Verschlüsselung bei Amazon MWAA - Amazon Managed Workflows für Apache Airflow
Verschlüsselung im RuhezustandVerschlüsselung während der Übertragung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung bei Amazon MWAA

In den folgenden Themen wird beschrieben, wie Amazon Ihre Daten im Speicher und bei der Übertragung MWAA schützt. Verwenden Sie diese Informationen, um zu erfahren, wie Amazon MWAA integriert, AWS KMS um Daten im Ruhezustand zu verschlüsseln und wie Daten bei der Übertragung mithilfe des Transport Layer Security (TLS) -Protokolls verschlüsselt werden.

Verschlüsselung im Ruhezustand

Bei Amazon handelt MWAA es sich bei Daten im Ruhezustand um Daten, die der Service auf persistenten Medien speichert.

Sie können einen AWS eigenen Schlüssel für die Verschlüsselung von Daten im Ruhezustand verwenden oder optional einen vom Kunden verwalteten Schlüssel für zusätzliche Verschlüsselung bereitstellen, wenn Sie eine Umgebung erstellen. Wenn Sie sich dafür entscheiden, einen vom Kunden verwalteten KMS Schlüssel zu verwenden, muss sich dieser in demselben Konto befinden wie die anderen AWS Ressourcen und Dienste, die Sie in Ihrer Umgebung verwenden.

Um einen vom Kunden verwalteten KMS Schlüssel verwenden zu können, müssen Sie die erforderliche Richtlinienerklärung für den CloudWatch Zugriff auf Ihre Schlüsselrichtlinie beifügen. Wenn Sie einen vom Kunden verwalteten KMS Schlüssel für Ihre Umgebung verwenden, MWAA fügt Amazon in Ihrem Namen vier Zuschüsse hinzu. Weitere Informationen zu den Zuschüssen, die Amazon einem MWAA vom Kunden verwalteten KMS Schlüssel zuweist, finden Sie unter Vom Kunden verwaltete Schlüssel für die Datenverschlüsselung.

Wenn Sie keinen vom Kunden verwalteten KMS Schlüssel angeben, MWAA verwendet Amazon standardmäßig einen AWS eigenen KMS Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Daten. Wir empfehlen die Verwendung eines AWS eigenen KMS Schlüssels zur Verwaltung der Datenverschlüsselung bei AmazonMWAA.

Anmerkung

Sie zahlen für die Aufbewahrung und Nutzung von AWS eigenen oder von Kunden verwalteten KMS Schlüsseln bei AmazonMWAA. Weitere Informationen finden Sie unter AWS KMS -Preisgestaltung.

Verschlüsselungsartefakte

Sie geben die Verschlüsselungsartefakte an, die für die Verschlüsselung im Ruhezustand verwendet werden, indem Sie bei der Erstellung Ihrer MWAA Amazon-Umgebung einen AWS eigenen Schlüssel oder einen vom Kunden verwalteten Schlüssel angeben. Amazon MWAA fügt die benötigten Zuschüsse zu Ihrem angegebenen Schlüssel hinzu.

Amazon S3 — Amazon S3 S3-Daten werden auf Objektebene mit serverseitiger Verschlüsselung () verschlüsselt. SSE Die Amazon S3 S3-Verschlüsselung und Entschlüsselung erfolgt im Amazon S3 S3-Bucket, in dem Ihr DAG Code und die unterstützenden Dateien gespeichert sind. Objekte werden verschlüsselt, wenn sie auf Amazon S3 hochgeladen werden, und entschlüsselt, wenn sie in Ihre MWAA Amazon-Umgebung heruntergeladen werden. Wenn Sie einen vom Kunden verwalteten KMS Schlüssel verwenden, MWAA verwendet Amazon ihn standardmäßig, um die Daten in Ihrem Amazon S3 S3-Bucket zu lesen und zu entschlüsseln.

CloudWatch Protokolle — Wenn Sie einen AWS eigenen KMS Schlüssel verwenden, werden die an Logs gesendeten Apache Airflow-Protokolle mithilfe der serverseitigen Verschlüsselung (SSE) mit dem eigenen Schlüssel von CloudWatch AWS Logs verschlüsselt. CloudWatch KMS Wenn Sie einen vom Kunden verwalteten KMS Schlüssel verwenden, müssen Sie Ihrem Schlüssel eine Schlüsselrichtlinie hinzufügen, damit CloudWatch Logs Ihren KMS Schlüssel verwenden kann.

Amazon SQS — Amazon MWAA erstellt eine SQS Amazon-Warteschlange für Ihre Umgebung. Amazon verschlüsselt MWAA Daten, die an und aus der Warteschlange übergeben werden, mithilfe der serverseitigen Verschlüsselung (SSE) entweder mit einem AWS eigenen KMS Schlüssel oder einem von Ihnen angegebenen, vom Kunden verwalteten KMS Schlüssel. Sie müssen Ihrer Ausführungsrolle SQS Amazon-Berechtigungen hinzufügen, unabhängig davon, ob Sie einen AWS eigenen oder einen vom Kunden verwalteten KMS Schlüssel verwenden.

Aurora Postgre SQL — Amazon MWAA erstellt einen SQL Postgre-Cluster für Ihre Umgebung. Aurora Postgre SQL verschlüsselt den Inhalt entweder mit einem AWS eigenen oder einem vom Kunden verwalteten KMS Schlüssel mithilfe serverseitiger Verschlüsselung (). SSE Wenn Sie einen vom Kunden verwalteten KMS Schlüssel verwenden, RDS fügt Amazon dem Schlüssel mindestens zwei Grants hinzu: eine für den Cluster und eine für die Datenbank-Instance. Amazon RDS kann zusätzliche Zuschüsse gewähren, wenn Sie Ihren vom Kunden verwalteten KMS Schlüssel in mehreren Umgebungen verwenden möchten. Weitere Informationen finden Sie unter Datenschutz bei Amazon RDS.

Verschlüsselung während der Übertragung

Daten, die übertragen werden, werden als Daten bezeichnet, die auf ihrem Weg durch das Netzwerk abgefangen werden können.

Transport Layer Security (TLS) verschlüsselt die MWAA Amazon-Objekte, die zwischen den Apache Airflow-Komponenten Ihrer Umgebung und anderen AWS Diensten, die in Amazon integriert sind, wie Amazon MWAA S3, übertragen werden. Weitere Informationen zur Amazon S3 S3-Verschlüsselung finden Sie unter Schutz von Daten durch Verschlüsselung.