Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit von AWS Key Management Service
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die auf die Anforderungen der sicherheitssensibelsten Unternehmen zugeschnitten sind.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:
+ **Sicherheit *der* Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für AWS Key Management Service (AWS KMS) gelten, finden Sie unter [AWS Services im Bereich nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit *in* der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Zusätzlich zu Ihrer Konfiguration und Nutzung von sind Sie für andere Faktoren verantwortlich AWS KMS keys, darunter die Sensibilität Ihrer Daten, die Anforderungen Ihres Unternehmens und die geltenden Gesetze und Vorschriften AWS KMS
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung anwenden können AWS Key Management Service. Es zeigt Ihnen, wie Sie die Konfiguration vornehmen AWS KMS , um Ihre Sicherheits- und Compliance-Ziele zu erreichen.
**Topics**
+ [Datenschutz](data-protection.md)
+ [Identity and Access Management](security-iam.md)
+ [Protokollierung und Überwachung](security-logging-monitoring.md)
+ [Compliance-Validierung](kms-compliance.md)
+ [Ausfallsicherheit](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur](infrastructure-security.md)
# Datenschutz in AWS Key Management Service
AWS Key Management Service speichert und schützt Ihre Verschlüsselungsschlüssel, um sie hochverfügbar zu machen und Ihnen gleichzeitig eine starke und flexible Zugriffskontrolle zu bieten.
**Topics**
+ [Schutz von Schlüsselmaterial](#encryption-key-mgmt)
+ [Datenverschlüsselung](#data-encryption)
+ [Richtlinie für den Datenverkehr zwischen Netzwerken](#inter-network-privacy)
## Schutz von Schlüsselmaterial
AWS KMS Generiert und schützt standardmäßig das kryptografische Schlüsselmaterial für KMS-Schlüssel. Darüber hinaus AWS KMS bietet es Optionen für Schlüsselmaterial, das außerhalb von AWS KMS erstellt und geschützt wird.
### Schutz von Schlüsselmaterial, das in erzeugt wurde AWS KMS
Wenn Sie einen KMS-Schlüssel erstellen, wird standardmäßig das kryptografische Material für den KMS-Schlüssel AWS KMS generiert und geschützt.
Um das Schlüsselmaterial für KMS-Schlüssel zu schützen, AWS KMS nutzt es eine verteilte Flotte von [FIPS 140-3 Security Level 3-validierten Hardware-Sicherheitsmodulen](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs Jedes AWS KMS HSM ist eine dedizierte, eigenständige Hardware-Appliance, die spezielle kryptografische Funktionen bereitstellt, um die Sicherheits- und Skalierbarkeitsanforderungen von zu erfüllen. AWS KMS(Diejenigen HSMs , die in China Regionen AWS KMS verwendet werden, sind von [OSCCA](https://www.oscca.gov.cn/) zertifiziert und entsprechen allen einschlägigen chinesischen Vorschriften, sind jedoch nicht im Rahmen des FIPS 140-3 Cryptographic Module Validation Program validiert.)
Das Schlüsselmaterial für einen KMS-Schlüssel wird standardmäßig verschlüsselt, wenn er im HSM generiert wird. Das Schlüsselmaterial wird nur innerhalb des flüchtigen HSM-Speichers und nur für die wenigen Millisekunden entschlüsselt, die für die Verwendung in einer kryptografischen Operation benötigt werden. Wenn das Schlüsselmaterial nicht aktiv verwendet wird, wird es innerhalb des HSM verschlüsselt und in einen [äußerst dauerhaften](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99,999999999%) persistenten Speicher mit niedriger Latenz übertragen, wo es getrennt und isoliert von der HSMs Das Klartext-Schlüsselmaterial verlässt dieHSM-[Sicherheitsgrenze](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary) nie; es wird nie auf die Festplatte geschrieben oder in einem Speichermedium gespeichert. (Die einzige Ausnahme ist der öffentliche Schlüssel eines asymmetrischen Schlüsselpaares, der nicht geheim ist).
AWS behauptet als grundlegendes Sicherheitsprinzip, dass keinerlei menschliche Interaktion mit kryptografischem Schlüsselmaterial im Klartext stattfindet. AWS-Service Es gibt keinen Mechanismus, mit dem irgendjemand, einschließlich AWS-Service Betreiber, Schlüsselmaterial im Klartext einsehen, darauf zugreifen oder es exportieren könnte. Dieses Prinzip gilt auch bei katastrophalen Ausfällen und Notfallwiederherstellungsereignissen. Das Kundenschlüsselmaterial in Klartext AWS KMS wird für kryptografische Operationen innerhalb von AWS KMS FIPS 140-3 verwendet und HSMs nur als Antwort auf autorisierte Anfragen des Kunden oder seines Beauftragten an den Service validiert.
Bei vom [Kunden verwalteten Schlüsseln](concepts.md#customer-mgn-key) ist derjenige, der den Schlüssel erstellt AWS-Konto , der alleinige und nicht übertragbare Eigentümer des Schlüssels. Das Eigentümerkonto hat die vollständige und ausschließliche Kontrolle über die Autorisierungsrichtlinien, die den Zugriff auf den Schlüssel regeln. Denn Von AWS verwaltete Schlüssel er AWS-Konto hat die vollständige Kontrolle über die IAM-Richtlinien, die Anfragen an die autorisieren. AWS-Service
### Schutz von Schlüsselmaterial, das außerhalb von generiert wurde AWS KMS
AWS KMS bietet Alternativen zu Schlüsselmaterial, das in generiert wurde AWS KMS.
Mit [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview), einer optionalen AWS KMS Funktion, können Sie KMS-Schlüssel erstellen, die auf Schlüsselmaterial basieren, das außerhalb von generiert und verwendet wird AWS KMS. KMS-Schlüssel in [AWS CloudHSM Schlüsselspeichern](keystore-cloudhsm.md) werden durch Schlüssel in AWS CloudHSM Hardware-Sicherheitsmodulen gesichert, die Sie kontrollieren. Diese HSMs sind nach [FIPS 140-2 Security Level 3 oder 140-3 Security Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) zertifiziert. KMS-Schlüssel in [externen Schlüsselspeichern](keystore-external.md) werden durch Schlüssel in einem externen Schlüsselmanager gesichert, den Sie außerhalb steuern und verwalten AWS, z. B. ein physisches HSM in Ihrem privaten Rechenzentrum.
Ein weiteres optionales Feature ermöglicht das [Importieren des Schlüsselmaterials](importing-keys.md) für einen KMS-Schlüssel. Um importiertes Schlüsselmaterial während der Übertragung zu schützen AWS KMS, verschlüsseln Sie das Schlüsselmaterial mit einem öffentlichen Schlüssel aus einem in einem AWS KMS HSM generierten RSA-Schlüsselpaar. Das importierte Schlüsselmaterial wird in einem HSM entschlüsselt und im AWS KMS HSM unter einem symmetrischen Schlüssel erneut verschlüsselt. Wie jedes AWS KMS Schlüsselmaterial verlässt importiertes Schlüsselmaterial im Klartext niemals unverschlüsselt das System. HSMs Der Kunde, der das Schlüsselmaterial zur Verfügung gestellt hat, ist jedoch verantwortlich für die sichere Verwendung, Haltbarkeit und Wartung des Schlüsselmaterials außerhalb von AWS KMS.
## Datenverschlüsselung
Die AWS KMS darin enthaltenen Daten AWS KMS keys und das Verschlüsselungsschlüsselmaterial, das sie repräsentieren. Dieses Schlüsselmaterial ist im Klartext nur in AWS KMS Hardware-Sicherheitsmodulen (HSMs) und nur dann vorhanden, wenn es verwendet wird. Andernfalls wird das Schlüsselmaterial verschlüsselt und in dauerhaftem persistenten Speicher aufbewahrt.
Das Schlüsselmaterial, das für KMS-Schlüssel AWS KMS generiert wird, überschreitet niemals die Grenze des AWS KMS HSMs unverschlüsselten Bereichs. Es wird bei keinen AWS KMS API-Vorgängen exportiert oder übertragen. Eine Ausnahme bilden [Schlüssel mit mehreren Regionen](multi-region-keys-overview.md), bei denen ein regionsübergreifender Replikationsmechanismus AWS KMS verwendet wird, um das Schlüsselmaterial für einen Schlüssel mit mehreren Regionen von einem HSM in einem in ein HSM in einem anderen AWS-Region zu kopieren. AWS-Region Einzelheiten finden Sie unter [Replikationsprozess für Schlüssel mit mehreren](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html) Regionen im Abschnitt Kryptografische Details. AWS Key Management Service
**Topics**
+ [Verschlüsselung im Ruhezustand](#encryption-at-rest)
+ [Verschlüsselung während der Übertragung](#encryption-in-transit)
### Verschlüsselung im Ruhezustand
AWS KMS generiert Schlüsselmaterial für AWS KMS keys [FIPS 140-3-Sicherheitsmodule, die der Sicherheitsstufe 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) entsprechen (). HSMs Die einzige Ausnahme bilden China Regionen, in denen HSMs die zur Generierung von KMS-Schlüsseln AWS KMS verwendeten Dateien allen einschlägigen chinesischen Vorschriften entsprechen, aber nicht im Rahmen des FIPS 140-3-Validierungsprogramms für kryptografische Module validiert sind. Bei Nichtgebrauch wird Schlüsselmaterial durch einen HSM-Schlüssel verschlüsselt und in dauerhaftem persistenten Speicher geschrieben. Das Schlüsselmaterial für KMS-Schlüssel und die Verschlüsselungsschlüssel, die das Schlüsselmaterial schützen, verlassen diese niemals in Klartextform. HSMs
Die Verschlüsselung und Verwaltung von Schlüsselmaterial für KMS-Schlüssel erfolgt vollständig durch AWS KMS.
Weitere Informationen finden Sie unter [Arbeiten mit AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html) unter AWS Key Management Service Kryptografische Details.
### Verschlüsselung während der Übertragung
Schlüsselmaterial, das für KMS-Schlüssel AWS KMS generiert wird, wird bei AWS KMS API-Vorgängen niemals exportiert oder übertragen. AWS KMS verwendet [Schlüsselkennungen](concepts.md#key-id), um die KMS-Schlüssel bei API-Vorgängen darzustellen. In ähnlicher Weise ist Schlüsselmaterial für KMS-Schlüssel in AWS KMS [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview) nicht exportierbar und wird auch nicht im Rahmen von AWS KMS API-Vorgängen AWS CloudHSM übertragen.
Einige AWS KMS API-Operationen geben jedoch [Datenschlüssel](data-keys.md) zurück. Kunden können außerdem API-Operationen zum [Importieren von Schlüsselmaterial](importing-keys.md) für ausgewählte KMS-Schlüssel verwenden.
Alle AWS KMS API-Aufrufe müssen mit Transport Layer Security (TLS) signiert und übertragen werden. AWS KMS erfordert TLS 1.2 und empfiehlt TLS 1.3 in allen Regionen. AWS KMS unterstützt auch hybrides Post-Quantum-TLS für AWS KMS Service-Endpunkte in allen Regionen außer den Regionen China. AWS KMS unterstützt kein hybrides Post-Quantum-TLS für FIPS-Endpunkte in. AWS GovCloud (US) Aufrufe an AWS KMS erfordern auch eine moderne Verschlüsselungssammlung, die *Perfect Forward Secrecy* unterstützt, was bedeutet, dass die Kompromittierung eines Geheimnisses, wie z. B. eines privaten Schlüssels, nicht auch den Sitzungsschlüssel gefährdet.
Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Um AWS KMS Standardendpunkte oder AWS KMS FIPS-Endpunkte verwenden zu können, müssen Clients TLS 1.2 oder höher unterstützen. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/). Eine Liste der AWS KMS FIPS-Endpunkte finden Sie unter [AWS Key Management Service Endpunkte](https://docs.aws.amazon.com/general/latest/gr/kms.html) und Kontingente im. Allgemeine AWS-Referenz
HSMs Die Kommunikation zwischen AWS KMS Service-Hosts und wird mithilfe von Elliptic Curve Cryptography (ECC) und Advanced Encryption Standard (AES) in einem authentifizierten Verschlüsselungsschema geschützt. Weitere Informationen finden Sie unter [Interne Kommunikationssicherheit unter Kryptografische](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html) Details. AWS Key Management Service
## Richtlinie für den Datenverkehr zwischen Netzwerken
AWS KMS unterstützt eine AWS-Managementkonsole und eine Reihe von API-Vorgängen, mit denen Sie sie erstellen und verwalten AWS KMS keys und in kryptografischen Vorgängen verwenden können.
AWS KMS unterstützt zwei Netzwerkverbindungsoptionen von Ihrem privaten Netzwerk bis AWS.
+ Eine IPSec VPN-Verbindung über das Internet
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/), das Ihr internes Netzwerk über ein Standard-Ethernet-Glasfaserkabel mit einem Direct Connect Standort verbindet.
Alle AWS KMS API-Aufrufe müssen signiert und mithilfe von Transport Layer Security (TLS) übertragen werden. Die Anrufe erfordern auch eine moderne Verschlüsselungssammlung, die [Perfect Forward Secrecy](https://en.wikipedia.org/wiki/Forward_secrecy) unterstützt. Der Datenverkehr zu den Hardware-Sicherheitsmodulen (HSMs), die Schlüsselmaterial für KMS-Schlüssel speichern, ist nur von bekannten AWS KMS API-Hosts über das AWS interne Netzwerk zulässig.
Um eine direkte Verbindung zu AWS KMS Ihrer Virtual Private Cloud (VPC) herzustellen, ohne Datenverkehr über das öffentliche Internet zu senden, verwenden Sie VPC-Endpunkte, betrieben von. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Weitere Informationen finden Sie unter [Stellen Sie eine Connect AWS KMS über einen VPC-Endpunkt her](kms-vpc-endpoint.md).
AWS KMS unterstützt auch eine [hybride Option für den Schlüsselaustausch nach dem Quantenzugriff](pqtls.md) für das Netzwerkverschlüsselungsprotokoll Transport Layer Security (TLS). Sie können diese Option mit TLS verwenden, wenn Sie eine Verbindung zu AWS KMS API-Endpunkten herstellen.
# Identitäts- und Zugriffsmanagement für AWS Key Management Service
AWS Identity and Access Management (IAM) hilft Ihnen, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu nutzen AWS KMS . Weitere Informationen finden Sie unter [Verwenden von IAM-Richtlinien mit AWS KMS](iam-policies.md).
[Schlüsselrichtlinien](key-policies.md) sind der wichtigste Mechanismus zur Steuerung des Zugriffs auf KMS-Schlüssel in AWS KMS. Jeder KMS-Schlüssel muss über eine Schlüsselrichtlinie verfügen. Sie können auch [IAM-Richtlinien](iam-policies.md) und [Erteilungen](grants.md), zusammen mit Schlüsselrichtlinien, zum Steuern des Zugriffs auf Ihre KMS-Schlüssel verwenden. Weitere Informationen finden Sie unter [KMS-Schlüsselzugriff und -berechtigungen](control-access.md).
Wenn Sie eine Amazon Virtual Private Cloud (Amazon VPC) verwenden, können Sie [eine VPC-Schnittstelle für AWS KMS Powered by erstellen](kms-vpc-endpoint.md). [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Sie können auch VPC-Endpunktrichtlinien verwenden, um zu bestimmen, welche Principals auf Ihren AWS KMS Endpunkt zugreifen können, welche API-Aufrufe sie tätigen können und auf welchen KMS-Schlüssel sie zugreifen können.
**Topics**
+ [AWS verwaltete Richtlinien für AWS Key Management Service](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für AWS KMS](using-service-linked-roles.md)
# AWS verwaltete Richtlinien für AWS Key Management Service
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSKey ManagementServicePowerUser
Sie können die `AWSKeyManagementServicePowerUser`-Richtlinie an Ihre IAM-Identitäten anfügen.
Sie können eine von `AWSKeyManagementServicePowerUser` verwaltete Richtlinie verwenden, um IAM-Prinzipalen in Ihrem Konto die Berechtigungen eines Hauptbenutzers zu gewähren. Hauptbenutzer können KMS-Schlüssel erstellen, die von ihnen erstellten KMS-Schlüssel verwenden und verwalten sowie alle KMS-Schlüssel und IAM-Identitäten anzeigen. Benutzer mit der von `AWSKeyManagementServicePowerUser` verwalteten Richtlinie können auch Berechtigungen aus anderen Quellen erhalten, darunter Schlüsselrichtlinien, andere IAM-Richtlinien und Erteilungen.
`AWSKeyManagementServicePowerUser`ist eine AWS verwaltete IAM-Richtlinie. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Berechtigungen in dieser Richtlinie, die für einen KMS-Schlüssel spezifisch sind, wie z. B. `kms:TagResource` und `kms:GetKeyRotationStatus`, sind nur dann wirksam, wenn die Schlüsselrichtlinie für diesen KMS-Schlüssel [dem AWS-Konto ausdrücklich erlaubt, IAM-Richtlinie](key-policy-default.md#key-policy-default-allow-root-enable-iam) zur Steuerung des Zugriffs auf den Schlüssel zu verwenden. Um festzustellen, ob sich eine Berechtigung auf einen KMS-Schlüssel bezieht, siehe [AWS KMS Berechtigungen](kms-api-permissions-reference.md) und suchen Sie in der Spalte **Ressourcen** nach dem Wert **KMS-Schlüssel**.
Mit dieser Richtlinie erhält ein Hauptbenutzer Berechtigungen für jeden KMS-Schlüssel mit einer Schlüsselrichtlinie, die den Vorgang zulässt. Für kontoübergreifende Berechtigungen wie `kms:DescribeKey` und `kms:ListGrants` kann dies KMS-Schlüssel in nicht vertrauenswürdigen AWS-Konten einschließen. Details dazu finden Sie unter [Bewährte Methoden für IAM-Richtlinien](iam-policies-best-practices.md) und [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md). Um festzustellen, ob eine Berechtigung für KMS-Schlüssel in anderen Konten gültig ist, siehe [AWS KMS Berechtigungen](kms-api-permissions-reference.md) und suchen Sie in der Spalte **Kontoübergreifende Verwendung** nach dem Wert **Ja**.
Damit Principals die AWS KMS Konsole fehlerfrei aufrufen können, benötigt der Principal das [Tag: GetResources permission](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html), das nicht in der `AWSKeyManagementServicePowerUser` Richtlinie enthalten ist. Sie können diese Berechtigung in einer separaten IAM-Richtlinie erlauben.
Die von [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen.
+ Erlaubt es Prinzipalen, KMS-Schlüssel zu erstellen. Da dieser Prozess das Festlegen der Schlüsselrichtlinie beinhaltet, können Hauptbenutzer sich selbst und anderen die Berechtigung zur Verwendung und Verwaltung der von ihnen erstellten KMS-Schlüssel erteilen.
+ Erlaubt es Benutzern, [Aliase](kms-alias.md) und [Tags](tagging-keys.md) auf allen KMS-Schlüsseln zu erstellen und zu löschen. Wenn Sie ein Tag oder einen Alias ändern, wird die Berechtigung zur Verwendung und Verwaltung des KMS-Schlüssels erteilt oder verweigert. Details hierzu finden Sie unter [ABAC für AWS KMS](abac.md).
+ Erlaubt es Benutzern, detaillierte Informationen zu allen KMS-Schlüsseln zu erhalten, einschließlich ihres Schlüssel-ARN, der kryptografischen Konfiguration, der Schlüsselrichtlinie, Aliase, Tags und [Drehungsstatus](rotate-keys.md).
+ Erlaubt es Benutzern, IAM-Benutzer, -Gruppen und -Rollen aufzulisten.
+ Diese Richtlinie erlaubt es Prinzipalen nicht, KMS-Schlüssel zu verwenden oder zu verwalten, die sie nicht erstellt haben. Sie können jedoch Aliase und Tags auf allen KMS-Schlüsseln ändern, was ihnen die Berechtigung zur Verwendung oder Verwaltung eines KMS-Schlüssels erlauben oder verweigern kann.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)in der Referenz zu AWS verwalteten Richtlinien.
## AWS verwaltete Richtlinie: AWSService RoleForKeyManagementServiceCustomKeyStores
Sie können `AWSServiceRoleForKeyManagementServiceCustomKeyStores` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, mit der Sie die AWS KMS Erlaubnis erhalten, die mit Ihrem AWS CloudHSM Schlüsselspeicher verknüpften AWS CloudHSM Cluster anzuzeigen und das Netzwerk so einzurichten, dass eine Verbindung zwischen Ihrem benutzerdefinierten Schlüsselspeicher und seinem AWS CloudHSM Cluster unterstützt wird. Weitere Informationen finden Sie unter [Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen](authorize-kms.md).
## AWS verwaltete Richtlinie: AWSService RoleForKeyManagementServiceMultiRegionKeys
Sie können `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, die die AWS KMS Erlaubnis erteilt, alle Änderungen am Schlüsselmaterial eines Primärschlüssels mit mehreren Regionen mit seinen Replikatschlüsseln zu synchronisieren. Weitere Informationen finden Sie unter [Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen](multi-region-auth-slr.md).
## AWS KMS Aktualisierungen der verwalteten Richtlinien AWS
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien AWS KMS seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der AWS KMS [Dokumentverlauf](dochistory.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – Aktualisierung auf eine bestehende Richtlinie | AWS KMS In der Richtlinienversion v2 wurde der verwalteten Richtlinie ein Feld mit der Anweisungs-ID (`Sid`) hinzugefügt. | 21. November 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – Aktualisierung auf eine bestehende Richtlinie | AWS KMS hat die `ec2:DescribeNetworkInterfaces` Berechtigungen `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, und hinzugefügt, um Änderungen in der VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können. | 10. November 2023 |
| AWS KMS hat begonnen, Änderungen zu verfolgen | AWS KMS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 10. November 2023 |
# Verwenden von serviceverknüpften Rollen für AWS KMS
AWS Key Management Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS KMS Servicebezogene Rollen werden durch alle Berechtigungen definiert AWS KMS und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS KMS erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS KMS definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS KMS kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS KMS Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Einzelheiten zu den Aktualisierungen der in diesem Thema erörterten dienstbezogenen Rollen finden Sie unter. [AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen](authorize-kms.md)
+ [Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen](multi-region-auth-slr.md)
# Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen
Um Ihre AWS CloudHSM wichtigsten Speicher zu unterstützen, ist eine Genehmigung AWS KMS erforderlich, um Informationen über Ihre AWS CloudHSM Cluster abzurufen. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle in Ihrem AWS-Konto. Benutzer, die AWS CloudHSM Schlüsselspeicher erstellen, benötigen die `iam:CreateServiceLinkedRole` Erlaubnis, dienstbezogene Rollen zu erstellen.
Einzelheiten zu Aktualisierungen der **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**verwalteten Richtlinie finden Sie unter[AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Informationen zur AWS KMS serviceverknüpften Rolle](#about-key-store-slr)
+ [Erstellen der serviceverknüpften Rolle](#create-key-store-slr)
+ [Bearbeiten der Beschreibung der serviceverknüpften Rolle](#edit-key-store-slr)
+ [Löschen der serviceverknüpften Rolle](#delete-key-store-slr)
## Informationen zur AWS KMS serviceverknüpften Rolle
Eine [dienstverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ist eine IAM-Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM-Richtlinien erstellen und verwalten zu müssen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS KMS](using-service-linked-roles.md).
AWS KMS Erstellt für AWS CloudHSM Schlüsselspeicher die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstverknüpfte Rolle mit der **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**verwalteten Richtlinie. Diese Richtlinie gewährt der Rolle die folgenden Berechtigungen:
+ [cloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — erkennt Änderungen im AWS CloudHSM Cluster, der an Ihren benutzerdefinierten Schlüsselspeicher angehängt ist.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um die Sicherheitsgruppe zu erstellen, die den Netzwerkdatenfluss zwischen und Ihrem Cluster ermöglicht. AWS KMS AWS CloudHSM
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um den Netzwerkzugriff von der VPC aus AWS KMS zu ermöglichen, die Ihren AWS CloudHSM Cluster enthält.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um die Netzwerkschnittstelle zu erstellen, die für die Kommunikation zwischen AWS KMS und dem Cluster verwendet wird. AWS CloudHSM
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — wird verwendet, wenn Sie [eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher](connect-keystore.md) herstellen, um alle ausgehenden Regeln aus der Sicherheitsgruppe zu entfernen, die erstellt wurde. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — wird verwendet, wenn Sie die Verbindung zu [einem AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), um Sicherheitsgruppen zu löschen, die beim Verbinden mit dem AWS CloudHSM Schlüsselspeicher erstellt wurden.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — wird verwendet, um Änderungen in der Sicherheitsgruppe zu überwachen, die in der VPC AWS KMS erstellt wurde, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — wird verwendet, um Änderungen in der VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — wird verwendet, um Änderungen im Netzwerk ACLs für die VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — wird verwendet, um Änderungen an den Netzwerkschnittstellen zu überwachen, die in der VPC AWS KMS erstellt wurden, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Da die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstgebundene Rolle nur vertrauenswürdig ist`cks.kms.amazonaws.com`, AWS KMS kann sie nur diese dienstgebundene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, die zum Anzeigen Ihrer AWS CloudHSM Cluster und zum Verbinden eines AWS CloudHSM Schlüsselspeichers mit dem zugehörigen Cluster AWS KMS erforderlich sind. AWS CloudHSM Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. Sie ist beispielsweise AWS KMS nicht berechtigt, Ihre AWS CloudHSM Cluster oder Backups zu erstellen HSMs, zu verwalten oder zu löschen.
**Regionen**
Wie die Funktion „ AWS CloudHSM Schlüsselspeicher“ wird die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**Rolle AWS-Regionen überall unterstützt AWS KMS und AWS CloudHSM ist verfügbar. Eine Liste der Funktionen AWS-Regionen , die von den einzelnen Diensten unterstützt werden, finden Sie unter [AWS Key Management Service Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/kms.html) und [AWS CloudHSM Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) in der. *Allgemeine Amazon Web Services-Referenz*
Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter [Verwenden von dienstverknüpften Rollen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
## Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**serviceverknüpfte Rolle in Ihrem AWS-Konto , wenn Sie einen AWS CloudHSM Schlüsselspeicher erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
## Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Namen der Rolle oder die Richtlinienanweisungen in der serviceverknüpften Rolle **AWSServiceRoleForKeyManagementServiceCustomKeyStores** nicht bearbeiten. Sie können jedoch die Beschreibung der Rolle bearbeiten. Anweisungen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle
AWS KMS löscht die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle nicht aus Ihrem, AWS-Konto auch wenn Sie [alle Ihre AWS CloudHSM Schlüsselspeicher gelöscht](delete-keystore.md) haben. Derzeit gibt es zwar kein Verfahren zum Löschen der **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogenen Rolle, AWS KMS nimmt diese Rolle jedoch nicht an und verwendet auch nicht ihre Berechtigungen, sofern Sie nicht über aktive AWS CloudHSM Schlüsselspeicher verfügen.
# Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen
Um [Schlüssel mit mehreren Regionen](multi-region-keys-auth.md) zu unterstützen, ist die Erlaubnis AWS KMS erforderlich, die [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) eines Primärschlüssels mit mehreren Regionen mit seinen Replikatschlüsseln zu synchronisieren. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle in Ihrem. AWS-Konto Benutzer, die Schlüssel für mehrere Regionen erstellen, müssen über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügen, um dienstbezogene Rollen zu erstellen.
Sie können das [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail Ereignis, das die AWS KMS Synchronisierung gemeinsam genutzter Eigenschaften aufzeichnet, in Ihren Protokollen einsehen. AWS CloudTrail
Einzelheiten zu Aktualisierungen der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie finden Sie unter[AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Über die serviceverknüpfte Rolle für multiregionale Schlüssel](#about-multi-region-slr)
+ [Erstellen der serviceverknüpften Rolle](#create-mrk-slr)
+ [Bearbeiten der Beschreibung der serviceverknüpften Rolle](#edit-mrk-slr)
+ [Löschen der serviceverknüpften Rolle](#delete-mrk-slr)
## Über die serviceverknüpfte Rolle für multiregionale Schlüssel
Eine [dienstbezogene Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ist eine IAM-Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM-Richtlinien erstellen und verwalten zu müssen.
Bei Schlüsseln mit mehreren Regionen AWS KMS wird die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle mit der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie erstellt. Diese Richtlinie gibt der Rolle die `kms:SynchronizeMultiRegionKey`-Berechtigung, die es ermöglicht, die freigegebenen Eigenschaften von multiregionalen Schlüsseln zu synchronisieren.
Da die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstgebundene Rolle nur vertrauenswürdig ist`mrk.kms.amazonaws.com`, AWS KMS kann sie nur diese dienstbezogene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, bei denen gemeinsam genutzte Eigenschaften mehrerer Regionen synchronisiert AWS KMS werden müssen. Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. AWS KMS Hat beispielsweise keine Berechtigung, KMS-Schlüssel zu erstellen, zu replizieren oder zu löschen.
Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter [Verwenden von dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) im IAM-Benutzerhandbuch.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**serviceverknüpfte Rolle in Ihrem, AWS-Konto wenn Sie einen Schlüssel für mehrere Regionen erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
## Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Rollennamen oder die Richtlinienerklärungen in der **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogenen Rolle nicht bearbeiten, aber Sie können die Rollenbeschreibung bearbeiten. Anweisungen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle
AWS KMS löscht die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstverknüpfte Rolle nicht aus Ihrer AWS-Konto und Sie können sie nicht löschen. Übernimmt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**Rolle jedoch AWS KMS nicht und verwendet keine ihrer Berechtigungen, es sei denn, Sie haben Schlüssel für mehrere Regionen in Ihrer Region AWS-Konto und Ihrer Region.
# Einloggen und Überwachen AWS Key Management Service
Überwachung ist wichtig, um die Verfügbarkeit, den Status und die Nutzung Ihrer AWS KMS keys in AWS KMS zu verstehen. Die Überwachung trägt dazu bei, die Sicherheit, Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS Lösungen aufrechtzuerhalten. AWS bietet mehrere Tools zur Überwachung Ihrer KMS-Schlüssel.
**AWS CloudTrail Logs**
Jeder Aufruf einer AWS KMS API-Operation wird als Ereignis in einem AWS CloudTrail Protokoll erfasst. In diesen Protokollen werden alle API-Aufrufe von der AWS KMS Konsole sowie Aufrufe von AWS KMS und anderen AWS Diensten aufgezeichnet. Kontoübergreifende API-Aufrufe, z. B. ein Aufruf zur Verwendung eines KMS-Schlüssels in einem anderen AWS-Konto, werden in den CloudTrail Protokollen beider Konten aufgezeichnet.
Bei der Fehlerbehebung oder Überwachung können Sie mithilfe des Protokolls den Lebenszyklus eines KMS-Schlüssels rekonstruieren. Sie können auch die Verwaltung und Verwendung des KMS-Schlüssels in kryptografischen Operationen anzeigen. Weitere Informationen finden Sie unter [AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md).
** CloudWatch Amazon-Protokolle**
Überwachen Sie Ihre Protokolldateien und greifen Sie auf sie aus anderen Quellen zu, speichern Sie sie AWS CloudTrail und greifen Sie darauf zu. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
For CloudWatch speichert nützliche Informationen AWS KMS, die Ihnen helfen, Probleme mit Ihren KMS-Schlüsseln und den Ressourcen, die sie schützen, zu vermeiden. Weitere Informationen finden Sie unter [Überwachen Sie KMS-Schlüssel mit Amazon CloudWatch](monitoring-cloudwatch.md).
**Amazon EventBridge**
AWS KMS generiert EventBridge Ereignisse, wenn Ihr KMS-Schlüssel [rotiert](rotate-keys.md) oder [gelöscht](deleting-keys.md) wird oder wenn das [importierte Schlüsselmaterial](importing-keys.md) in Ihrem KMS-Schlüssel abläuft. Suchen Sie nach AWS KMS Ereignissen (API-Operationen) und leiten Sie sie an eine oder mehrere Zielfunktionen oder Streams weiter, um Statusinformationen zu erfassen. Weitere Informationen finden Sie unter [Überwachen Sie KMS-Schlüssel mit Amazon EventBridge](kms-events.md) und im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
** CloudWatch Amazon-Metriken**
Sie können Ihre KMS-Schlüssel mithilfe von CloudWatch Metriken überwachen, bei denen Rohdaten gesammelt und AWS KMS zu Leistungskennzahlen verarbeitet werden. Die Daten werden in zweiwöchigen Intervallen aufgezeichnet, sodass Sie Trends aktueller und historischer Informationen anzeigen können. Auf diese Weise können Sie verstehen, wie Ihre KMS-Schlüssel verwendet werden und wie sich ihre Verwendung im Laufe der Zeit ändert. Informationen zur Verwendung von CloudWatch Metriken zur Überwachung von KMS-Schlüsseln finden Sie unter[AWS KMS Metriken und Dimensionen](monitoring-cloudwatch.md#kms-metrics).
** CloudWatch Amazon-Alarme**
Überwachen Sie eine Metrik über einen bestimmten, von Ihnen definierten Zeitraum. Der Alarm führt eine oder mehrere Aktionen durch, basierend auf dem Wert der Metrik im Vergleich zu einem bestimmten Schwellenwert in einer Reihe von Zeiträumen. Sie können beispielsweise einen CloudWatch Alarm erstellen, der ausgelöst wird, wenn jemand versucht, einen KMS-Schlüssel zu verwenden, dessen Löschung im Rahmen eines kryptografischen Vorgangs geplant ist. Dies zeigt an, dass der KMS-Schlüssel noch verwendet wird und wahrscheinlich nicht gelöscht werden sollte. Weitere Informationen finden Sie unter [Erstellen Sie einen Alarm, der die Verwendung eines KMS-Schlüssels erkennt, dessen Löschung noch aussteht](deleting-keys-creating-cloudwatch-alarm.md).
**AWS Security Hub CSPM**
Mithilfe dieser Methode können Sie Ihre AWS KMS Nutzung im Hinblick auf Sicherheit, Industriestandards und bewährte Verfahren AWS Security Hub CSPMüberwachen. Security Hub CSPM verwendet Sicherheitskontrollen, um Ressourcenkonfigurationen und Sicherheitsstandards zu bewerten und Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen finden Sie unter [AWS Key Management Service -Steuerungen](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) im *AWS Security Hub -Benutzerhandbuch*.
# Konformitätsvalidierung für AWS Key Management Service
Externe Prüfer bewerten die Sicherheit und Einhaltung von Vorschriften im AWS Key Management Service Rahmen mehrerer AWS Compliance-Programme. Hierzu zählen unter anderem SOC, PCI, FedRAMP und HIPAA.
**Topics**
+ [Compliance-und Sicherheitsdokumente](#compliance-documents)
+ [Weitere Informationen](#compliance-more)
## Compliance-und Sicherheitsdokumente
Die folgenden Konformitäts- und Sicherheitsdokumente decken Folgendes ab AWS KMS. Um sie anzuzeigen, verwenden Sie [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
+ Cloud Computing Compliance Controls Catalogue (C5)
+ ISO 27001:2013 Erklärung zur Anwendbarkeit (SoA)
+ ISO 27001:2013 Zertifizierung
+ ISO 27017:2015 Erklärung zur Anwendbarkeit (SoA)
+ ISO 27017:2015 Zertifizierung
+ ISO 27018:2015 Erklärung zur Anwendbarkeit (SoA)
+ ISO 27018:2014 Zertifizierung
+ ISO 9001:2015 Zertifizierung
+ PCI-DSS-Compliance-Nachweis (AOC) und Zusammenfassung der Verantwortlichkeiten
+ Service Organization Controls (SOC)-Bericht 1
+ Service Organization Controls (SOC)-Bericht 2
+ Service Organization Controls (SOC)-Bericht 2 zur Vertraulichkeit
+ FedRAMP-hoch
Hilfe zur Verwendung AWS Artifact finden Sie unter [Berichte in AWS Artifact herunterladen](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
## Weitere Informationen
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS KMS hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Falls Ihre Verwendung von der Einhaltung eines veröffentlichten Standards AWS KMS unterliegt, AWS bietet Ihnen Ressourcen, die Sie bei folgenden Themen unterstützen:
+ [AWS Services im Geltungsbereich nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/) — Auf dieser Seite sind AWS Services aufgeführt, die in den Geltungsbereich bestimmter Compliance-Programme fallen. Allgemeine Informationen finden Sie unter [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/).
+ [Schnellstartanleitungen zu Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Implementierung von Umgebungen beschrieben, auf denen Sicherheit und Compliance im Vordergrund stehen. AWS
+ [AWS Ressourcen zur Einhaltung](https://aws.amazon.com/compliance/resources/) von Vorschriften — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Dieser AWS Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren internen Sicherheitsstatus. AWS Security Hub CSPM verwendet Sicherheitskontrollen, um Ihre AWS Ressourcen zu bewerten und Ihre Einhaltung der Sicherheitsstandards und Best Practices der Sicherheitsbranche zu überprüfen. Eine Liste der unterstützten Dienste und Kontrollen finden Sie in der [Security Hub CSPM-Steuerungsreferenz](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
# Resilienz in AWS Key Management Service
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Zusätzlich zur AWS globalen Infrastruktur AWS KMS bietet es mehrere Funktionen zur Unterstützung Ihrer Datenausfallsicherheit und Backup-Anforderungen. Weitere Informationen zu AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
## Regionale Isolierung
AWS Key Management Service (AWS KMS) ist ein sich selbst tragender regionaler Service, der überall verfügbar ist. AWS-Regionen Das regional isolierte Design von AWS KMS stellt sicher, dass ein Verfügbarkeitsproblem in einer Region den AWS KMS Betrieb in keiner anderen Region beeinträchtigen AWS-Region kann. AWS KMS ist so konzipiert, dass *keine geplanten Ausfallzeiten auftreten* und alle Softwareupdates und Skalierungsvorgänge nahtlos und unmerklich ausgeführt werden.
Das AWS KMS [Service Level Agreement](https://aws.amazon.com/kms/sla/) (SLA) beinhaltet eine Serviceverpflichtung von 99,999% für alle KMS. APIs Um diese Verpflichtung zu erfüllen, stellt AWS KMS sicher, dass alle Daten und Berechtigungsinformationen, die zur Ausführung einer API-Anfrage erforderlich sind, auf allen regionalen Hosts verfügbar sind, die die Anfrage erhalten.
Die AWS KMS Infrastruktur wird in mindestens drei Availability Zones (AZs) in jeder Region repliziert. Um sicherzustellen, dass mehrere Hostausfälle die AWS KMS Leistung nicht beeinträchtigen, AWS KMS ist es so konzipiert, dass Kundendatenverkehr aus allen Regionen einer AZs Region bedient wird.
Änderungen, die Sie an den Eigenschaften oder Berechtigungen eines KMS-Schlüssels vornehmen, werden auf alle Hosts in der Region repliziert, um sicherzustellen, dass nachfolgende Anfragen von jedem Host in der Region korrekt verarbeitet werden können. Anfragen für [kryptografische Operationen](kms-cryptography.md#cryptographic-operations) unter Verwendung Ihres KMS-Schlüssels werden an eine Reihe von AWS KMS Hardware-Sicherheitsmodulen (HSMs) weitergeleitet, von denen jedes den Vorgang mit dem KMS-Schlüssel ausführen kann.
## Design mit mehreren Mandanten
Das mandantenfähige Design von AWS KMS ermöglicht es, das SLA für eine Verfügbarkeit von 99,999% zu erfüllen und hohe Anforderungsraten aufrechtzuerhalten und gleichzeitig die Vertraulichkeit Ihrer Schlüssel und Daten zu schützen.
Es werden mehrere integritätserzwingende Mechanismen eingesetzt, um sicherzustellen, dass der KMS-Schlüssel, den Sie für die kryptografische Operation angegeben haben, immer verwendet wird.
Das Klartext-Schlüsselmaterial für Ihre KMS-Schlüssel ist umfangreich geschützt. Das Schlüsselmaterial wird im HSM verschlüsselt, sobald es erstellt wird, und das verschlüsselte Schlüsselmaterial wird sofort in einen sicheren Speicher mit geringer Latenzzeit übertragen. Der verschlüsselte Schlüssel wird im HSM abgerufen und entschlüsselt, sobald er benutzt wird. Der Klartextschlüssel verbleibt nur so lange im HSM-Speicher, wie er für den Abschluss der kryptografischen Operation benötigt wird. Dann wird er im HSM erneut verschlüsselt und der verschlüsselte Schlüssel wird wieder gespeichert. Schlüsselmaterial im Klartext-Format verlässt niemals den und wird niemals in HSMs den persistenten Speicher geschrieben.
## Bewährte Methoden zur Resilienz in AWS KMS
Um die Widerstandsfähigkeit Ihrer AWS KMS Ressourcen zu optimieren, sollten Sie die folgenden Strategien in Betracht ziehen.
+ Um Ihre Sicherungs- und Notfallwiederherstellungs-Strategie zu unterstützen, sollten Sie *multiregionale Schlüssel* in Betracht ziehen. Dabei handelt es sich um KMS-Schlüssel, die in einer AWS-Region erstellt und nur in von Ihnen angegebene Regionen repliziert werden. Mit Schlüsseln für mehrere Regionen können Sie verschlüsselte Ressourcen zwischen AWS-Regionen (innerhalb derselben Partition) verschieben, ohne jemals den Klartext preiszugeben, und die Ressource bei Bedarf in einer der Zielregionen entschlüsseln. Zusammengehörige multiregionale Schlüssel sind interoperabel, da sie dasselbe Schlüsselmaterial und dieselbe Schlüssel-ID verwenden, aber sie haben unabhängige Schlüsselrichtlinien für eine hochauflösende Zugangskontrolle. Weitere Informationen zu [multiregionalen Schlüsseln finden Sie unter AWS KMS](multi-region-keys-overview.md).
+ [Um Ihre Schlüssel in einem Dienst mit mehreren Mandanten zu schützen AWS KMS, sollten Sie Zugriffskontrollen verwenden, einschließlich [Schlüsselrichtlinien](key-policies.md) und IAM-Richtlinien.](iam-policies.md) Darüber hinaus können Sie Ihre Anfragen an AWS KMS einen *VPC-Schnittstellenendpunkt* senden, der von AWS PrivateLink betrieben wird. Wenn Sie dies tun, AWS KMS erfolgt die gesamte Kommunikation zwischen Ihrer Amazon VPC und ausschließlich innerhalb des AWS Netzwerks über einen dedizierten AWS KMS Endpunkt, der auf Ihre VPC beschränkt ist. Sie können diese Anfragen weiter absichern, indem Sie mit [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy) eine zusätzliche Autorisierungsebene schaffen. Weitere Informationen finden Sie unter [Verbinden mit AWS KMS über einen VPC-Endpunkt](kms-vpc-endpoint.md).
# Infrastruktursicherheit in AWS Key Management Service
Als verwalteter Service ist AWS Key Management Service (AWS KMS) durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die in [Amazon Web Services: Überblick über Sicherheitsprozesse](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind.
Für den Zugriff AWS KMS über das Netzwerk können Sie die AWS KMS API-Operationen aufrufen, die in der [AWS Key Management Service API-Referenz](https://docs.aws.amazon.com/kms/latest/APIReference/) beschrieben sind. AWS KMS erfordert TLS 1.2 und empfiehlt TLS 1.3 in allen Regionen. AWS KMS unterstützt auch hybrides Post-Quantum-TLS für AWS KMS Service-Endpunkte in allen Regionen außer den Regionen China. AWS KMS unterstützt kein hybrides Post-Quantum-TLS für FIPS-Endpunkte in. AWS GovCloud (US) Um die [Standard- AWS KMS -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/kms.html) oder [AWS KMS -FIPS-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/kms.html) zu verwenden, müssen Clients TLS 1.2 oder höher unterstützen. Clients müssen außerdem Cipher-Suites mit Perfect Forward Secrecy (PFS) wie Ephemeral Diffie-Hellman (DHE) oder Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) unterstützen. Die meisten modernen Systeme, z. B. Java 7 und höher, unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
Sie können diese API-Operationen von jedem Netzwerkstandort aus aufrufen, AWS KMS unterstützt jedoch globale Richtlinienbedingungen, mit denen Sie den Zugriff auf einen KMS-Schlüssel auf der Grundlage der Quell-IP-Adresse, der VPC und des VPC-Endpunkts steuern können. Sie können diese Bedingungsschlüssel in Schlüsselrichtlinien und IAM-Richtlinien verwenden. Diese Bedingungen können jedoch AWS verhindern, dass der KMS-Schlüssel in Ihrem Namen verwendet wird. Details hierzu finden Sie unter [AWS globale Bedingungsschlüssel](conditions-aws.md).
Die folgende wichtige Richtlinienanweisung ermöglicht es beispielsweise Benutzern, die diese `KMSTestRole` Rolle übernehmen können, diese AWS KMS key für die angegebenen [kryptografischen Operationen](kms-cryptography.md#cryptographic-operations) zu verwenden, sofern es sich bei der Quell-IP-Adresse nicht um eine der in der Richtlinie angegebenen IP-Adressen handelt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## Isolierung auf physischen Hosts
Die Sicherheit der AWS KMS verwendeten physischen Infrastruktur unterliegt den Kontrollen, die im Abschnitt **Physische Sicherheit und Umgebungssicherheit** von [Amazon Web Services: Überblick über Sicherheitsprozesse](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind. Weitere Details finden Sie in Compliance-Berichten und Prüfungsergebnissen von Drittanbietern, die im vorherigen Abschnitt aufgeführt sind.
AWS KMS wird von speziellen Sicherheitsmodulen für gehärtete Hardware (HSMs) unterstützt, die mit speziellen Kontrollen ausgestattet sind, um physischen Angriffen standzuhalten. Dabei HSMs handelt es sich um physische Geräte *ohne* Virtualisierungsebene, wie z. B. einen Hypervisor, der das physische Gerät von mehreren logischen Mandanten gemeinsam genutzt wird. Das Schlüsselmaterial für AWS KMS keys wird nur im flüchtigen Speicher auf dem gespeichert HSMs, und nur solange der KMS-Schlüssel verwendet wird. Dieser Speicher wird gelöscht, wenn das HSM den Betriebszustand verlässt, einschließlich beabsichtigtem und unbeabsichtigtem Herunterfahren und Zurücksetzen. Ausführliche Informationen zur Funktionsweise von finden Sie AWS KMS HSMs unter [AWS Key Management Service Kryptografische Details](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).