Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS HealthOmics
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für AWS gelten HealthOmics, finden Sie unter [AWS Services im Bereich nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung von AWS anwenden können HealthOmics. In den folgenden Themen erfahren Sie, wie Sie AWS konfigurieren HealthOmics , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie lernen auch, wie Sie andere AWS Services nutzen können, die Sie bei der Überwachung und Sicherung Ihrer HealthOmics AWS-Ressourcen unterstützen.
**Topics**
+ [Datenschutz in AWS HealthOmics](data-protection.md)
+ [Identitäts- und Zugriffsmanagement in HealthOmics](security-iam.md)
+ [Konformitätsvalidierung für AWS HealthOmics](compliance-validation.md)
+ [Resilienz in HealthOmics](disaster-recovery-resiliency.md)
+ [AWS HealthOmics und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink](vpc-interface-endpoints.md)
# Datenschutz in AWS HealthOmics
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in AWS HealthOmics. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS HealthOmics oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Verschlüsselung im Ruhezustand
**Topics**
+ [AWS-eigene Schlüssel](#AWS-owned-cmk)
+ [Kundenseitig verwaltete Schlüssel](#customer-owned-cmk)
+ [Einen vom Kunden verwalteten Schlüssel erstellen](#creating-co-cmk)
+ [Erforderliche IAM-Berechtigungen für die Verwendung eines vom Kunden verwalteten Schlüssels](#required-iam-cmk)
+ [Weitere Informationen](#more-info-kms)
Zum Schutz vertraulicher Kundendaten im Speicher wird standardmäßig eine Verschlüsselung mit einem serviceeigenen AWS Key Management Service (AWS KMS) -Schlüssel bereitgestellt. AWS HealthOmics Vom Kunden verwaltete Schlüssel werden ebenfalls unterstützt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter [Amazon Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
Alle HealthOmics Datenspeicher (Storage und Analytics) unterstützen die Verwendung von kundenverwalteten Schlüsseln. Die Verschlüsselungskonfiguration kann nicht geändert werden, nachdem ein Datenspeicher erstellt wurde. Wenn ein Datenspeicher einen verwendet AWS-eigener Schlüssel, wird er als gekennzeichnet AWS\$1OWNED\$1KMS\$1KEY und der spezifische Schlüssel, der für die Verschlüsselung verwendet wird, wird im Ruhezustand nicht angezeigt.
Bei HealthOmics Workflows werden vom Kunden verwaltete Schlüssel vom temporären Dateisystem nicht unterstützt. Alle Daten im Ruhezustand werden jedoch automatisch mit dem Blockchiffrierverschlüsselungsalgorithmus XTS-AES-256 verschlüsselt, um das Dateisystem zu verschlüsseln. Der IAM-Benutzer und die Rolle, die zum Starten einer Workflow-Ausführung verwendet wurden, müssen auch Zugriff auf die Schlüssel haben, die für Workflow-Eingabe- und -Ausgabe-Buckets verwendet werden. AWS KMS Workflows verwenden keine Zuschüsse, und die AWS KMS Verschlüsselung ist auf Eingabe- und Ausgabe-Amazon S3-Buckets beschränkt. Die IAM-Rolle, die sowohl für den Workflow verwendet wird, APIs muss auch Zugriff auf die verwendeten AWS KMS Schlüssel sowie auf die Eingabe- und Ausgabe-Buckets von Amazon S3 haben. Sie können entweder IAM-Rollen und -Berechtigungen verwenden, um den Zugriff oder Richtlinien zu kontrollieren. AWS KMS Weitere Informationen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html).
Wenn Sie HealthOmics Analytics verwenden AWS Lake Formation , werden alle Entschlüsselungsberechtigungen, die mit der Lake Formation verknüpft sind, auch für die Eingabe- und Ausgabe-Amazon S3-Buckets erteilt. [Weitere Informationen zur AWS Lake Formation Verwaltung von Berechtigungen finden Sie in der AWS Lake Formation Dokumentation.](https://docs.aws.amazon.com/lake-formation/latest/dg/register-encrypted.html)
HealthOmics Analytics gewährt Lake Formation kms: Decrypt Berechtigungen zum Lesen der verschlüsselten Daten in einem Amazon S3 S3-Bucket. Solange Sie berechtigt sind, die Daten über Lake Formation abzufragen, können Sie die verschlüsselten Daten lesen. Der Zugriff auf die Daten wird durch die Datenzugriffskontrolle in Lake Formation gesteuert, nicht durch eine KMS-Schlüsselrichtlinie. Weitere Informationen finden Sie in den [AWS integrierten AWS-Serviceanfragen](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-underlying-data.html) in der Lake Formation Formation-Dokumentation.
### AWS-eigene Schlüssel
Standardmäßig werden Daten im Ruhezustand automatisch verschlüsselt, da diese Daten vertrauliche Informationen wie personenbezogene Daten (PII) oder geschützte Gesundheitsinformationen (PHI) enthalten können. HealthOmics AWS-eigene Schlüssel AWS-eigene Schlüssel sind nicht in Ihrem Konto gespeichert. Sie sind Teil einer Sammlung von KMS-Schlüsseln, die AWS besitzt und verwaltet, um sie in mehreren AWS-Konten zu verwenden.
AWS-Services können AWS-eigene Schlüssel zum Schutz Ihrer Daten verwendet werden. Sie können ihre Verwendung nicht einsehen, verwalten AWS-eigene Schlüssel, darauf zugreifen oder sie überprüfen. Sie müssen jedoch keine Arbeit verrichten oder Programme ändern, um die Schlüssel zu schützen, mit denen Ihre Daten verschlüsselt werden.
Ihnen wird keine monatliche Gebühr oder Nutzungsgebühr für die Nutzung berechnet AWS-eigene Schlüssel, und sie werden auch nicht auf die AWS KMS KMS-Kontingente für Ihr Konto angerechnet. Weitere Informationen finden Sie unter [Von AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#AWS-owned-cmk).
### Kundenseitig verwaltete Schlüssel
HealthOmics unterstützt die Verwendung von symmetrischen, vom Kunden verwalteten Schlüsseln, die Sie erstellen, besitzen und verwalten, um eine zweite Verschlüsselungsebene gegenüber der bestehenden AWS-eigenen Verschlüsselung hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:
+ Einrichtung und Pflege wichtiger Richtlinien, IAM-Richtlinien und Zuschüsse
+ Kryptographisches Material mit rotierendem Schlüssel
+ Aktivieren und Deaktivieren wichtiger Richtlinien
+ Hinzufügen von -Tags
+ Erstellen von Schlüsselaliasen
+ Schlüssel für das Löschen von Schlüsseln planen
Sie können es auch verwenden CloudTrail , um die Anfragen nachzuverfolgen, die in Ihrem Namen HealthOmics AWS KMS an gesendet werden. Es AWS KMS fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
### Einen vom Kunden verwalteten Schlüssel erstellen
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS-Managementkonsole oder der AWS KMS APIs erstellen.
Folgen Sie den Schritten zur [Erstellung symmetrischer kundenverwalteter Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) im AWS Key Management Service Developer Guide.
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie einen vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter [Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) im AWS Key Management Service Developer Guide.
Um einen vom Kunden verwalteten Schlüssel mit Ihren HealthOmics Analytics-Ressourcen zu verwenden, benötigt der aufrufende Principal die CreateGrant Operationen [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) in der Schlüsselrichtlinie. Auf diese Weise kann das System mithilfe eines FAS-Tokens einen Zuschuss für einen vom Kunden verwalteten Schlüssel gewähren, der den Zugriff auf einen bestimmten KMS-Schlüssel steuert. Dieser Schlüssel gewährt einem Benutzer Zugriff auf die erforderlichen [kms:grant-Operationen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations ). HealthOmics Weitere Informationen finden Sie [unter Grants verwenden](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).
Für HealthOmics Analysen müssen die folgenden API-Operationen für den aufrufenden Prinzipal zulässig sein:
+ kms: CreateGrant fügt einem bestimmten vom Kunden verwalteten Schlüssel Zuschüsse hinzu, wodurch der Zugriff auf Grant-Operationen in HealthOmics Analytics ermöglicht wird.
+ kms: DescribeKey stellt die vom Kunden verwalteten Schlüsseldetails bereit, die zur Validierung des Schlüssels erforderlich sind. Dies ist für alle Operationen erforderlich.
+ kms: GenerateDataKey bietet Zugriff auf die Verschlüsselung von Ressourcen im Ruhezustand für alle Schreibvorgänge. Außerdem stellt diese Aktion vom Kunden verwaltete Schlüsselinformationen bereit, anhand derer der Dienst überprüfen kann, ob der Anrufer Zugriff auf den Schlüssel hat.
+ kms:Decrypt bietet Zugriff auf Lese- oder Suchvorgänge für verschlüsselte Ressourcen.
Um einen vom Kunden verwalteten Schlüssel mit Ihren HealthOmics Speicherressourcen zu verwenden, müssen der HealthOmics Service Principal und der Calling Principal in der Schlüsselrichtlinie zugelassen sein. Auf diese Weise kann der Service überprüfen, ob der Anrufer Zugriff auf den Schlüssel hat, und den Service Principal verwenden, um die Geschäftsverwaltung mithilfe des vom Kunden verwalteten Schlüssels auszuführen. Für die HealthOmics Speicherung muss die Schlüsselrichtlinie für den Service Principal die folgenden API-Operationen zulassen:
+ kms: DescribeKey stellt die vom Kunden verwalteten Schlüsseldetails bereit, die zur Validierung des Schlüssels erforderlich sind. Dies ist für alle Operationen erforderlich.
+ kms: GenerateDataKey bietet Zugriff auf die Verschlüsselung von Ressourcen im Ruhezustand für alle Schreibvorgänge. Außerdem stellt diese Aktion vom Kunden verwaltete Schlüsselinformationen bereit, anhand derer der Dienst überprüfen kann, ob der Anrufer Zugriff auf den Schlüssel hat.
+ kms:Decrypt bietet Zugriff auf Lese- oder Suchvorgänge für verschlüsselte Ressourcen.
Das folgende Beispiel zeigt eine Richtlinienanweisung, die es einem Dienstprinzipal ermöglicht, eine HealthOmics Sequenz oder einen Referenzspeicher zu erstellen und mit diesem zu interagieren, der mit dem vom Kunden verwalteten Schlüssel verschlüsselt ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "omics.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------
Das folgende Beispiel zeigt eine Richtlinie, die Berechtigungen für einen Datenspeicher zum Entschlüsseln von Daten aus einem Amazon S3 S3-Bucket erstellt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:GetReference",
"omics:GetReferenceMetadata"
],
"Resource": [
"arn:aws:omics:us-east-1:123456789012:referenceStore/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::[[s3path]]/*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key_id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Erforderliche IAM-Berechtigungen für die Verwendung eines vom Kunden verwalteten Schlüssels
Beim Erstellen einer Ressource wie eines Datenspeichers mit AWS KMS Verschlüsselung mithilfe eines vom Kunden verwalteten Schlüssels sind Berechtigungen sowohl für die Schlüsselrichtlinie als auch für die IAM-Richtlinie für den IAM-Benutzer oder die IAM-Rolle erforderlich.
Sie können den [ViaService Bedingungsschlüssel kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) verwenden, um die Verwendung des KMS-Schlüssels auf Anfragen zu beschränken, die von stammen. HealthOmics
Weitere Informationen zu wichtigen Richtlinien finden Sie unter [Enabling IAM-Policies](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) im AWS Key Management Service Developer Guide.
**Topics**
+ [Analytics-API-Berechtigungen](#analytics-permissions)
+ [Speicher-API-Berechtigungen](#storage-permissions)
+ [Wie HealthOmics werden Zuschüsse in AWS KMS verwendet](#grants-kms)
+ [Überwachen Sie Ihre Verschlüsselungsschlüssel für AWS HealthOmics](#monitoring-kms)
#### Analytics-API-Berechtigungen
Für HealthOmics Analysen muss der IAM-Benutzer oder die IAM-Rolle, die die Stores erstellt, über die Berechtigungen kms:CreateGrant, kms:GenerateDataKey, kms: Decrypt und die erforderlichen kms: DescribeKey HealthOmics Berechtigungen verfügen.
#### Speicher-API-Berechtigungen
Für die HealthOmics Speicherung APIs benötigt der IAM-Benutzer oder die IAM-Rolle, die die folgenden API-Operationen aufruft, die aufgeführten Berechtigungen:
**CreateReferenceStore, CreateSequenceStore**
Um einen Store zu erstellen, muss der IAM-Aufrufer über Berechtigungen und die `kms:DescribeKey` erforderlichen Berechtigungen verfügen. HealthOmics Der HealthOmics Dienstprinzipal ruft auf`kms:GenerateDataKeyWithoutPlaintext`, um Zugriffsprüfungen für das Laden und den Zugriff auf Daten durchzuführen.
**StartReadSetImportJob, StartReferenceImportJob**
Um Datenimportaufträge zu starten, muss `kms:Decrypt` der IAM-Aufrufer über `kms:GenerateDataKey` Berechtigungen für den KMS-Schlüssel im Store für den Import sowie über `kms:Decrypt` Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die zu importierenden Objekte enthält. Darüber hinaus muss die an den Aufruf übergebene Rolle über `kms:Decrypt` Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die zu importierenden Objekte enthält. Der IAM-Aufrufer muss außerdem über Berechtigungen verfügen, um die Rolle an den Job weiterzugeben.
**CreateMultipartReadSetUpload, UploadReadSetPart, CompleteMultipartReadSetUpload**
Um einen mehrteiligen Upload abzuschließen, muss `kms:Decrypt` der IAM-Aufrufer den mehrteiligen Upload erstellen, hochladen und abschließen können. `kms:GenerateDataKey`
**StartReadSetExportJob**
Um einen Datenexportauftrag zu starten, muss der IAM-Aufrufer über die `kms:Decrypt` Berechtigung für den KMS-Schlüssel im Store zum Exportieren aus `kms:GenerateDataKey` und über `kms:Decrypt` Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die Objekte empfängt. Darüber hinaus muss die an den Aufruf übergebene Rolle über `kms:Decrypt` Berechtigungen für den Amazon S3 S3-Bucket verfügen, der die Objekte empfängt. Der IAM-Aufrufer muss außerdem über die Berechtigungen verfügen, um die Rolle an den Job weiterzugeben.
**StartReadsetActivationJob**
Um einen Read-Set-Aktivierungsjob zu starten, muss der IAM-Aufrufer über `kms:GenerateDataKey` Berechtigungen für die `kms:Decrypt` Objekte verfügen.
**GetReference, GetReadSet**
Um Objekte aus dem Speicher lesen zu können, muss der IAM-Aufrufer über `kms:Decrypt` Berechtigungen für die Objekte verfügen.
**Lesen Sie Set S3 GetObject**
Um Objekte aus dem Store mithilfe der Amazon S3 `GetObject` S3-API lesen zu können, muss der IAM-Aufrufer über `kms:Decrypt` Berechtigungen für die Objekte verfügen. Legen Sie diese Berechtigung sowohl für vom Kunden verwaltete Schlüssel als auch für Konfigurationen fest AWS-eigener Schlüssel .
#### Wie HealthOmics werden Zuschüsse in AWS KMS verwendet
HealthOmics Analytics erfordert eine Genehmigung zur [Nutzung](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Ihres vom Kunden verwalteten KMS-Schlüssels. Zuschüsse sind nicht erforderlich und werden auch nicht für HealthOmics Workflows verwendet. HealthOmics Storage verwendet den vom Kunden verwalteten Schlüssel direkt vom Service Principal. Verwenden Sie also keine Grants. Wenn Sie einen Analyseshop erstellen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt HealthOmics Analytics in Ihrem Namen einen Zuschuss, indem eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an AWS KMS gesendet wird. Zuschüsse in AWS KMS werden verwendet, um HealthOmics Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.
Es wird nicht empfohlen, die Zuschüsse, die HealthOmics Analytics in Ihrem Namen gewährt, zu widerrufen oder zurückzuziehen. Wenn Sie die HealthOmics Genehmigung zur Verwendung der AWS-KMS-Schlüssel in Ihrem Konto widerrufen oder zurückziehen, können Sie HealthOmics nicht auf diese Daten zugreifen, neue Ressourcen, die in den Datenspeicher übertragen werden, verschlüsseln oder sie entschlüsseln, wenn sie abgerufen werden.
Wenn Sie einen Zuschuss für widerrufen oder zurückziehen HealthOmics, erfolgt die Änderung sofort. Um die Zugriffsrechte zu widerrufen, empfehlen wir, den Datenspeicher zu löschen, anstatt die Gewährung zu widerrufen. Wenn Sie den Datenspeicher löschen, werden die Zuschüsse HealthOmics in Ihrem Namen zurückgezogen.
#### Überwachen Sie Ihre Verschlüsselungsschlüssel für AWS HealthOmics
Sie können CloudTrail damit die Anfragen verfolgen, die in Ihrem Namen AWS HealthOmics AWS KMS an gesendet werden, wenn Sie einen vom Kunden verwalteten Schlüssel verwenden. In den Protokolleinträgen im CloudTrail Protokoll wird HealthOmics .amazonaws.com im Feld UserAgent angezeigt, um Anfragen von eindeutig zu unterscheiden. HealthOmics
Bei den folgenden Beispielen handelt es sich um CloudTrail Ereignisse für CreateGrant GenerateDataKey, Decrypt und zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden, DescribeKey um auf Daten zuzugreifen, HealthOmics die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
Im Folgenden wird auch gezeigt, wie Sie HealthOmics Analytics CreateGrant den Zugriff auf einen vom Kunden bereitgestellten KMS-Schlüssel ermöglichen, sodass HealthOmics dieser KMS-Schlüssel zur Verschlüsselung aller gespeicherten Kundendaten verwendet werden kann.
Sie müssen keine eigenen Zuschüsse erstellen. HealthOmics erstellt in Ihrem Namen einen Zuschuss, indem Sie eine CreateGrant Anfrage an AWS KMS senden. Zuschüsse AWS KMS werden verwendet, um HealthOmics Zugriff auf einen AWS KMS Schlüssel in einem Kundenkonto zu gewähren.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "xx:test",
"arn": "arn:AWS:sts::555555555555:assumed-role/user-admin/test",
"accountId": "xx",
"accessKeyId": "xxx",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "xxxx",
"arn": "arn:AWS:iam::555555555555:role/user-admin",
"accountId": "555555555555",
"userName": "user-admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-11T01:36:17Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "apigateway.amazonAWS.com"
},
"eventTime": "2022-11-11T02:34:41Z",
"eventSource": "kms.amazonAWS.com",
"eventName": "CreateGrant",
"AWSRegion": "us-west-2",
"sourceIPAddress": "apigateway.amazonAWS.com",
"userAgent": "apigateway.amazonAWS.com",
"requestParameters": {
"granteePrincipal": "AWS Internal",
"keyId": "arn:AWS:kms:us-west-2:555555555555:key/a6e87d77-cc3e-4a98-a354-e4c275d775ef",
"operations": [
"CreateGrant",
"RetireGrant",
"Decrypt",
"GenerateDataKey"
]
},
"responseElements": {
"grantId": "4869b81e0e1db234342842af9f5531d692a76edaff03e94f4645d493f4620ed7",
"keyId": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
},
"requestID": "d31d23d6-b6ce-41b3-bbca-6e0757f7c59a",
"eventID": "3a746636-20ef-426b-861f-e77efc56e23c",
"readOnly": false,
"resources": [
{
"accountId": "245126421963",
"type": "AWS::KMS::Key",
"ARN": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
}
],
"eventType": "AWSApiCall",
"managementEvent": true,
"recipientAccountId": "245126421963",
"eventCategory": "Management"
}
```
Das folgende Beispiel zeigt, wie sichergestellt werden kann GenerateDataKey , dass der Benutzer vor dem Speichern über die erforderlichen Berechtigungen zum Verschlüsseln von Daten verfügt.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEUSER",
"arn": "arn:AWS:sts::111122223333:assumed-role/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLEKEYID",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEROLE",
"arn": "arn:AWS:iam::111122223333:role/Sampleuser01",
"accountId": "111122223333",
"userName": "Sampleuser01"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-06-30T21:17:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "omics.amazonAWS.com"
},
"eventTime": "2021-06-30T21:17:37Z",
"eventSource": "kms.amazonAWS.com",
"eventName": "GenerateDataKey",
"AWSRegion": "us-east-1",
"sourceIPAddress": "omics.amazonAWS.com",
"userAgent": "omics.amazonAWS.com",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
},
"responseElements": null,
"requestID": "EXAMPLE_ID_01",
"eventID": "EXAMPLE_ID_02",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
}
],
"eventType": "AWSApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
### Weitere Informationen
Die folgenden Ressourcen bieten weitere Informationen zur Verschlüsselung von Daten im Ruhezustand.
Weitere Informationen zu den [Grundkonzepten von AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) finden Sie in der AWS KMS Dokumentation.
Weitere Informationen zu [bewährten Sicherheitsmethoden](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) finden Sie in der AWS KMS Dokumentation.
## Verschlüsselung während der Übertragung
AWS HealthOmics verwendet TLS 1.2 und höher, um Daten zu verschlüsseln, die über öffentliche Endpunkte und über Backend-Dienste übertragen werden.
# Identitäts- und Zugriffsmanagement in HealthOmics
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um HealthOmics AWS-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS HealthOmics funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS HealthOmics](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für AWS HealthOmics](security-iam-awsmanpol.md)
+ [Problembehandlung bei AWS HealthOmics Identität und Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS HealthOmics Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS HealthOmics funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS HealthOmics](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS HealthOmics funktioniert mit IAM
Bevor Sie IAM zur Verwaltung des Zugriffs auf AWS verwenden, sollten Sie sich darüber informieren HealthOmics, welche IAM-Funktionen für die Nutzung mit AWS verfügbar sind. HealthOmics
**IAM-Funktionen, die Sie mit verwenden können AWS HealthOmics**
| IAM-Feature | HealthOmics Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Nein |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
*Einen allgemeinen Überblick darüber, wie HealthOmics und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In: AWS Dienststellenübergreifender Identitätswechsel kann zu Problemen mit verwirrten Stellvertretern führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der *Anruf-Service*) einen anderen Service anruft (den *aufgerufenen Service*). Der Anruf-Service kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen zu beschränken, die AWS einem anderen Service für die Ressource HealthOmics erteilt.
Um das Problem der verwirrten Stellvertreter in Rollen zu vermeiden HealthOmics, die von übernommen wurden, legen Sie `arn:aws:omics:region:accountNumber:*` in der `aws:SourceArn` Vertrauensrichtlinie der Rolle den Wert auf fest. Der Platzhalter (`*`) wendet die Bedingung für alle HealthOmics Ressourcen an.
Die folgende Vertrauensstellungsrichtlinie gewährt HealthOmics Zugriff auf Ihre Ressourcen und verwendet die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel, um das Problem des verwirrten Stellvertreters zu verhindern. Verwenden Sie diese Richtlinie, wenn Sie eine Rolle für erstellen HealthOmics.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"omics.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:omics:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## Identitätsbasierte Richtlinien für HealthOmics
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für HealthOmics
Beispiele für HealthOmics identitätsbasierte AWS-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb HealthOmics
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für HealthOmics
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der HealthOmics Aktionen finden Sie unter [Von AWS definierte Aktionen HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html#awshealthomics-actions-as-permissions) in der *Service Authorization Reference*.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix HealthOmics verwendet:
```
omics
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"omics:action1",
"omics:action2"
]
```
Beispiele für HealthOmics identitätsbasierte AWS-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für HealthOmics
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der HealthOmics Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von AWS definierte Ressourcen HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html.html#awshealthomics-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von AWS definierte Aktionen HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html#awshealthomics-actions-as-permissions).
Beispiele für HealthOmics identitätsbasierte AWS-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Bedingungsschlüssel für Richtlinien für HealthOmics
Bedingungsschlüssel für Richtlinien werden in nicht unterstützt HealthOmics.
## Zugriffskontrolllisten (ACLs) in HealthOmics
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit HealthOmics
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Weitere Informationen über das Markieren von HealthOmics-Ressourcen mit Tags finden Sie unter [Ressourcen taggen in HealthOmics](tagging.md).
Das folgende Beispiel zeigt, wie Sie eine IAM-Richtlinie schreiben können, die den Zugriff auf eine Ressource ohne ein bestimmtes Tag verweigert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"omics:*"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:RequestTag/MyCustomTag": "true"
}
}
}
]
}
```
------
## Temporäre Anmeldeinformationen verwenden mit HealthOmics
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für HealthOmics
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für HealthOmics
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Durch das Ändern der Berechtigungen für eine Servicerolle kann die HealthOmics Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, HealthOmics wenn Sie dazu eine Anleitung erhalten.
## Dienstbezogene Rollen für HealthOmics
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für AWS HealthOmics
Standardmäßig sind Benutzer und Rollen nicht berechtigt, HealthOmics AWS-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von AWS definierten Aktionen und Ressourcentypen HealthOmics, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole HealthOmics](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand HealthOmics AWS-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole HealthOmics
Um auf die HealthOmics AWS-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den HealthOmics AWS-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS verwaltete Richtlinien für AWS HealthOmics
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonOmicsFullAccess
Sie können die `AmazonOmicsFullAccess` Richtlinie an Ihre IAM-Identitäten anhängen, um ihnen vollen Zugriff zu gewähren. HealthOmics
Diese Richtlinie gewährt volle Zugriffsberechtigungen für alle HealthOmics Aktionen. Wenn Sie einen Annotations- oder Variantenspeicher erstellen, gewährt Ihnen Omics auch über eine Resource Share Invitation in der Resource Access Manager (RAM) -Konsole Zugriff auf diesen Speicher. Weitere Informationen zu Resource Share-Einladungen über Lake Formation finden Sie unter [Kontoübergreifender Datenaustausch in Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html). Für eine Omics-Administratorrichtlinie benötigen Sie außerdem die folgenden Berechtigungen, um auf Ihren Amazon S3 S3-Bucket zuzugreifen.
+ PutObject
+ GetObject
+ ListBucket
+ AbortMultipartUpload
+ ListMultipartUploadParts
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "omics.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "omics.amazonaws.com"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonOmicsReadOnlyAccess
Sie können die `AWSOmicsReadOnlyAccess` Richtlinie an Ihre IAM-Identitäten anhängen, wenn Sie die Berechtigungen für diese Identität auf schreibgeschützten Zugriff beschränken möchten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:Get*",
"omics:List*"
],
"Resource": "*"
}
]
}
```
------
## HealthOmics Aktualisierungen der verwalteten Richtlinien AWS
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die HealthOmics seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite HealthOmics Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AmazonOmicsFullAccess - Neue Richtlinie hinzugefügt | HealthOmics Es wurde eine neue Richtlinie hinzugefügt, um einem Benutzer vollen Zugriff auf alle Aktionen und Ressourcen zu gewähren. Weitere Informationen hierzu finden Sie unter [AmazonOmicsFullAccess](#security-iam-awsmanpol-AmazonOmicsFullAccess). | 23. Februar 2023 |
| HealthOmics hat begonnen, Änderungen zu verfolgen | HealthOmics hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 29. November 2022 |
| AmazonOmicsReadOnlyAccess - Neue Richtlinie hinzugefügt | HealthOmics Es wurde eine neue Richtlinie hinzugefügt, die den Zugriff nur auf Lesezugriff beschränkt. Weitere Informationen hierzu finden Sie unter [AmazonOmicsReadOnlyAccess](#security-iam-awsmanpol-AmazonOmicsReadOnlyAccess). | 29. November 2022 |
# Problembehandlung bei AWS HealthOmics Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS HealthOmics und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in HealthOmics](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine HealthOmics Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in HealthOmics
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `omics:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: omics:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `omics:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an AWS übergeben können HealthOmics.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine mit einem Service verknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS HealthOmics auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine HealthOmics Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob AWS diese Funktionen HealthOmics unterstützt, finden Sie unter[Wie AWS HealthOmics funktioniert mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im [IAM-Benutzerhandbuch unter Bereitstellen von Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Konformitätsvalidierung für AWS HealthOmics
Externe Prüfer bewerten die Sicherheit und Einhaltung von Vorschriften im AWS HealthOmics Rahmen mehrerer AWS Compliance-Programme. Dazu gehören HIPAA, FedRAMP und andere. Die folgende Tabelle zeigt die Compliance-Zertifizierungen für den Service. HealthOmics
| Zertifizierung | Link |
| --- | --- |
| HIPAA | [Referenz für HIPAA-fähige Dienste](https://aws.amazon.com/compliance/hipaa-eligible-services-reference) |
| HiTrust-CSF | [Gemeinsamer Sicherheitsrahmen der Health Information Trust Alliance](https://aws.amazon.com/compliance/services-in-scope/HITRUST-CSF/) |
| FedRAMP Moderate (Osten/West) | [Risiko- und Genehmigungsmanagementprogramm des Bundes](https://aws.amazon.com/compliance/services-in-scope/FedRAMP) |
| ISO/CSA-STERN | [ISO- und CSA STAR-zertifiziert](https://aws.amazon.com/compliance/iso-certified/) |
| C5 | [Katalog zur Kontrolle der Einhaltung von Cloud-Computing-Vorschriften](https://aws.amazon.com/compliance/services-in-scope/C5) |
| DoD CC SRG IL2 | [Leitfaden für Cloud-Computing-Sicherheitsanforderungen des Verteidigungsministeriums](https://aws.amazon.com/compliance/services-in-scope/DoD_CC_SRG) |
| ENS High | [Esquema Nacional de Seguridad](https://aws.amazon.com/compliance/services-in-scope//ENS-High) |
| FINMA | [Eidgenössische Finanzmarktaufsicht](https://aws.amazon.com/compliance/services-in-scope/FINMA) |
| IST MAP | [Programm zur Verwaltung und Bewertung der Sicherheit von Informationssystemen](https://aws.amazon.com/compliance/services-in-scope/ISMAP/) |
| OSPAR | [Prüfbericht für ausgelagerte Dienstleister](https://aws.amazon.com/compliance/services-in-scope/OSPAR/) |
| PCI | [Datensicherheitsstandard der Zahlungskartenbranche](https://aws.amazon.com/compliance/services-in-scope/PCI/) |
| Pinakes | [Bankenverband CCI — Qualifizierung durch Dritte](https://aws.amazon.com/compliance/services-in-scope/pinakes/) |
| PiTuKri | [Kriterien für die Bewertung der Informationssicherheit von Cloud-Diensten](https://aws.amazon.com/compliance/services-in-scope/PiTuKri/) |
| SOC 1,2,3 | [System- und Organisationskontrollen](https://aws.amazon.com/compliance/services-in-scope/SOC/) |
Eine Liste aller AWS Services, die für bestimmte Compliance-Programme gelten, finden Sie unter [AWS-Services in Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/).
Sie können Prüfberichte von Drittanbietern herunterladen unter AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
HealthOmics Datenspeicher verwenden die Proben-ID für die interne Benennung von Dateien und für die Kennzeichnung von Ressourcen. Bevor Sie Daten aufnehmen, überprüfen Sie, ob die Proben-ID PHI-Daten enthält. Ist dies der Fall, ändern Sie die Proben-ID, bevor Sie die Daten aufnehmen. Weitere Informationen finden Sie in den Anleitungen auf der Webseite zur AWS [HIPAA-Konformität](https://aws.amazon.com/compliance/hipaa-compliance).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS HealthOmics hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS angegeben.
+ Whitepaper „[Architecting for HIPAA Security and Compliance“ — In diesem Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) wird beschrieben, wie Unternehmen HIPAA-konforme Anwendungen erstellen können AWS .
+ [AWS Compliance-Ressourcen ](https://aws.amazon.com/compliance/resources/) — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch* — AWS Config; bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Resilienz in HealthOmics
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur HealthOmics bietet AWS mehrere Funktionen zur Unterstützung Ihrer Datenausfallsicherheit und Backup-Anforderungen.
# AWS HealthOmics und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink
Sie können eine private Verbindung zwischen Ihrer VPC herstellen und AWS HealthOmics einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte basieren auf einer Technologie [AWS PrivateLink](https://aws.amazon.com/privatelink), mit der Sie privat auf HealthOmics API-Operationen zugreifen können, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung erforderlich ist. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit HealthOmics API-Vorgängen zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und HealthOmics geht nicht außerhalb des Amazon-Netzwerks.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt.
Weitere Informationen finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon VPC-Benutzerhandbuch*.
VPC-Endpunktrichtlinien werden HealthOmics für alle Regionen außer Israel (Tel Aviv) unterstützt. Standardmäßig HealthOmics ist der vollständige Zugriff auf über den Endpunkt zulässig.
## Überlegungen zu HealthOmics VPC-Endpunkten
Bevor Sie einen Schnittstellen-VPC-Endpunkt für einrichten HealthOmics, sollten Sie die [Eigenschaften und Einschränkungen der Schnittstellen-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) im *Amazon VPC-Benutzerhandbuch* lesen.
HealthOmics unterstützt Aufrufe aller HealthOmics Speicher-API-Aktionen von Ihrer VPC aus.
VPC-Endpunktrichtlinien werden HealthOmics standardmäßig nicht unterstützt, aber Sie können einen VPC-Endpunkt für den vollen HealthOmics Zugriff auf die HealthOmics Speichervorgänge erstellen. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
## Erstellen eines Schnittstellen-VPC-Endpunkts für HealthOmics
Sie können einen VPC-Endpunkt für den HealthOmics Service erstellen, indem Sie die Amazon VPC-Konsole oder die AWS Command Line Interface ()AWS CLI verwenden. Weitere Informationen finden Sie unter [Erstellung eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) im *Benutzerhandbuch für Amazon VPC*.
Erstellen Sie einen VPC-Endpunkt für, HealthOmics indem Sie die folgenden Dienstnamen verwenden:
+ com.amazonaws. *region*.storage-comics
+ com.amazonaws. *region*. control-storage-omics
+ com.amazonaws. *region*.analytics-Comics
+ com.amazonaws. *region*.workflows-Comics
+ com.amazonaws. *region*.tags-Comics
Die Regionen USA Ost (Nord-Virginia) und USA West (Oregon) unterstützen FIPS-Endpunkte. AWS PrivateLink Für diese Regionen können Sie auch die folgenden Dienstnamen verwenden:
+ com.amazonaws. *region*. storage-omics-fips
+ com.amazonaws. *region*. control-storage-omics-fips
+ com.amazonaws. *region*. analytics-omics-fips
+ com.amazonaws. *region*. workflows-omics-fips
+ com.amazonaws. *region*. tags-omics-fips
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an stellen, HealthOmics indem Sie den Standard-DNS-Namen für die Region verwenden, `omics.us-east-1.amazonaws.com` z. B.
Weitere Informationen finden Sie unter [Zugriff auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) im *Benutzerhandbuch für Amazon VPC*.
## Erstellen einer VPC-Endpunktrichtlinie für HealthOmics
Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anhängen, der den Zugriff auf HealthOmics steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Der Prinzipal, der die Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
**Beispiel: VPC-Endpunktrichtlinie für HealthOmics Aktionen.**
Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für HealthOmics. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf HealthOmics Aktionen.
------
#### [ API ]
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"omics:List*"
],
"Resource":"*"
}
]
}
```
------
#### [ AWS CLI ]
```
aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-id \
--region us-west-2 \
--policy-document \
"{\"Statement\":[{\"Principal\":\"*\",\"Effect\":\"Allow\",\"Action\":[\"omics:List*\"],\"Resource\":\"*\"}]}"
```
------
## Besondere Überlegungen für den Zugriff auf Lesesätze mit Amazon S3 URIs
Um über Amazon S3 auf Lesesätze zuzugreifen, URIs wenn Sie eine private Verbindung verwenden, richten Sie die PrivateLink Schnittstellenendpunkte im Sequenzspeicher ein. Nachdem Sie sie eingerichtet haben, haben die Endpunkte die folgenden Formate:
```
com.amazonaws.region.storage-omics
com.amazonaws.region.control-storage-omics
```
Um Gateway-Endpunkte zu verwenden, folgen Sie der Anleitung [Gateway-Endpunkte für Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html), um Ihre Gateway-Endpunkte zu konfigurieren. HealthOmics besitzt den Amazon S3 S3-Bucket, sodass Sie die Bucket-Richtlinie nicht erstellen oder anpassen müssen. Gateway-Endpunkte basieren auf der Richtlinie, die dem Benutzer oder der Rolle zugewiesen ist, die auf die Daten zugreift. Sie können jedoch auch Endgeräte mit restriktiveren Richtlinien konfigurieren. Diese Richtlinien können Zugriffsbeschränkungen beinhalten, die auf dem ARN des Amazon S3 Access Point und den Amazon S3 S3-Aktionen basieren.