Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS KMS Verschlüsselung mit AWS Diensten verwenden
Mit AWS Key Management Service können Sie Verschlüsselungsschlüssel zum Schutz von Daten in anderen AWS Diensten bereitstellen. Die Verwendung von AWS KMS Verschlüsselung mit AWS Diensten bezieht sich auf den Prozess der Integration AWS KMS mit anderen AWS Diensten, um Daten im Ruhezustand oder während der Übertragung zu verschlüsseln und zu entschlüsseln. Entwickler, Systemadministratoren und Sicherheitsexperten könnten an diesem Thema interessiert sein, um sensible Daten zu schützen, die über AWS Dienste gespeichert oder übertragen werden, gesetzliche Anforderungen zu erfüllen oder bewährte Verschlüsselungsmethoden zu implementieren. Zu den häufigsten Anwendungsfällen gehört die Verschlüsselung von Amazon EBS-Volumes, Amazon S3 S3-Buckets und Amazon RDS-Datenbanken. [In den folgenden Abschnitten werden die Schritte zur Konfiguration und Verwaltung von AWS KMS Verschlüsselungsschlüsseln für bestimmte AWS Services behandelt, um die Vertraulichkeit und Integrität der Daten in Ihrer gesamten AWS Umgebung zu gewährleisten. Eine vollständige Liste der integrierten AWS Services finden Sie unter Service Integration AWS KMS.AWS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)
In den folgenden Themen wird detailliert beschrieben, wie bestimmte Dienste diese verwenden AWS KMS, einschließlich der KMS-Schlüssel, die sie unterstützen, wie sie Datenschlüssel verwalten, welche Berechtigungen sie benötigen und wie Sie die Verwendung der KMS-Schlüssel in Ihrem Konto durch die einzelnen Dienste nachverfolgen können.
**Wichtig**
[AWS Dienste, die integriert sind, AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) verwenden ausschließlich symmetrische KMS-Schlüssel zur Verschlüsselung Ihrer Daten. Diese Services unterstützen keine Verschlüsselung mit asymmetrischen KMS-Schlüsseln. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter [Identifizieren Sie verschiedene Schlüsseltypen](identify-key-types.md).
**Topics**
+ [Amazon Elastic Block Store (Amazon EBS)](services-ebs.md)
+ [Amazon EMR](services-emr.md)
+ [Amazon Redshift](services-redshift.md)
# So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS
In diesem Thema wird ausführlich beschrieben, wie [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) AWS KMS Volumes und Snapshots verschlüsselt. Grundlegende Anweisungen zur Verschlüsselung von EBS-Volumes finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html).
**Topics**
+ [Amazon-EBS-Verschlüsselung](#ebs-encrypt)
+ [Verwenden von KMS-Schlüsseln und Datenschlüsseln](#ebs-cmk)
+ [Amazon-EBS-Verschlüsselungskontext](#ebs-encryption-context)
+ [Erkennen von Amazon-EBS-Fehlern](#ebs-failures)
+ [Verwenden AWS CloudFormation , um verschlüsselte Amazon EBS-Volumes zu erstellen](#ebs-encryption-using-cloudformation)
## Amazon-EBS-Verschlüsselung
Wenn Sie ein verschlüsseltes Amazon-EBS-Volume einem [unterstützten Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Typ](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption_supported_instances) zuordnen, werden sowohl die auf dem Volume gespeicherten Daten als auch die Datenträger-E/A und die von dem Volume erstellten Snapshots verschlüsselt. Die Verschlüsselung erfolgt auf den Servern, die Amazon-EC2-Instances hosten.
Diese Funktion wird für alle Typen von [Amazon-EBS-Volumes](https://docs.aws.amazon.com/ebs-encryption-requirements.html#ebs-encryption-volume-types) unterstützt. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Die Ver- und Entschlüsselung werden transparent gehandhabt und erfordern keine weitere Aktion von Ihnen, Ihrer EC2-Instance oder Ihrer Anwendung. Snapshots von verschlüsselten Volumes werden automatisch verschlüsselt, genau wie Volumes, die auf Basis verschlüsselter Snapshots erstellt werden.
Der Verschlüsselungsstatus eines EBS-Volume wird bei der Erstellung des Volume bestimmt. Der Verschlüsselungsstatus eines vorhandenen Volume kann nicht geändert werden. Sie können jedoch [Daten](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) zwischen verschlüsselten und nicht verschlüsselten Volumes migrieren und beim Kopieren eines Snapshots einen neuen Verschlüsselungsstatus anwenden.
Amazon EBS unterstützt standardmäßig optionale Verschlüsselung. Sie können die Verschlüsselung automatisch für alle neuen EBS-Volumes und Snapshot-Kopien in Ihrer Region und Ihrer Region aktivieren. AWS-Konto Diese Konfigurationseinstellung hat keine Auswirkungen auf vorhandene Volumes oder Snapshots. Einzelheiten finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) im *Amazon EBS-Benutzerhandbuch*.
## Verwenden von KMS-Schlüsseln und Datenschlüsseln
Wenn Sie [ein verschlüsseltes Amazon-EBS-Volume erstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html), geben Sie einen AWS KMS key an. Amazon EBS verwendet standardmäßig [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key) für Amazon EBS in Ihrem Konto (`aws/ebs`). Sie können jedoch einen [kundenverwalteten Schlüssel](concepts.md#customer-mgn-key) angeben, den Sie erstellen und verwalten.
Um einen kundenverwalteten Schlüssel zu verwenden, müssen Sie Amazon EBS die Berechtigung zur Verwendung des KMS-Schlüssels in Ihrem Namen erteilen. Weitere Informationen finden Sie unter [So funktioniert die Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) im *Amazon EBS-Benutzerhandbuch*.
**Wichtig**
Amazon EBS unterstützt nur [symmetrische KMS-Schlüssel](symm-asymm-choose-key-spec.md#symmetric-cmks). Sie können keinen [asymmetrischen KMS-Schlüssel](symmetric-asymmetric.md) verwenden, um ein Amazon-EBS-Volume zu verschlüsseln. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter [Identifizieren Sie verschiedene Schlüsseltypen](identify-key-types.md).
Für jedes Volume bittet Amazon EBS darum, einen eindeutigen Datenschlüssel AWS KMS zu generieren, der unter dem von Ihnen angegebenen KMS-Schlüssel verschlüsselt ist. Amazon EBS speichert den verschlüsselten Datenschlüssel mit dem Volume. Wenn Sie dann das Volume an eine Amazon EC2 EC2-Instance anhängen, ruft Amazon EBS auf, AWS KMS um den Datenschlüssel zu entschlüsseln. Amazon EBS verwendet den Klartext-Datenschlüssel im Hypervisor-Speicher, um alle Festplatten I/O auf dem Volume zu verschlüsseln. Einzelheiten finden Sie unter *So funktioniert die EBS-Verschlüsselung* im [Amazon EC2 EC2-Benutzerhandbuch oder im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#how-ebs-encryption-works) [EC2-Benutzerhandbuch](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#how-ebs-encryption-works).
## Amazon-EBS-Verschlüsselungskontext
In seinen [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext)und [Decrypt-Anfragen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS verwendet Amazon EBS einen Verschlüsselungskontext mit einem Name-Wert-Paar, das das Volume oder den Snapshot in der Anfrage identifiziert. Der Name im Verschlüsselungskontext variiert nicht.
Ein [Verschlüsselungskontext](encrypt_context.md) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Datenverschlüsselung aufnehmen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Für alle Volumes und für verschlüsselte Snapshots, die mit dem Amazon [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html)EBS-Vorgang erstellt wurden, verwendet Amazon EBS die Volume-ID als Verschlüsselungskontextwert. Im `requestParameters`-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:
```
"encryptionContext": {
"aws:ebs:id": "vol-0cfb133e847d28be9"
}
```
Für verschlüsselte Snapshots, die mit dem Amazon EC2 [CopySnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CopySnapshot.html)EC2-Vorgang erstellt wurden, verwendet Amazon EBS die Snapshot-ID als Verschlüsselungskontextwert. Im `requestParameters`-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:
```
"encryptionContext": {
"aws:ebs:id": "snap-069a655b568de654f"
}
```
## Erkennen von Amazon-EBS-Fehlern
Um ein verschlüsseltes EBS-Volume zu erstellen oder das Volume an eine EC2-Instance anzufügen, müssen Amazon EBS und die Amazon-EC2-Infrastruktur in der Lage sein, den für die EBS-Volume-Verschlüsselung angegebenen KMS-Schlüssel zu verwenden. Wenn der KMS-Schlüssel nicht verwendbar ist, z. B. wenn sein [Schlüsselstatus](key-state.md) nicht `Enabled` ist, schlägt die Volume-Erstellung oder das Anfügen des Volumes fehl.
In diesem Fall sendet Amazon EBS ein *Ereignis* an Amazon EventBridge (früher CloudWatch Events), um Sie über den Fehler zu informieren. In EventBridge können Sie Regeln festlegen, die als Reaktion auf diese Ereignisse automatische Aktionen auslösen. Weitere Informationen finden Sie unter [Amazon CloudWatch Events for Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html) im *Amazon EBS-Benutzerhandbuch*, insbesondere in den folgenden Abschnitten:
+ [Ungültiger Verschlüsselungsschlüssel für das Anfügen oder erneute Anfügen eines Volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#attach-fail-key)
+ [Ungültiger Verschlüsselungsschlüssel für das Erstellen eines Volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#create-fail-key)
Um dieser Fehler zu beheben, vergewissern Sie sich, dass der KMS-Schlüssel, den Sie für die EBS-Volume-Verschlüsselung angegeben haben, aktiviert ist. [Sehen Sie sich dazu zunächst den KMS-Schlüssel](viewing-keys.md) an, um seinen aktuellen Schlüsselstatus zu ermitteln (die Spalte **Status** in der AWS-Managementkonsole). Sehen Sie sich dann die Informationen unter einem der folgenden Links an:
+ Wenn der Schlüsselstatus des KMS-Schlüssels deaktiviert ist, [aktivieren Sie ihn](enabling-keys.md).
+ Wenn der Schlüsselstatus des KMS-Schlüssels zeigt, dass der Import ausstehend ist, [importieren Sie das Schlüsselmaterial](importing-keys.md).
+ Wenn der Schlüsselstatus des KMS-Schlüssels Löschung ausstehend ist, [brechen Sie die Schlüssellöschung ab](deleting-keys-scheduling-key-deletion.md).
## Verwenden AWS CloudFormation , um verschlüsselte Amazon EBS-Volumes zu erstellen
Sie können [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/) verwenden, um verschlüsselte Amazon-EBS-Volumes zu erstellen. Weitere Informationen finden Sie unter [AWS::EC2::Volume](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-ebs-volume.html) im *AWS CloudFormation -Benutzerhandbuch*.
# So verwendet Amazon EMR AWS KMS
Wenn Sie einen [Amazon-EMR-Cluster](https://aws.amazon.com/emr/) verwenden, können Sie den Cluster zum Verschlüsseln von Daten *im Ruhezustand* konfigurieren, bevor Sie sie in einem persistenten Speicher ablegen. Sie können ruhende Daten im EMR-Dateisystem (EMRFS) und/oder auf den Speicher-Volumes von Cluster-Knoten verschlüsseln. Sie können Data-at-Rest mit einem AWS KMS key verschlüsseln. In den folgenden Themen wird erläutert, wie ein Amazon-EMR-Cluster einen KMS-Schlüssel zum Verschlüsseln von Daten im Ruhezustand verwendet.
**Wichtig**
Amazon EMR unterstützt nur [symmetrische KMS-Schlüssel](symm-asymm-choose-key-spec.md#symmetric-cmks). Sie können keinen [asymmetrischen KMS-Schlüssel](symmetric-asymmetric.md) verwenden, um Data-at-Rest in einem Amazon-EMR-Cluster zu verschlüsseln. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter [Identifizieren Sie verschiedene Schlüsseltypen](identify-key-types.md).
Amazon-EMR-Cluster verschlüsseln auch Daten *während der Übertragung*, was bedeutet, dass der Cluster Daten vor der Übertragung über das Netzwerk verschlüsselt. Sie können einen KMS-Schlüssel verwenden, um Daten während der Übertragung zu verschlüsseln. Weitere Information erhalten Sie unter [Verschlüsselung von Daten während der Übertragung](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html#emr-encryption-intransit) im *Amazon-EMR-Management-Handbuch*.
Weitere Informationen über alle in Amazon EMR verfügbaren Verschlüsselungsoptionen finden Sie unter [Verschlüsselungsoptionen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html) im *Amazon-EMR-Management-Handbuch*.
**Topics**
+ [Verschlüsseln von Daten auf dem EMR-Dateisystem (EMRFS)](#emrfs-encryption)
+ [Verschlüsseln von Daten auf den Speicher-Volumes von Cluster-Knoten](#emr-local-disk-encryption)
+ [Verschlüsselungskontext](#emr-encryption-context)
## Verschlüsseln von Daten auf dem EMR-Dateisystem (EMRFS)
Amazon-EMR-Cluster verwenden zwei verteilte Dateisysteme:
+ Das Hadoop Distributed File System (HDFS). Die HDFS-Verschlüsselung verwendet keinen KMS-Schlüssel in AWS KMS.
+ Das EMR File System (EMRFS). Das EMRFS ist eine Implementierung von HDFS, das es Amazon-EMR-Clustern ermöglicht, Daten in Amazon Simple Storage Service (Amazon S3) zu speichern. EMRFS unterstützt vier Verschlüsselungsoptionen, wovon zwei einen KMS-Schlüssel in AWS KMS verwenden. Weitere Informationen über alle in Amazon EMR verfügbaren Verschlüsselungsoptionen finden Sie unter [Verschlüsselungsoptionen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html) im *Amazon-EMR-Management-Handbuch*.
Die zwei EMRFS-Verschlüsselungsoptionen, die einen KMS-Schlüssel verwenden, um die folgenden von Amazon S3 angebotenen Verschlüsselungsfunktionen zu nutzen:
+ [Schutz von Daten mithilfe serverseitiger Verschlüsselung mit AWS Key Management Service (](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)SSE-KMS). Der Amazon EMR-Cluster sendet Daten an Amazon S3. Amazon S3 verwendet einen KMS-Schlüssel, um die Daten vor dem Speichern in einem S3-Bucket zu verschlüsseln. Weitere Information dazu finden Sie unter [Prozess für das Verschlüsseln von Daten auf EMRFS mit SSE-KMS](#emrfs-encryption-sse-kms).
+ [Schützen von Daten mithilfe clientseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) (CSE-KMS) Daten in einem Amazon EMR werden unter einem AWS KMS key bevor es zur Speicherung an Amazon S3 gesendet wird. Weitere Information dazu finden Sie unter [Prozess für das Verschlüsseln von Daten auf EMRFS mit CSE-KMS](#emrfs-encryption-cse-kms).
Wenn Sie einen Amazon-EMR-Cluster konfigurieren, um Daten auf EMRFS mit SSE-KMS oder CSE-KMS zu verschlüsseln, wählen Sie den KMS-Schlüssel in , den Amazon S3 oder der Amazon-EMR-Cluster verwenden soll. Für SSE-KMS können Sie den Von AWS verwalteter Schlüssel für Amazon S3 mit dem Alias **aws/s3** oder einen von Ihnen erstellten symmetrischen kundenverwalteten Schlüssel auswählen. Für CSE-KMS müssen Sie einen von Ihnen erstellten symmetrischen kundenverwalteten Schlüssel auswählen. Wenn Sie einen kundenverwalteten Schlüssel auswählen, müssen Sie sicherstellen, dass der Amazon-EMR-Cluster über die Berechtigung zur Nutzung des KMS-Schlüssels verfügt. Weitere Informationen finden Sie unter [AWS KMS keys Zur Verschlüsselung verwenden](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) im *Amazon EMR Management Guide*.
Für beide, SSE-KMS und CSE-KMS, ist der von Ihnen gewählte KMS-Schlüssel der Stammschlüssel in einem [Envelope-Verschlüsselungs](kms-cryptography.md#enveloping)-Workflow. Die Daten werden mit einem eindeutigen [Datenschlüssel](data-keys.md) verschlüsselt, der unter dem KMS-Schlüssel in AWS KMS verschlüsselt wird. Die verschlüsselten Daten und eine verschlüsselte Kopie des Datenschlüssels werden zusammen als einzelnes verschlüsseltes Objekt in einem S3-Bucket verschlüsselt. Weitere Informationen dazu finden Sie in den folgenden Themen.
**Topics**
+ [Prozess für das Verschlüsseln von Daten auf EMRFS mit SSE-KMS](#emrfs-encryption-sse-kms)
+ [Prozess für das Verschlüsseln von Daten auf EMRFS mit CSE-KMS](#emrfs-encryption-cse-kms)
### Prozess für das Verschlüsseln von Daten auf EMRFS mit SSE-KMS
Wenn Sie für einen Amazon-EMR-Cluster für die Verwendung von SSE-KMS konfigurieren, läuft der Verschlüsselungsprozess folgendermaßen ab:
1. Der Cluster sendet Daten zu Amazon S3 zur Speicherung in einem S3-Bucket.
1. Amazon S3 sendet eine [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage an AWS KMS, in der die Schlüssel-ID des KMS-Schlüssels angegeben wird, den Sie bei der Konfiguration des Clusters für die Verwendung von SSE-KMS ausgewählt haben. Die Anforderung enthält Verschlüsselungskontext; weitere Informationen finden Sie unter [Verschlüsselungskontext](#emr-encryption-context).
1. AWS KMS generiert einen eindeutigen Datenverschlüsselungsschlüssel (Datenschlüssel) und sendet dann zwei Kopien dieses Datenschlüssels an Amazon S3. Eine Kopie ist unverschlüsselt (Klartext) und die andere Kopie ist mit dem KMS-Schlüssel verschlüsselt.
1. Amazon S3 verschlüsselt die in Schritt 1 erhaltenen Daten mit dem Klartext-Datenschlüssel und entfernt diesen Klartext-Datenschlüssel anschließend schnellstmöglich aus dem Arbeitsspeicher.
1. Amazon S3 speichert die verschlüsselten Daten und eine verschlüsselte Kopie des Datenschlüssels zusammen als einzelnes verschlüsseltes Objekt in einem S3-Bucket.
Die Entschlüsselung funktioniert wie folgt:
1. Der Cluster fordert ein verschlüsseltes Datenobjekt von einem S3-Bucket an.
1. Amazon S3 extrahiert den verschlüsselten Datenschlüssel aus dem S3-Objekt und sendet den verschlüsselten Datenschlüssel dann AWS KMS mit einer [Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an. Die Anforderung enthält einen [Verschlüsselungskontext](encrypt_context.md).
1. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel mit demselben KMS-Schlüssel, der zur Verschlüsselung verwendet wurde, und sendet dann den entschlüsselten (Klartext-) Datenschlüssel an Amazon S3.
1. Amazon S3 verwendet den Klartext-Datenschlüssel, um die verschlüsselten Daten zu entschlüsseln, und entfernt den Klartext-Datenschlüssel anschließend schnellstmöglich aus dem Arbeitsspeicher.
1. Amazon S3 sendet die entschlüsselten Daten an den Cluster.
### Prozess für das Verschlüsseln von Daten auf EMRFS mit CSE-KMS
Wenn Sie für einen Amazon-EMR-Cluster die Verwendung von CSE-KMS konfigurieren, läuft der Verschlüsselungsprozess folgendermaßen ab:
1. Wenn der Cluster bereit ist, Daten in Amazon S3 zu speichern, sendet er eine [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage an AWS KMS, in der er die Schlüssel-ID des KMS-Schlüssels angibt, den Sie bei der Konfiguration des Clusters für die Verwendung von CSE-KMS ausgewählt haben. Die Anforderung enthält Verschlüsselungskontext; weitere Informationen finden Sie unter [Verschlüsselungskontext](#emr-encryption-context).
1. AWS KMS generiert einen eindeutigen Datenverschlüsselungsschlüssel (Datenschlüssel) und sendet dann zwei Kopien dieses Datenschlüssels an den Cluster. Eine Kopie ist unverschlüsselt (Klartext) und die andere Kopie ist mit dem KMS-Schlüssel verschlüsselt.
1. Der Cluster verwendet den Klartext-Datenschlüssel, um die Daten zu verschlüsseln, und entfernt den Klartext-Datenschlüssel anschließend schnellstmöglich aus dem Arbeitsspeicher.
1. Der Cluster kombiniert die verschlüsselten Daten und eine verschlüsselte Kopie des Datenschlüssels in einem einzelnen verschlüsselten Objekt.
1. Der Cluster sendet das verschlüsselte Objekt zum Speichern an Amazon S3.
Die Entschlüsselung funktioniert wie folgt:
1. Der Cluster fordert das verschlüsselte Datenobjekt von einem S3-Bucket an.
1. Amazon S3 sendet das verschlüsselte Objekt an den Cluster.
1. Der Cluster extrahiert den verschlüsselten Datenschlüssel aus dem verschlüsselten Objekt und sendet den verschlüsselten Datenschlüssel dann AWS KMS mit einer [Decrypt-Anforderung](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an. Die Anforderung enthält einen [Verschlüsselungskontext](encrypt_context.md).
1. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel mit demselben KMS-Schlüssel, der für die Verschlüsselung verwendet wurde, und sendet dann den entschlüsselten (Klartext-) Datenschlüssel an den Cluster.
1. Der Cluster verwendet den Klartext-Datenschlüssel, um die verschlüsselten Daten zu entschlüsseln, und entfernt den Klartext-Datenschlüssel anschließend schnellstmöglich aus dem Arbeitsspeicher.
## Verschlüsseln von Daten auf den Speicher-Volumes von Cluster-Knoten
Ein Amazon-EMR-Cluster ist eine Sammlung von Amazon Elastic Compute Cloud (Amazon EC2)-Instances. Jede Instance in einem Cluster wird als *Cluster-Knoten* oder *Knoten* bezeichnet. Jeder Knoten kann zwei Arten von Speicher-Volumes besitzen: Instance-Speicher-Volumes und Amazon Elastic Block Store (Amazon EBS)-Volumes. Sie können den Cluster auf die Verwendung von [Linux Unified Key Setup (LUKS)](https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.md) einstellen, um beide Arten von Speicher-Volumen auf dem Knoten zu verschlüsseln (aber nicht das Start-Volume jedes Knotens). Dies wird als *lokale Laufwerksverschlüsselung* bezeichnet.
Wenn Sie die lokale Laufwerksverschlüsselung für einen Cluster aktivieren, können Sie den LUKS-Schlüssel mit einem KMS-Schlüssel in AWS KMS verschlüsseln. Sie müssen einen [kundenverwalteten Schlüssel](concepts.md#customer-mgn-key) auswählen, den Sie erstellen. Sie können keinen [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key) verwenden. Wenn Sie einen kundenverwalteten Schlüssel auswählen, müssen Sie sicherstellen, dass der Amazon-EMR-Cluster über die Berechtigung zur Nutzung des KMS-Schlüssels verfügt. Weitere Informationen finden Sie unter [AWS KMS keys Zur Verschlüsselung verwenden](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) im *Amazon EMR Management Guide*.
Wenn Sie die lokale Laufwerksverschlüsselung mit einem KMS-Schlüssel aktivieren, läuft der Verschlüsselungsprozess folgendermaßen ab:
1. Wenn jeder Clusterknoten gestartet wird, sendet er eine [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage an AWS KMS, in der die Schlüssel-ID des KMS-Schlüssels angegeben wird, den Sie bei der Aktivierung der lokalen Festplattenverschlüsselung für den Cluster ausgewählt haben.
1. AWS KMS generiert einen eindeutigen Datenverschlüsselungsschlüssel (Datenschlüssel) und sendet dann zwei Kopien dieses Datenschlüssels an den Knoten. Eine Kopie ist unverschlüsselt (Klartext) und die andere Kopie ist unter dem KMS-Schlüssel verschlüsselt.
1. Der Knoten verwendet eine base64-verschlüsselte Version des Klartext-Datenschlüssels als Passwort, um den LUKS-Schlüssel zu schützen. Der Knoten speichert die verschlüsselte Kopie des Datenschlüssel in seinem Start-Volume.
1. [Wenn der Knoten neu gestartet wird, sendet der neu gestartete Knoten den verschlüsselten Datenschlüssel AWS KMS mit einer Decrypt-Anfrage an.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
1. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel mit demselben KMS-Schlüssel, mit dem er verschlüsselt wurde, und sendet dann den entschlüsselten (Klartext-) Datenschlüssel an den Knoten.
1. Der Knoten verwendet die base64-verschlüsselte Version des Klartext-Datenschlüssels als Passwort, um den LUKS-Schlüssel freizuschalten.
## Verschlüsselungskontext
Jeder integrierte AWS Dienst AWS KMS kann einen [Verschlüsselungskontext](encrypt_context.md) angeben, den der Dienst AWS KMS zum Generieren von Datenschlüsseln oder zum Verschlüsseln oder Entschlüsseln von Daten verwendet. Bei dem Verschlüsselungskontext handelt es sich um zusätzliche authentifizierte Informationen, die zur Überprüfung der Datenintegrität AWS KMS verwendet werden. Wenn ein Service für Verschlüsselungsoperation ein Verschlüsselungskontext angibt, muss der Service denselben Verschlüsselungskontext auch für die entsprechende Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird auch in AWS CloudTrail Protokolldateien geschrieben, sodass Sie leichter nachvollziehen können, warum ein bestimmter KMS-Schlüssel verwendet wurde.
Der folgende Abschnitt erläutert den Verschlüsselungskontext, der in jedem Amazon-EMR-Verschlüsselungsszenario verwendet wird, das einen KMS-Schlüssel nutzt.
### Verschlüsselungskontext für die EMRFS-Verschlüsselung mit SSE-KMS
Bei SSE-KMS sendet der Amazon-EMR-Cluster Daten an Amazon S3 und Amazon S3 verwendet dann einen KMS-Schlüssel, um die Daten vor dem Speichern in einem S3-Bucket zu verschlüsseln. In diesem Fall verwendet Amazon S3 den Amazon-Ressourcennamen (ARN) des S3-Objekts als Verschlüsselungskontext für jede [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)[Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), an AWS KMS die es sendet. Das folgende Beispiel zeigt eine JSON-Darstellung des von Amazon S3 verwendeten Verschlüsselungskontextes:
```
{ "aws:s3:arn" : "arn:aws:s3:::S3_bucket_name/S3_object_key" }
```
### Verschlüsselungskontext für die EMRFS-Verschlüsselung mit CSE-KMS
Bei CSE-KMS verwendet der Amazon-EMR-Cluster einen KMS-Schlüssel, um die Daten vor dem Senden an Amazon S3 für die Speicherung zu verschlüsseln. In diesem Fall verwendet der Cluster den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels als Verschlüsselungskontext für jede [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)[Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), an AWS KMS die er sendet. Das folgende Beispiel zeigt eine JSON-Darstellung des vom Cluster verwendeten Verschlüsselungskontextes.
```
{ "kms_cmk_id" : "arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef" }
```
### Verschlüsselungskontext für die Laufwerksverschlüsselung mit LUKS
Wenn ein Amazon EMR-Cluster die lokale Festplattenverschlüsselung mit LUKS verwendet, geben die Clusterknoten keinen Verschlüsselungskontext mit den [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)und [Decrypt-Anfragen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an, an die sie senden. AWS KMS
# So verwendet Amazon Redshift AWS KMS
In diesem Thema wird erläutert, wie Amazon AWS KMS Redshift Daten verschlüsselt.
**Topics**
+ [Amazon-Redshift-Verschlüsselung](#rs-encryption)
+ [Verschlüsselungskontext](#rs-encryptioncontext)
## Amazon-Redshift-Verschlüsselung
Ein Amazon Redshift Data Warehouse ist eine Sammlung von Computing-Ressourcen, den sogenannten Knoten, die zu Gruppen, den sogenannten Clustern, zusammengefasst werden. In jedem Cluster wird eine Amazon-Redshift-Engine ausgeführt, und er enthält mindestens eine Datenbank.
Amazon Redshift verwendet zur Verschlüsselung eine schlüsselbasierte Architektur mit vier Ebenen. Diese Architektur besteht aus Datenverschlüsselungsschlüsseln, einem Datenbankschlüssel, einem Clusterschlüssel und einem Stammschlüssel. Sie können einen AWS KMS key als Root-Schlüssel verwenden.
Datenverschlüsselungsschlüssel verschlüsseln Datenblöcke im Cluster. Jedem Datenblock wird ein zufällig generierter AES-256-Schlüssel zugewiesen. Diese Schlüssel werden mithilfe des Datenbankschlüssels des Clusters verschlüsselt.
Der Datenbankschlüssel verschlüsselt Datenverschlüsselungsschlüssel im Cluster. Bei ihm handelt es sich um einen zufällig generierten AES-256-Schlüssel. Er wird auf einem Datenträger in einem separaten Netzwerk außerhalb des Amazon-Redshift-Clusters gespeichert und über einen sicheren Kanal an den Cluster übergeben.
Der Clusterschlüssel verschlüsselt den Datenbankschlüssel des Amazon Redshift-Clusters. Sie können AWS KMS, AWS CloudHSM, oder ein externes Hardware-Sicherheitsmodul (HSM) verwenden, um den Clusterschlüssel zu verwalten. Weitere Details finden Sie im Dokumentationsthema [Amazon Redshift-Datenbankverschlüsselung](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-db-encryption.html).
Anfordern können Sie die Verschlüsselung durch die Aktivierung des entsprechenden Kontrollkästchens in der Amazon-Redshift-Konsole. In der Liste unter dem Kontrollkästchen für die Verschlüsselung können Sie einen [kundenverwalteten Schlüssel](concepts.md#customer-mgn-key) auswählen, der verwendet werden soll. Wenn Sie keinen kundenverwalteten Schlüssel angeben, verwendet Amazon Redshift den [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key) für Amazon Redshift unter Ihrem Konto.
**Wichtig**
Amazon Redshift unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können einen asymmetrischen KMS-Schlüssel nicht als in einem Amazon-Redshift-Verschlüsselungs-Workflow verwenden. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter [Identifizieren Sie verschiedene Schlüsseltypen](identify-key-types.md).
## Verschlüsselungskontext
Jeder Dienst, der in integriert ist, AWS KMS gibt einen [Verschlüsselungskontext](encrypt_context.md) an, wenn Datenschlüssel angefordert und verschlüsselt und entschlüsselt werden. Der Verschlüsselungskontext besteht aus zusätzlichen authentifizierten Daten (AAD), die zur Überprüfung der AWS KMS Datenintegrität verwendet werden. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, gibt der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation an. Andernfalls schlägt die Entschlüsselung fehl. Amazon Redshift gibt die Cluster-ID und den Erstellungszeitpunkt als Verschlüsselungskontext an. Im `requestParameters` Feld einer CloudTrail Protokolldatei sieht der Verschlüsselungskontext in etwa so aus.
```
"encryptionContext": {
"aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
"aws:redshift:createtime": "20150206T1832Z"
},
```
Sie können in Ihren CloudTrail Protokollen nach dem Clusternamen suchen, um zu verstehen, welche Operationen mithilfe eines AWS KMS key (KMS-Schlüssels) ausgeführt wurden. Zu den möglichen Operationen gehören die Cluster-Verschlüsselung, die Cluster-Entschlüsselung und die Generierung von Datenschlüsseln.