Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in Amazon Managed Streaming für Apache Kafka
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in Amazon Managed Streaming for Apache Kafka. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Systeme laufen. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon MSK oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Amazon-MSK-Verschlüsselung](msk-encryption.md)
+ [Erste Schritte mit der Amazon MSK-Verschlüsselung](msk-working-with-encryption.md)
+ [Verwenden Sie Amazon MSK APIs mit Interface VPC-Endpunkten](privatelink-vpc-endpoints.md)
# Amazon-MSK-Verschlüsselung
Amazon MSK bietet Datenverschlüsselungsoptionen, mit denen Sie strenge Anforderungen an die Datenverwaltung erfüllen können. Die Zertifikate, die Amazon MSK für die Verschlüsselung verwendet, müssen alle 13 Monate erneuert werden. Amazon MSK erneuert diese Zertifikate automatisch für alle Cluster. Express-Broker-Cluster bleiben in dem `ACTIVE` Zustand, in dem Amazon MSK den Vorgang zur Aktualisierung des Zertifikats startet. Für Standard-Broker-Cluster legt Amazon MSK den Status des Clusters auf den `MAINTENANCE` Zeitpunkt fest, zu dem der Vorgang zur Zertifikatsaktualisierung gestartet wird. MSK setzt den Wert auf den `ACTIVE` Zeitpunkt zurück, zu dem die Aktualisierung abgeschlossen ist. Während der Zertifikatsaktualisierung eines Clusters können Sie weiterhin Daten erzeugen und verwenden, aber Sie können keine Aktualisierungsvorgänge für den Cluster ausführen.
## Amazon MSK-Verschlüsselung im Ruhezustand
Amazon MSK wird in [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) (KMS) integriert, um transparente serverseitige Verschlüsselung zu ermöglichen. Amazon MQ verschlüsselt stets Ihre Daten im Ruhezustand. Wenn Sie einen MSK-Cluster erstellen, können Sie den AWS KMS key angeben, den Amazon MSK zur Verschlüsselung Ihrer Daten im Ruhezustand verwenden soll. Wenn Sie keinen KMS-Schlüssel angeben, erstellt Amazon MSK einen [Von AWS verwalteter Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) für Sie und verwendet ihn in Ihrem Namen. Weitere Informationen über KMS-Schlüssel finden Sie unter [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) im *Entwicklerhandbuch zu AWS Key Management Service *.
## Amazon MSK-Verschlüsselung bei der Übertragung
Amazon MSK verwendet TLS 1.2. Daten werden standardmäßig während der Übertragung zwischen den Brokern Ihres MSK-Clusters verschlüsselt. Sie können diese Standardeinstellung beim Erstellen des Clusters außer Kraft setzen.
Für die Kommunikation zwischen Clients und Brokern müssen Sie eine der folgenden drei Einstellungen angeben:
+ Nur Daten mit TLS-Verschlüsselung zulassen. Dies ist die Standardeinstellung.
+ Sowohl Klartextdaten als auch Daten mit TLS-Verschlüsselung zulassen
+ Nur Klartextdaten zulassen
Amazon MSK-Broker verwenden öffentliche AWS Certificate Manager Zertifikate. Daher vertraut jeder Vertrauensspeicher, der Amazon Trust Services vertraut, auch den Zertifikaten von Amazon-MSK-Brokern.
Während wir dringend empfehlen, die Verschlüsselung während der Übertragung zu aktivieren, kann dies zusätzliche CPU-Kosten und einige Millisekunden Latenz verursachen. Die meisten Anwendungsfälle reagieren jedoch nicht empfindlich auf diese Unterschiede, und das Ausmaß der Auswirkungen hängt von der Konfiguration Ihres Clusters, Ihrer Clients und Ihres Nutzungsprofils ab.
# Erste Schritte mit der Amazon MSK-Verschlüsselung
Beim Erstellen eines MSK-Clusters können Sie Verschlüsselungseinstellungen im JSON-Format angeben. Im Folgenden wird ein -Beispiel gezeigt.
```
{
"EncryptionAtRest": {
"DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/abcdabcd-1234-abcd-1234-abcd123e8e8e"
},
"EncryptionInTransit": {
"InCluster": true,
"ClientBroker": "TLS"
}
}
```
Für `DataVolumeKMSKeyId` können Sie einen [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) oder den Von AWS verwalteter Schlüssel für MSK in Ihrem Konto angeben (`alias/aws/kafka`). Wenn Sie nichts angeben`EncryptionAtRest`, verschlüsselt Amazon MSK Ihre ruhenden Daten trotzdem unter dem. Von AWS verwalteter Schlüssel Um festzustellen, welchen Schlüssel Ihr Cluster verwendet, senden Sie eine `GET`-Anforderung oder rufen Sie den `DescribeCluster`-API-Vorgang auf.
Für `EncryptionInTransit` ist der Standardwert von `InCluster` auf Wahr festgelegt, aber Sie können ihn auf Falsch setzen, wenn Sie Ihre Daten bei der Übergabe zwischen Brokern nicht von Amazon MSK verschlüsseln lassen möchten.
Um den Verschlüsselungsmodus für die Übertragung von Daten zwischen Clients und Brokern anzugeben, legen Sie `ClientBroker` auf einen der drei Werte folgenden fest: `TLS`, `TLS_PLAINTEXT`, oder `PLAINTEXT`.
**Topics**
+ [Geben Sie die Verschlüsselungseinstellungen an, wenn Sie einen Amazon MSK-Cluster erstellen](msk-working-with-encryption-cluster-create.md)
+ [Testen Sie die Amazon MSK TLS-Verschlüsselung](msk-working-with-encryption-test-tls.md)
# Geben Sie die Verschlüsselungseinstellungen an, wenn Sie einen Amazon MSK-Cluster erstellen
In diesem Prozess wird beschrieben, wie Verschlüsselungseinstellungen bei der Erstellung eines Amazon MSK-Clusters angegeben werden.
**Geben Sie bei der Erstellung eines Clusters die Verschlüsselungseinstellungen an**
1. Speichern Sie den Inhalt des vorherigen Beispiels in einer Datei und geben Sie der Datei einen beliebigen Namen. Nennen Sie sie beispielsweise „`encryption-settings.json`“.
1. Führen Sie den `create-cluster`-Befehl aus, und weisen Sie mithilfe der `encryption-info`-Option auf die Datei, in der Sie Ihr Konfigurations-JSON gespeichert haben. Im Folgenden wird ein -Beispiel gezeigt. *\$1YOUR MSK VERSION\$1*Ersetzen Sie es durch eine Version, die der Apache Kafka-Client-Version entspricht. Weitere Informationen zum Auffinden der MSK-Cluster-Version finden Sie unter [Ermitteln Sie Ihre MSK-Cluster-Version](create-topic.md#find-msk-cluster-version). Beachten Sie, dass die Verwendung einer Apache-Kafka-Client-Version, die nicht mit Ihrer MSK-Cluster-Version identisch ist, zu Beschädigung, Verlust und Ausfallzeiten von Apache-Kafka-Daten führen kann.
```
aws kafka create-cluster --cluster-name "ExampleClusterName" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --kafka-version "{YOUR MSK VERSION}" --number-of-broker-nodes 3
```
Im Folgenden finden Sie ein Beispiel für eine erfolgreiche Antwort nach der Ausführung dieses Befehls.
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:123456789012:cluster/SecondTLSTest/abcdabcd-1234-abcd-1234-abcd123e8e8e",
"ClusterName": "ExampleClusterName",
"State": "CREATING"
}
```
# Testen Sie die Amazon MSK TLS-Verschlüsselung
In diesem Prozess wird beschrieben, wie die TLS-Verschlüsselung auf Amazon MSK getestet wird.
**So testen Sie die TLS-Verschlüsselung**
1. Erstellen Sie einen Client-Computer entsprechend der Anweisungen in [Schritt 3: Einen Client-Computer erstellen](create-client-machine.md).
1. Installieren Sie Apache Kafka auf dem Client-Computer.
1. In diesem Beispiel verwenden wir den JVM-Vertrauensspeicher, um mit dem MSK-Cluster zu kommunizieren. Erstellen Sie dazu zunächst einen Ordner mit dem Namen `/tmp` auf dem Client-Computer. Wechseln Sie dann zum Ordner „`bin`“ der Apache Kafka-Installation und führen Sie den folgenden Befehl aus. (Ihr JVM-Pfad kann sich unterscheiden.)
```
cp /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.201.b09-0.amzn2.x86_64/jre/lib/security/cacerts /tmp/kafka.client.truststore.jks
```
1. Wenn Sie sich noch im `bin`-Ordner der Apache Kafka-Installation auf dem Client-Computer befinden, erstellen Sie eine Textdatei `client.properties` mit dem folgenden Inhalt.
```
security.protocol=SSL
ssl.truststore.location=/tmp/kafka.client.truststore.jks
```
1. Führen Sie den folgenden Befehl auf einem Computer aus, auf dem der AWS CLI installiert ist, und *clusterARN* ersetzen Sie ihn durch den ARN Ihres Clusters.
```
aws kafka get-bootstrap-brokers --cluster-arn clusterARN
```
Ein erfolgreiches Ergebnis sieht wie folgt aus. Speichern Sie dieses Ergebnis, da Sie es für den nächsten Schritt benötigen.
```
{
"BootstrapBrokerStringTls": "a-1.example.g7oein.c2.kafka.us-east-1.amazonaws.com:0123,a-3.example.g7oein.c2.kafka.us-east-1.amazonaws.com:0123,a-2.example.g7oein.c2.kafka.us-east-1.amazonaws.com:0123"
}
```
1. Führen Sie den folgenden Befehl aus und *BootstrapBrokerStringTls* ersetzen Sie ihn durch einen der Broker-Endpunkte, die Sie im vorherigen Schritt erhalten haben.
```
/bin/kafka-console-producer.sh --broker-list BootstrapBrokerStringTls --producer.config client.properties --topic TLSTestTopic
```
1. Öffnen Sie ein neues Befehlsfenster und stellen Sie eine Verbindung zu demselben Client-Computer her. Führen Sie dann den folgenden Befehl aus, um einen Konsolenverbraucher zu erstellen.
```
/bin/kafka-console-consumer.sh --bootstrap-server BootstrapBrokerStringTls --consumer.config client.properties --topic TLSTestTopic
```
1. Geben Sie im Produzent-Fenster eine Textnachricht gefolgt von einem Zeilenumbruch ein, und suchen Sie im Verbraucher-Fenster nach derselben Nachricht. Amazon MSK hat diese Nachricht während der Übertragung verschlüsselt.
Weitere Informationen zum Konfigurieren von Apache Kafka-Clients für die Arbeit mit verschlüsselten Daten finden Sie unter [Konfigurieren von Kafka-Clients](https://kafka.apache.org/documentation/#security_configclients).
# Verwenden Sie Amazon MSK APIs mit Interface VPC-Endpunkten
Sie können einen Interface VPC Endpoint, powered by, verwenden AWS PrivateLink, um zu verhindern, dass der Datenverkehr zwischen Ihrer Amazon VPC und Amazon MSK das APIs Amazon-Netzwerk verlässt. Interface VPC Endpoints benötigen kein Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung oder AWS Direct Connect-Verbindung. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)ist eine AWS Technologie, die private Kommunikation zwischen AWS Services über eine elastic network interface mit Private IPs in Ihrer Amazon VPC ermöglicht. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) und [Interface VPC Endpoints ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint).
Ihre Anwendungen können über Amazon MSK Provisioned und MSK Connect eine Verbindung herstellen. APIs AWS PrivateLink Erstellen Sie zunächst einen Interface-VPC-Endpunkt für Ihre Amazon MSK-API, um den Datenverkehr von und zu Ihren Amazon VPC-Ressourcen über den Interface VPC-Endpunkt zu starten. VPC-Endpunkte mit FIPS-fähiger Schnittstelle sind für US-Regionen verfügbar. [Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint)
Mithilfe dieser Funktion können Ihre Apache Kafka-Clients die Verbindungszeichenfolgen dynamisch abrufen, um eine Connect mit MSK Provisioned- oder MSK Connect-Ressourcen herzustellen, ohne das Internet zu durchqueren, um die Verbindungszeichenfolgen abzurufen.
Wählen Sie beim Erstellen eines Interface VPC-Endpoints einen der folgenden Dienstnamen-Endpunkte aus:
**Für MSK Provisioned:**
+ Die folgenden Dienstnamen-Endpunkte werden für neue Verbindungen nicht mehr unterstützt:
+ com.amazonaws.region.kafka
+ com.amazonaws.region.kafka-fips (FIPS-fähig)
+ Der Dual-Stack-Endpunktservice, der sowohl den Datenverkehr als auch den Datenverkehr unterstützt, ist: IPv4 IPv6
+ aws.api.region.kafka-api
+ aws.api.region. kafka-api-fips (FIPS-fähig)
[Um die Dual-Stack-Endpunkte einzurichten, müssen Sie die Richtlinien für Dual-Stack- und FIPS-Endgeräte befolgen.](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)
Wobei Region der Name Ihrer Region ist. Wählen Sie diesen Dienstnamen, um mit MSK APIs Provisioned-Compatible zu arbeiten. *Weitere Informationen finden Sie unter [Operationen](https://docs.aws.amazon.com/msk/1.0/apireference/operations.html) in der Datei 1.0/apireference/. https://docs.aws.amazon.com/msk/*
**Für MSK Connect:**
+ com.amazonaws.region.kafkaconnect
Wobei Region der Name Ihrer Region ist. Wählen Sie diesen Dienstnamen, um mit MSK APIs Connect-Compatible zu arbeiten. Weitere Informationen finden Sie unter [Aktionen](https://docs.aws.amazon.com/MSKC/latest/mskc/API_Operations.html) in der *Amazon MSK Connect API-Referenz.*
Weitere Informationen, einschließlich step-by-step Anweisungen zum Erstellen eines Schnittstellen-VPC-Endpunkts, finden Sie im *AWS PrivateLink Handbuch* unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint).
## Steuern Sie den Zugriff auf VPC-Endpunkte für Amazon MSK Provisioned oder MSK Connect APIs
Mit VPC-Endpunktrichtlinien können Sie den Zugriff steuern, indem Sie entweder eine Richtlinie an einen VPC-Endpunkt anhängen oder indem Sie zusätzliche Felder in einer Richtlinie verwenden, die einem IAM-Benutzer, einer Gruppe oder einer Rolle zugeordnet ist, um den Zugriff auf den angegebenen VPC-Endpunkt zu beschränken. Verwenden Sie die entsprechende Beispielrichtlinie, um Zugriffsberechtigungen für den MSK Provisioned- oder den MSK Connect-Dienst zu definieren.
Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. IAM-identitätsbasierte Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
*Weitere Informationen finden Sie im Handbuch unter [Steuern des Zugriffs auf Dienste mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
------
#### [ MSK Provisioned — VPC policy example ]
**Schreibgeschützter Zugriff**
Diese Beispielrichtlinie kann an einen VPC-Endpunkt angehängt werden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Amazon VPC-Ressourcen. Es beschränkt die Aktionen darauf, nur Operationen über den VPC-Endpunkt aufzulisten und zu beschreiben, an den sie angehängt sind.
```
{
"Statement": [
{
"Sid": "MSKReadOnly",
"Principal": "*",
"Action": [
"kafka:List*",
"kafka:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**MSK Provisioned — Beispiel für eine VPC-Endpunktrichtlinie**
Beschränken Sie den Zugriff auf einen bestimmten MSK-Cluster
Diese Beispielrichtlinie kann an einen VPC-Endpunkt angehängt werden. Es schränkt den Zugriff auf einen bestimmten Kafka-Cluster über den VPC-Endpunkt ein, an den er angehängt ist.
```
{
"Statement": [
{
"Sid": "AccessToSpecificCluster",
"Principal": "*",
"Action": "kafka:*",
"Effect": "Allow",
"Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/MyCluster"
}
]
}
```
------
#### [ MSK Connect — VPC endpoint policy example ]
**Konnektoren auflisten und einen neuen Connector erstellen**
Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für MSK Connect. Diese Richtlinie ermöglicht es der angegebenen Rolle, Connectors aufzulisten und einen neuen Connector zu erstellen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MSKConnectPermissions",
"Effect": "Allow",
"Action": [
"kafkaconnect:ListConnectors",
"kafkaconnect:CreateConnector"
],
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/MyMSKConnectExecutionRole"
]
}
}
]
}
```
**MSK Connect — Beispiel für eine VPC-Endpunktrichtlinie**
Erlaubt nur Anfragen von einer bestimmten IP-Adresse in der angegebenen VPC
Das folgende Beispiel zeigt eine Richtlinie, die nur erlaubt, dass Anfragen, die von einer bestimmten IP-Adresse in der angegebenen VPC kommen, erfolgreich sind. Anfragen von anderen IP-Adressen schlagen fehl.
```
{
"Statement": [
{
"Action": "kafkaconnect:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": "192.0.2.123"
},
"StringEquals": {
"aws:SourceVpc": "vpc-555555555555"
}
}
}
]
}
```
------