrachten Sie beispielsweise folgendes Szenario:

1. Sie [erstellen ein verschlüsseltes EBS-Volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) und geben einen KMS-Schlüssel an, um es zu schützen. Amazon EBS fordert AWS KMS auf, den KMS-Schlüssel zum [Generieren eines verschlüsselten Datenschlüssels](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) für das Volume zu verwenden. Amazon EBS speichert den verschlüsselten Datenschlüssel zusammen mit den Metadaten des Volumes.

1. Wenn Sie das EBS-Volume an eine EC2 Instance anhängen, EC2 verwendet Amazon Ihren KMS-Schlüssel, um den verschlüsselten Datenschlüssel des EBS-Volumes zu entschlüsseln. Amazon EC2 verwendet den Datenschlüssel in der Nitro-Hardware, die für die Verschlüsselung aller Festplatten I/O auf dem EBS-Volume verantwortlich ist. Der Datenschlüssel verbleibt in der Nitro-Hardware, solange das EBS-Volume an die Instance angehängt ist. EC2 

1. Sie führen eine Aktion aus, die den KMS-Schlüssel unbrauchbar macht. Dies hat keine unmittelbaren Auswirkungen auf die EC2 Instance oder das EBS-Volume. Amazon EC2 verwendet den Datenschlüssel — nicht den KMS-Schlüssel —, um die gesamte Festplatte zu verschlüsseln, I/O während das Volume mit der Instance verbunden ist.

1. Wenn das verschlüsselte EBS-Volume jedoch von der EC2 Instance getrennt wird, entfernt Amazon EBS den Datenschlüssel von der Nitro-Hardware. Wenn das verschlüsselte EBS-Volume das nächste Mal an eine EC2 Instance angehängt wird, schlägt der Anhang fehl, da Amazon EBS den KMS-Schlüssel nicht verwenden kann, um den verschlüsselten Datenschlüssel des Volumes zu entschlüsseln. Um das EBS-Volume wieder zu verwenden, müssen Sie den KMS-Schlüssel wieder brauchbar machen.