Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verschlüsselungskontext

PDF
RSS
Fokusmodus
Verschlüsselungskontext - AWS Key Management Service
Regeln für den VerschlüsselungskontextVerschlüsselungskontext in RichtlinienVerschlüsselungskontext in ErteilungenProtokollieren des VerschlüsselungskontextsSpeichern des Verschlüsselungskontexts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anmerkung

Sie können mit einem asymmetrische KMS-Schlüssel oder einem HMAC-KMS-Schlüssel keinen Verschlüsselungskontext in einer kryptografischen Produktion angeben. Asymmetrische Algorithmen und MAC-Algorithmen unterstützen keinen Verschlüsselungskontext.

Alle AWS KMS kryptografischen Operationen mit symmetrischer Verschlüsselung von KMS-Schlüsseln akzeptieren einen Verschlüsselungskontext, einen optionalen Satz nicht geheimer Schlüssel-Wert-Paare, die zusätzliche Kontextinformationen zu den Daten enthalten können. Sie können Verschlüsselungskontext in Encrypt Operationen einfügen, um die Autorisierung und Überprüfbarkeit Ihrer API-Entschlüsselungsaufrufe AWS KMS zu verbessern. AWS KMS AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten (AAD), um die authentifizierte Verschlüsselung zu unterstützen. Der Verschlüsselungskontext ist kryptografisch an den Chiffretext gebunden, sodass derselbe Verschlüsselungskontext zum Entschlüsseln der Daten erforderlich ist.

Der Verschlüsselungskontext ist nicht geheim und nicht verschlüsselt. Er erscheint als Klartext in AWS CloudTrail -Protokollen, kann also zum Identifizieren und Kategorisieren der kryptografischen Operationen herangezogen werden. Ihr Verschlüsselungskontext sollte keine sensiblen Informationen enthalten. Wir empfehlen, dass Ihr Verschlüsselungskontext die zu verschlüsselnden oder zu entschlüsselnden Daten beschreibt. Wenn Sie z. B. eine Datei verschlüsseln, können Sie einen Teil des Dateipfads als Verschlüsselungskontext verwenden.

"encryptionContext": {
    "department": "10103.0"
}

Bei der Verschlüsselung von Volumes und Snapshots, die mit dem Amazon Elastic Block Store (Amazon EBS) CreateSnapshot-Vorgang erstellt wurden, verwendet Amazon EBS beispielsweise die Volume-ID als Wert für den Verschlüsselungskontext.

"encryptionContext": {
  "aws:ebs:id": "vol-abcde12345abc1234"
}

Sie können den Verschlüsselungskontext auch verwenden, um den Zugriff in Ihrem Konto zu verfeinern oder einzuschränken. AWS KMS keys Sie können den Verschlüsselungskontext als Einschränkung in Erteilungen und als Bedingung in Richtlinien verwenden.

Informationen zur Verwendung des Verschlüsselungskontextes zum Schutz der Integrität verschlüsselter Daten finden Sie im Beitrag So schützen Sie die Integrität Ihrer verschlüsselten Daten durch Verwendung AWS Key Management Service und EncryptionContext im AWS Sicherheitsblog.

Weitere Informationen zum Verschlüsselungskontext.

Regeln für den Verschlüsselungskontext

AWS KMS erzwingt die folgenden Regeln für Schlüssel und Werte im Verschlüsselungskontext.

  • Der Schlüssel und der Wert in einem Verschlüsselungskontextpaar müssen einfache Literalzeichenfolgen sein. Wenn Sie einen anderen Typ verwenden, z. B. eine Ganzzahl oder Gleitkommazahl, interpretiert AWS KMS ihn als Zeichenfolge.

  • Die Schlüssel und Werte in einem Verschlüsselungskontext können Unicode-Zeichen enthalten. Wenn ein Verschlüsselungskontext Zeichen enthält, die in Schlüsselrichtlinien oder IAM-Richtlinien nicht zulässig sind, können Sie den Verschlüsselungskontext nicht in Richtlinienbedingungsschlüsseln angeben, z. B. kms:EncryptionContext:context-key und kms:EncryptionContextKeys. Weitere Informationen zu Dokumentenregeln für Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinienformat. Weitere Informationen zu Regeln für IAM-Richtliniendokumente finden Sie unter Anforderungen für den IAM-Namen im IAM Benutzerhandbuch.

Verschlüsselungskontext in Richtlinien

Der Verschlüsselungskontext wird hauptsächlich verwendet, um Integrität und Authentizität zu überprüfen. Sie können den Verschlüsselungskontext aber auch verwenden, um den Zugriff auf AWS KMS keys mit symmetrischer Verschlüsselung in Schlüsselrichtlinien und IAM-Richtlinien zu kontrollieren.

Die EncryptionContextKeys Bedingungsschlüssel kmsEncryptionContext:: und kms: erlauben (oder verweigern) eine Berechtigung nur, wenn die Anforderung bestimmte Verschlüsselungskontextschlüssel oder Schlüssel-Wert-Paare enthält.

Die folgende Schlüsselrichtlinienanweisung erlaubt es beispielsweise der RoleForExampleApp-Rolle, den KMS-Schlüssel in Decrypt-Operationen zu verwenden. Sie verwendet den kms:EncryptionContext:context-key-Bedingungsschlüssel, um diese Berechtigung nur zu erlauben, wenn der Verschlüsselungskontext in der Anforderung ein AppName:ExampleApp-Verschlüsselungskontextpaar enthält.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:AppName": "ExampleApp"
    }
  }
}

Weitere Informationen zu diesen Bedingungskontextschlüsseln finden Sie unter Zustandstasten für AWS KMS.

Verschlüsselungskontext in Erteilungen

Wenn Sie eine Erteilung erstellen, können Sie Beschränkungen für die Gewährung einbeziehen, die Bedingungen für die Gewährungsberechtigungen festlegen. AWS KMS unterstützt zwei ErteilungsbeschränkungenEncryptionContextSubset, EncryptionContextEquals und beide beziehen den Verschlüsselungskontext in einer Anforderung für einen kryptografischen Vorgang mit ein. Wenn Sie diese Erteilungseinschränkungen verwenden, sind die Berechtigungen in der Erteilung nur dann wirksam, wenn der Verschlüsselungskontext in der Anforderung für die kryptografische Operation die Anforderungen der Erteilungseinschränkungen erfüllt.

Sie können beispielsweise einer EncryptionContextEquals Grant, die den GenerateDataKeyVorgang ermöglicht, eine Grant-Beschränkung hinzufügen. Bei dieser Einschränkung erlaubt die Erteilung die Operation nur dann, wenn der Verschlüsselungskontext in der Anforderung mit dem Verschlüsselungskontext in der Erteilungseinschränkung übereinstimmen (inkl. Groß-/Kleinschreibung).

$ aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:user/exampleUser \
    --retiring-principal arn:aws:iam::111122223333:role/adminRole \
    --operations GenerateDataKey \
    --constraints EncryptionContextEquals={Purpose=Test}

Eine Anforderung wie die folgende vom Empfänger-Prinzipal würde die EncryptionContextEquals-Einschränkung zulassen.

$ aws kms generate-data-key \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-spec AES_256 \
    --encryption-context Purpose=Test

Weitere Informationen über die Erteilungseinschränkungen finden Sie unter Verwenden von Erteilungs-Einschränkungen. Ausführliche Informationen zu Erteilungen finden Sie unter Zuschüsse in AWS KMS.

Protokollieren des Verschlüsselungskontexts

AWS KMS verwendet AWS CloudTrail , um den Verschlüsselungskontext zu protokollieren, sodass Sie feststellen können, auf welche KMS-Schlüssel und -Daten zugegriffen wurde. Das bedeutet, dass der Protokolleintrag genau anzeigt, welcher KMS-Schlüssel verwendet wurde, um spezifische Daten, auf die der Verschlüsselungskontext im Protokolleintrag hinweist, zu verschlüsseln oder entschlüsseln.

Wichtig

Da der Verschlüsselungskontext protokolliert wird, sollte er keine vertraulichen Informationen enthalten.

Speichern des Verschlüsselungskontexts

Um die Verwendung eines beliebigen Verschlüsselungskontextes beim Aufruf der Operationen Decrypt oder ReEncrypt zu vereinfachen, können Sie den Verschlüsselungskontext neben den verschlüsselten Daten speichern. Wir empfehlen, dass Sie nur so viel vom Verschlüsselungskontext speichern, dass Sie den vollständigen Verschlüsselungskontext erstellen können, wenn Sie ihn für die Ver- oder Entschlüsselung benötigen.

Wenn der Verschlüsselungskontext beispielsweise der vollständig qualifizierte Pfad zu einer Datei ist, speichern Sie nur einen Teil dieses Pfades mit dem verschlüsselten Dateiinhalt. Wenn Sie dann den vollständigen Verschlüsselungstext benötigen, können Sie ihn aus dem gespeicherten Fragment rekonstruieren. Wenn jemand die Datei verändert (sie beispielsweise umbenennt oder an einen anderen Ort verschiebt), ändert sich der Wert des Verschlüsselungskontextes und die Entschlüsselungsanforderung schlägt fehl.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.