View a markdown version of this page

Datenverschlüsselung im Ruhezustand für AWS Lambda - AWS Lambda

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung im Ruhezustand für AWS Lambda

AWS Lambda bietet immer Verschlüsselung im Ruhezustand für die folgenden Ressourcen:

  • Umgebungsvariablen

  • Dateien, die Sie zu Lambda hochladen, einschließlich Bereitstellungspakete und Ebenenarchive

  • Objekte mit Filterkriterien für die Zuordnung von Ereignisquellen

  • Dauerhafte Ausführungsdaten

Anmerkung

Für Funktionen und Ebenen, die selbstverwalteten S3-Codespeicher verwenden, speichert Lambda keine Kopie Ihres Quellcodes. Ihr Code verbleibt in Ihrem S3-Bucket, und die Verschlüsselung Ihres Quellcodes im Ruhezustand wird von Ihrer S3-Bucket-Konfiguration verwaltet. Lambda wird verwendetKMSKeyArn, um die entpackte Version des Pakets zu verschlüsseln, das Lambda zum Aufrufen der Funktion verwendet. Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung im Amazon Simple Storage Service-Benutzerhandbuch.

Sie können Lambda optional so konfigurieren, dass es einen vom Kunden verwalteten Schlüssel verwendet, um Ihre Umgebungsvariablen, ZIP-Bereitstellungspakete, Filterkriterienobjekte und dauerhafte Ausführungsdaten zu verschlüsseln.

Amazon CloudWatch protokolliert und AWS X-Ray verschlüsselt Daten standardmäßig und kann für die Verwendung eines vom Kunden verwalteten Schlüssels konfiguriert werden. Einzelheiten finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Protokollen und Datenschutz unter. AWS X-Ray

Überwachen Ihrer Verschlüsselungsschlüssel für Lambda

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Lambda verwenden AWS CloudTrail, können Sie Die folgenden Beispiele sind CloudTrail Ereignisse für DecryptDescribeKey, und GenerateDataKey Aufrufe von Lambda für den Zugriff auf Daten, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

Spezifische CloudTrail Beispiele für langlebige Ausführungsdaten finden Sie unterÜberwachung von KMS-Schlüsseln im Hinblick auf dauerhafte Funktionen.

Decrypt

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Filterkriterienobjekts verwendet haben, sendet Lambda in Ihrem Namen eine Decrypt Anfrage, wenn Sie versuchen, im Klartext darauf zuzugreifen (z. B. über einen ListEventSourceMappings Anruf). Das folgende Beispielereignis zeichnet den Vorgang Decrypt auf:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "AROA123456789EXAMPLE:example", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/example", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA123456789EXAMPLE", "arn": "arn:aws:iam::123456789012:role/role-name", "accountId": "123456789012", "userName": "role-name" }, "attributes": { "creationDate": "2024-05-30T00:45:23Z", "mfaAuthenticated": "false" } }, "invokedBy": "lambda.amazonaws.com" }, "eventTime": "2024-05-30T01:05:46Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "lambda.amazonaws.com", "userAgent": "lambda.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "encryptionContext": { "aws-crypto-public-key": "ABCD+7876787678+CDEFGHIJKL/888666888999888555444111555222888333111==", "aws:lambda:EventSourceArn": "arn:aws:sqs:eu-west-1:123456789012:sample-source", "aws:lambda:FunctionArn": "arn:aws:lambda:eu-west-1:123456789012:function:sample-function" }, "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb", "readOnly": true, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
DescribeKey

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Filterkriterienobjekts verwendet haben, sendet Lambda in Ihrem Namen eine DescribeKey Anfrage, wenn Sie versuchen, darauf zuzugreifen (z. B. über einen GetEventSourceMapping Anruf). Das folgende Beispielereignis zeichnet den Vorgang DescribeKey auf:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "AROA123456789EXAMPLE:example", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/example", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA123456789EXAMPLE", "arn": "arn:aws:iam::123456789012:role/role-name", "accountId": "123456789012", "userName": "role-name" }, "attributes": { "creationDate": "2024-05-30T00:45:23Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-05-30T01:09:40Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "eu-west-1", "sourceIPAddress": "54.240.197.238", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36", "requestParameters": { "keyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb", "readOnly": true, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_256_GCM_SHA384", "clientProvidedHostHeader": "kms.eu-west-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
GenerateDataKey

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden, um Ihr Filterkriterienobjekt in einem CreateEventSourceMapping UpdateEventSourceMapping OR-Anruf zu verschlüsseln, sendet Lambda in Ihrem Namen eine GenerateDataKey Anfrage zur Generierung eines Datenschlüssels zur Verschlüsselung der Filterkriterien (Umschlagverschlüsselung). Das folgende Beispielereignis zeichnet den Vorgang GenerateDataKey auf:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "AROA123456789EXAMPLE:example", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/example", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA123456789EXAMPLE", "arn": "arn:aws:iam::123456789012:role/role-name", "accountId": "123456789012", "userName": "role-name" }, "attributes": { "creationDate": "2024-05-30T00:06:07Z", "mfaAuthenticated": "false" } }, "invokedBy": "lambda.amazonaws.com" }, "eventTime": "2024-05-30T01:04:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "eu-west-1", "sourceIPAddress": "lambda.amazonaws.com", "userAgent": "lambda.amazonaws.com", "requestParameters": { "numberOfBytes": 32, "keyId": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "encryptionContext": { "aws-crypto-public-key": "ABCD+7876787678+CDEFGHIJKL/888666888999888555444111555222888333111==", "aws:lambda:EventSourceArn": "arn:aws:sqs:eu-west-1:123456789012:sample-source", "aws:lambda:FunctionArn": "arn:aws:lambda:eu-west-1:123456789012:function:sample-function" }, }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb", "readOnly": true, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" }