Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in der AWS Zahlungskryptografie
Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:
+ **Sicherheit der Cloud** —AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für AWS Zahlungskryptografie gelten, finden Sie unter [AWS-Services im Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
In diesem Thema erfahren Sie, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von AWS Zahlungskryptografie anwenden können. Es zeigt Ihnen, wie Sie die AWS Zahlungskryptografie konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Ressourcen zur AWS Zahlungskryptografie überwachen und sichern können.
**Topics**
+ [Datenschutz](data-protection.md)
+ [Ausfallsicherheit](resilience.md)
+ [Sicherheit der Infrastruktur](infrastructure-security.md)
+ [Verwenden Sie Amazon VPC und AWS PrivateLink](vpc-endpoint.md)
+ [Hybrid-Post-Quantum-TLS](pqtls.md)
+ [Bewährte Methoden für die Gewährleistung der Sicherheit](security-best-practices.md)
# Datenschutz in der AWS Zahlungskryptografie
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in der AWS Zahlungskryptografie. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Systeme laufen. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS Payment Cryptography oder auf andere Weise AWS-Services über die Konsole, API oder arbeiten. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
AWS Payment Cryptography speichert und schützt Ihre Verschlüsselungsschlüssel für Zahlungen, um sie hochverfügbar zu machen und Ihnen gleichzeitig eine starke und flexible Zugriffskontrolle zu bieten.
**Topics**
+ [Schutz von Schlüsselmaterial](#key-protection)
+ [Datenverschlüsselung](#data-encryption)
+ [Verschlüsselung im Ruhezustand](#encryption-rest)
+ [Verschlüsselung während der Übertragung](#encryption-transit)
+ [Richtlinie für den Datenverkehr zwischen Netzwerken](#internetwork)
## Schutz von Schlüsselmaterial
Standardmäßig schützt AWS Payment Cryptography das kryptografische Schlüsselmaterial für Zahlungsschlüssel, die vom Service verwaltet werden. Darüber hinaus bietet AWS Payment Cryptography Optionen für den Import von Schlüsselmaterial, das außerhalb des Services erstellt wurde. Technische Informationen zu Zahlungsschlüsseln und Schlüsselmaterial finden Sie unter AWS Payment Cryptography Cryptography Cryptographic Details.
## Datenverschlüsselung
Die Daten in AWS Payment Cryptography bestehen aus AWS Payment Cryptography-Schlüsseln, dem darin enthaltenen Verschlüsselungsschlüsselmaterial und ihren Nutzungsattributen. Schlüsselmaterial ist nur im Klartext in den Hardware-Sicherheitsmodulen von AWS Payment Cryptography (HSMs) und nur dann verfügbar, wenn es verwendet wird. Andernfalls werden das Schlüsselmaterial und die Schlüsselattribute verschlüsselt und in einem dauerhaften persistenten Speicher gespeichert.
Das Schlüsselmaterial, das AWS Payment Cryptography für Zahlungsschlüssel generiert oder lädt, verlässt niemals unverschlüsselt die Grenzen von AWS Payment Cryptography HSMs . Es kann verschlüsselt durch API-Operationen von AWS Payment Cryptography exportiert werden.
## Verschlüsselung im Ruhezustand
AWS Payment Cryptography generiert Schlüsselmaterial für Zahlungsschlüssel, die auf der PCI PTS HSMs HSM-Liste aufgeführt sind. Bei Nichtgebrauch wird Schlüsselmaterial durch einen HSM-Schlüssel verschlüsselt und in dauerhaftem persistenten Speicher geschrieben. Das Schlüsselmaterial für kryptografische Zahlungsschlüssel und die Verschlüsselungsschlüssel, die das Schlüsselmaterial schützen, verlassen das HSMs System niemals in Klartextform.
Die Verschlüsselung und Verwaltung des Schlüsselmaterials für Schlüssel zur Zahlungskryptografie erfolgt vollständig durch den Dienst.
Weitere Informationen finden Sie unter Kryptografische Details des AWS Key Management Service.
## Verschlüsselung während der Übertragung
Schlüsselmaterial, das AWS Payment Cryptography für Zahlungsschlüssel generiert oder lädt, wird bei Payment Cryptography API-Vorgängen niemals im AWS Klartext exportiert oder übertragen. AWS Die Zahlungskryptografie verwendet Schlüsselkennungen, um die Schlüssel bei API-Vorgängen darzustellen.
Einige API-Operationen exportieren jedoch Schlüssel, die mit einem zuvor gemeinsam genutzten oder asymmetrischen Schlüsselaustauschschlüssel verschlüsselt wurden. Außerdem können Kunden API-Operationen verwenden, um verschlüsseltes Schlüsselmaterial für Zahlungsschlüssel zu importieren.
Alle API-Aufrufe für AWS Zahlungskryptografie müssen signiert und mithilfe von Transport Layer Security (TLS) übertragen werden. AWS Die Zahlungskryptografie erfordert TLS-Versionen und Verschlüsselungssammlungen, die von PCI als „starke Kryptografie“ definiert wurden. Alle Service-Endpunkte unterstützen TLS 1.2—1.3 und hybrides Post-Quantum-TLS.
Weitere Informationen finden Sie unter Kryptografische Details des AWS Key Management Service.
## Richtlinie für den Datenverkehr zwischen Netzwerken
AWS Payment Cryptography unterstützt eine AWS-Managementkonsole und eine Reihe von API-Vorgängen, mit denen Sie Zahlungsschlüssel erstellen und verwalten und sie für kryptografische Operationen verwenden können.
AWS Payment Cryptography unterstützt zwei Netzwerkverbindungsoptionen von Ihrem privaten Netzwerk zu AWS.
+ Eine IPSec VPN-Verbindung über das Internet.
+ AWS Direct Connect, das Ihr internes Netzwerk über ein Standard-Ethernet-Glasfaserkabel mit einem AWS Direct Connect-Standort verbindet.
Alle API-Aufrufe für Zahlungskryptografie müssen signiert und mithilfe von Transport Layer Security (TLS) übertragen werden. Die Anrufe erfordern auch eine moderne Verschlüsselungssammlung, die Perfect Forward Secrecy unterstützt. Datenverkehr zu den Hardware-Sicherheitsmodulen (HSMs), die Schlüsselmaterial für Zahlungsschlüssel speichern, ist nur von bekannten AWS Payment Cryptography API-Hosts über das interne AWS-Netzwerk zulässig.
Verwenden Sie VPC-Endpunkte, die von AWS bereitgestellt werden, um von Ihrer Virtual Private Cloud (VPC) aus eine direkte Verbindung zu AWS Payment Cryptography herzustellen, ohne Datenverkehr über das öffentliche Internet zu senden. PrivateLink Weitere Informationen finden Sie unter Herstellen einer Verbindung zu AWS Payment Cryptography über einen VPC-Endpunkt.
AWS Payment Cryptography unterstützt auch eine hybride Post-Quantum-Schlüsselaustauschoption für das Netzwerkverschlüsselungsprotokoll Transport Layer Security (TLS). Sie können diese Option mit TLS verwenden, wenn Sie eine Verbindung zu AWS Payment Cryptography API-Endpunkten herstellen.
# Resilienz in AWS der Zahlungskryptografie
AWS Die globale Infrastruktur basiert auf AWS Regionen und Availability Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
## Regionale Isolierung
AWS Payment Cryptography ist ein regionaler Service, der in mehreren Regionen verfügbar ist.
Das regional isolierte Design von AWS Payment Cryptography stellt sicher, dass ein Verfügbarkeitsproblem in einer AWS-Region den Betrieb von AWS Payment Cryptography in keiner anderen Region beeinträchtigen kann. AWS Payment Cryptography wurde entwickelt, um sicherzustellen, dass keine geplanten Ausfallzeiten auftreten, da alle Softwareupdates und Skalierungsvorgänge nahtlos und unmerklich ausgeführt werden.
Das Service Level Agreement (SLA) von AWS Payment Cryptography beinhaltet eine Serviceverpflichtung von 99,99% für die gesamte Zahlungskryptografie. APIs Um dieser Verpflichtung nachzukommen, stellt AWS Payment Cryptography sicher, dass alle Daten und Autorisierungsinformationen, die zur Ausführung einer API-Anfrage erforderlich sind, auf allen regionalen Hosts verfügbar sind, die die Anfrage erhalten.
Die Infrastruktur von AWS Payment Cryptography wird in mindestens drei Availability Zones (AZs) in jeder Region repliziert. Um sicherzustellen, dass mehrere Hostausfälle die Leistung von AWS Payment Cryptography nicht beeinträchtigen, ist AWS Payment Cryptography so konzipiert, dass Kundenverkehr aus allen Regionen einer Region bedient AZs wird.
Änderungen, die Sie an den Eigenschaften oder Berechtigungen eines Zahlungsschlüssels vornehmen, werden auf alle Hosts in der Region repliziert, um sicherzustellen, dass nachfolgende Anfragen von jedem Host in der Region korrekt verarbeitet werden können. Anfragen für kryptografische Operationen unter Verwendung Ihres Zahlungsschlüssels werden an eine Flotte von Hardware-Sicherheitsmodulen (HSMs) von AWS Payment Cryptography weitergeleitet, von denen jedes den Vorgang mit dem Zahlungsschlüssel ausführen kann.
## Design mit mehreren Mandanten
Das mandantenfähige Design von AWS Payment Cryptography ermöglicht es, die Verfügbarkeits-SLA zu erfüllen und hohe Anforderungsraten aufrechtzuerhalten und gleichzeitig die Vertraulichkeit Ihrer Schlüssel und Daten zu schützen.
Es werden mehrere Mechanismen zur Durchsetzung der Integrität eingesetzt, um sicherzustellen, dass der Zahlungsschlüssel, den Sie für den kryptografischen Vorgang angegeben haben, immer der verwendete ist.
Das Klartext-Schlüsselmaterial für Ihre Payment Cryptography Keys ist umfassend geschützt. Das Schlüsselmaterial wird im HSM verschlüsselt, sobald es erstellt wurde, und das verschlüsselte Schlüsselmaterial wird sofort in einen sicheren Speicher verschoben. Der verschlüsselte Schlüssel wird im HSM abgerufen und entschlüsselt, sobald er benutzt wird. Der Klartextschlüssel verbleibt nur so lange im HSM-Speicher, wie er für den Abschluss der kryptografischen Operation benötigt wird. Schlüsselmaterial im Klartext-Format verlässt das nie und HSMs wird niemals in den persistenten Speicher geschrieben.
Weitere Informationen zu den Mechanismen, mit denen AWS Payment Cryptography Ihre Schlüssel schützt, finden Sie unter AWS Payment Cryptography Cryptography Cryptographic Details.
# Sicherheit der Infrastruktur in AWS Payment Cryptography
Als verwalteter Service AWS Payment Cryptography ist er durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper [Amazon Web Services: Sicherheitsprozesse im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS Payment Cryptography über das Netzwerk. Clients müssen Transport Layer Security (TLS) 1.2 oder höher unterstützen. Clients müssen außerdem Verschlüsselungssammlungen mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
## Isolierung von physischen Hosts
Die Sicherheit der physischen Infrastruktur, die AWS Payment Cryptography verwendet, unterliegt den Kontrollen, die im Abschnitt Physische und Umgebungssicherheit von Amazon Web Services: Überblick über Sicherheitsprozesse beschrieben sind. Weitere Details finden Sie in Compliance-Berichten und Prüfungsergebnissen von Drittanbietern, die im vorherigen Abschnitt aufgeführt sind.
AWS Payment Cryptography wird von speziellen commercial-off-the-shelf PCI PTS HSM-gelisteten Hardware-Sicherheitsmodulen () unterstützt. HSMs Das Schlüsselmaterial für AWS Payment Cryptography-Schlüssel wird nur im flüchtigen Speicher auf dem gespeichert HSMs, und nur solange der Payment Cryptography-Schlüssel verwendet wird. HSMs befinden sich in zugangskontrollierten Racks in Amazon-Rechenzentren, die eine doppelte Kontrolle für jeden physischen Zugriff erzwingen. Detaillierte Informationen zum Betrieb von AWS Payment Cryptography finden Sie unter AWS Payment Cryptography HSMs Cryptography Cryptographic Details.
# Über einen VPC-Endpunkt eine Verbindung zur AWS Zahlungskryptografie herstellen
Sie können über einen privaten Schnittstellenendpunkt in Ihrer Virtual Private Cloud (VPC) eine direkte Verbindung zu AWS Payment Cryptography herstellen. Wenn Sie einen VPC-Schnittstellen-Endpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und AWS Payment Cryptography ausschließlich innerhalb des Netzwerks. AWS
AWS Payment Cryptography unterstützt Amazon Virtual Private Cloud (Amazon VPC) -Endpunkte, die von bereitgestellt werden. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Jeder VPC-Endpunkt wird durch eine oder mehrere [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.
Der VPC-Endpunkt der Schnittstelle verbindet Ihre VPC direkt mit AWS Payment Cryptography, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. AWS Direct Connect Die Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit AWS Payment Cryptography zu kommunizieren.
**Regionen**
AWS Payment Cryptography unterstützt VPC-Endpunkte und VPC-Endpunktrichtlinien in allen Bereichen, AWS-Regionen in denen [AWS Zahlungskryptografie](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html) unterstützt wird.
**Topics**
+ [Überlegungen zu AWS VPC-Endpunkten für Zahlungskryptografie](#vpce-considerations)
+ [Erstellen eines VPC-Endpunkts für AWS Zahlungskryptografie](#vpce-create-endpoint)
+ [Verbindung zu einem VPC-Endpunkt für AWS Payment Cryptography herstellen](#vpce-connect)
+ [Steuern des Zugriffs auf einen VPC-Endpunkt](#vpce-policy)
+ [Verwenden eines VPC-Endpunkts in einer Richtlinienanweisung](#vpce-policy-condition)
+ [Protokollieren des VPC-Endpunkts](#vpce-logging)
## Überlegungen zu AWS VPC-Endpunkten für Zahlungskryptografie
**Anmerkung**
Mit VPC-Endpunkten können Sie zwar in nur einer Availability Zone (AZ) eine Verbindung zum Service herstellen, wir empfehlen jedoch, aus Gründen der Hochverfügbarkeit und Redundanz eine Verbindung zu drei Availability Zones herzustellen.
*Bevor Sie einen VPC-Schnittstellen-Endpunkt für AWS Payment Cryptography einrichten, lesen Sie das Thema [Eigenschaften und Einschränkungen von Schnittstellenendpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) im AWS PrivateLink Handbuch.*
AWS Die Unterstützung der Zahlungskryptografie für einen VPC-Endpunkt umfasst Folgendes.
+ Sie können Ihren VPC-Endpunkt verwenden, um alle Operationen der [AWS Payment Cryptography Control Plane und [AWS Payment Cryptography Data Plane-Operationen](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html) von einer VPC aus aufzurufen.
+ Sie können einen VPC-Schnittstellen-Endpunkt erstellen, der eine Verbindung zu einem Endpunkt der AWS Payment Cryptography-Region herstellt.
+ AWS Die Zahlungskryptografie besteht aus einer Steuerungsebene und einer Datenebene. Sie können wählen, ob Sie einen oder beide Unterdienste einrichten möchten, AWS PrivateLink aber jeder wird separat konfiguriert.
+ Sie können AWS CloudTrail Protokolle verwenden, um Ihre Verwendung von AWS Payment Cryptography Keys über den VPC-Endpunkt zu überprüfen. Details hierzu finden Sie unter [Protokollieren des VPC-Endpunkts](#vpce-logging).
## Erstellen eines VPC-Endpunkts für AWS Zahlungskryptografie
Sie können mithilfe der Amazon VPC-Konsole oder der Amazon VPC-API einen VPC-Endpunkt für AWS Payment Cryptography erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *AWS PrivateLink -Leitfaden*.
+ Verwenden Sie die folgenden Dienstnamen, um einen VPC-Endpunkt für AWS Payment Cryptography zu erstellen:
```
com.amazonaws.region.payment-cryptography.controlplane
```
```
com.amazonaws.region.payment-cryptography.dataplane
```
In der Region USA West (Oregon) (`us-west-2`) wären die Dienstnamen beispielsweise:
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
Um die Verwendung des VPC-Endpunkts zu vereinfachen, können Sie einen [privaten DNS-Namen](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) für Ihren VPC-Endpunkt aktivieren. Wenn Sie die Option „**DNS-Namen aktivieren**“ auswählen, wird der standardmäßige DNS-Hostname für AWS Payment Cryptography zu Ihrem VPC-Endpunkt aufgelöst. `https://controlplane.payment-cryptography.us-west-2.amazonaws.com` würde beispielsweise in einen VPC-Endpunkt aufgelöst, der mit dem Servicenamen `com.amazonaws.us-west-2.payment-cryptography.controlplane` verbunden ist.
Diese Option vereinfacht die Verwendung des VPC-Endpunkts. Der AWS SDKs und AWS CLI verwendet standardmäßig den standardmäßigen DNS-Hostnamen für AWS Payment Cryptography, sodass Sie die VPC-Endpunkt-URL in Anwendungen und Befehlen nicht angeben müssen.
Weitere Informationen finden Sie unter [Zugriff auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) im *AWS PrivateLink -Leitfaden*.
## Verbindung zu einem VPC-Endpunkt für AWS Payment Cryptography herstellen
Sie können über den VPC-Endpunkt eine Verbindung zu AWS Payment Cryptography herstellen, indem Sie ein AWS SDK, das AWS CLI oder, verwenden. AWS -Tools für PowerShell Um den VPC-Endpunkt anzugeben, verwenden Sie seinen DNS-Namen.
Dieser [list-keys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html)-Befehl verwendet zur Angabe des VPC-Endpunkts z. B. den Parameter `endpoint-url`. Wenn Sie einen solchen Befehl verwenden möchten, ersetzen Sie die Beispiels-ID des VPC-Endpunkts durch eine ID in Ihrem Konto.
```
$ aws payment-cryptography list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
Wenn Sie beim Erstellen Ihres VPC-Endpunkts private Hostnamen aktiviert waren, müssen Sie die URL des Endpunkts in Ihren CLI-Befehlen oder in Ihrer Anwendungskonfiguration angeben. Der standardmäßige DNS-Hostname für AWS Payment Cryptography wird zu Ihrem VPC-Endpunkt aufgelöst. AWS CLI Und SDKs verwenden Sie standardmäßig diesen Hostnamen, sodass Sie den VPC-Endpunkt verwenden können, um eine Verbindung zu einem regionalen AWS Payment Cryptography-Endpunkt herzustellen, ohne etwas an Ihren Skripten und Anwendungen zu ändern.
Zur Verwendung privater Hostnamen müssen die Attribute `enableDnsHostnames` und `enableDnsSupport` Ihrer VPC auf `true` eingestellt sein. Verwenden Sie den Vorgang, um diese Attribute festzulegen. [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) Details dazu finden Sie unter [Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) im *Amazon-VPC-Benutzerhandbuch*.
## Steuern des Zugriffs auf einen VPC-Endpunkt
Um den Zugriff auf Ihren VPC-Endpunkt für AWS Payment Cryptography zu kontrollieren, fügen Sie *VPC VPC-Endpunkt eine VPC-Endpunktrichtlinie* hinzu. Die Endpunktrichtlinie legt fest, ob Principals den VPC-Endpunkt verwenden können, um AWS Zahlungskryptografieoperationen mit bestimmten AWS Zahlungskryptografie-Ressourcen aufzurufen.
Sie können beim Erstellen des Endpunkts eine VPC-Endpunktrichtlinie erstellen und die VPC-Endpunktrichtlinie jederzeit ändern. Verwenden Sie die VPC-Managementkonsole oder die [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)Operationen [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)oder. Sie können eine VPC-Endpunktrichtlinie auch [mithilfe einer AWS CloudFormation Vorlage](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) erstellen und ändern. Hilfe zur Verwendung der VPC-Managementkonsole finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) und [Ändern eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) im *AWS PrivateLink -Leitfaden*.
Hilfe beim Schreiben und Formatieren eines JSON-Richtliniendokuments finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Weitere Informationen über VPC-Endpunktrichtlinien](#vpce-policy-about)
+ [Standard-VPC-Endpunktrichtlinie](#vpce-default-policy)
+ [Erstellen einer VPC-Endpunktrichtlinie](#vpce-policy-create)
+ [Anzeigen einer VPC-Endpunktrichtlinie](#vpce-policy-get)
### Weitere Informationen über VPC-Endpunktrichtlinien
Damit eine AWS Zahlungskryptografieanfrage, die einen VPC-Endpunkt verwendet, erfolgreich ist, benötigt der Principal Berechtigungen aus zwei Quellen:
+ Eine [identitätsbasierte Richtlinie](security_iam_id-based-policy-examples.md) muss dem Prinzipal die Erlaubnis erteilen, den Vorgang für die Ressource (AWS Payment Cryptography Keys oder Alias) aufzurufen.
+ Eine VPC-Endpunktrichtlinie muss dem Prinzipal die Berechtigung erteilen, den Endpunkt für die Anforderung zu verwenden.
Beispielsweise kann eine Schlüsselrichtlinie einem Prinzipal die Erlaubnis erteilen, [Decrypt](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) für einen bestimmten AWS Schlüssel zur Zahlungskryptografie aufzurufen. Die VPC-Endpunktrichtlinie erlaubt es diesem Principal jedoch möglicherweise nicht, diese AWS Payment Cryptography Keys mithilfe des Endpunkts aufzurufen`Decrypt`.
Oder eine VPC-Endpunktrichtlinie könnte es einem Principal ermöglichen, den Endpunkt zu verwenden, um bestimmte AWS Payment Cryptography Keys aufzurufen [StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html). Wenn der Principal jedoch nicht über die in einer IAM-Richtlinie festgelegten Berechtigungen verfügt, schlägt die Anfrage fehl.
### Standard-VPC-Endpunktrichtlinie
Jeder VPC-Endpunkt verfügt über eine VPC-Endpunktrichtlinie. Sie müssen die Richtlinie jedoch nicht angeben. Wenn Sie keine Richtlinie angeben, erlaubt die standardmäßige Endpunktrichtlinie alle Operationen aller Prinzipale auf allen Ressourcen über den Endpunkt.
Für AWS Zahlungskryptografie-Ressourcen muss der Prinzipal jedoch auch die Erlaubnis haben, den Vorgang über eine [IAM-Richtlinie](security_iam_id-based-policy-examples.md) aufzurufen. Daher besagt die Standardrichtlinie in der Praxis, dass, wenn ein Prinzipal über die Berechtigung zum Aufrufen einer Operation für eine Ressource verfügt, diese auch mithilfe des Endpunkts aufrufen kann.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Damit Prinzipale den VPC-Endpunkt nur für eine Teilmenge ihrer zulässigen Operationen verwenden können, [erstellen oder aktualisieren Sie die VPC-Endpunktrichtlinie](#vpce-policy-create).
### Erstellen einer VPC-Endpunktrichtlinie
Eine VPC-Endpunktrichtlinie bestimmt, ob ein Prinzipal die Berechtigung hat, den VPC-Endpunkt zum Ausführen von Operationen auf einer Ressource zu verwenden. [Für AWS Zahlungskryptografie-Ressourcen muss der Principal außerdem über die Erlaubnis verfügen, die Operationen anhand einer IAM-Richtlinie auszuführen.](security_iam_id-based-policy-examples.md)
Für jede VPC-Endpunktrichtlinie sind die folgenden Elemente erforderlich:
+ Der Prinzipal, der die Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
Die Richtlinienanweisung gibt den VPC-Endpunkt nicht an. Stattdessen gilt sie für jeden VPC-Endpunkt, dem die Richtlinie angefügt ist. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine VPC-Endpunktrichtlinie für AWS Payment Cryptography. Wenn diese Richtlinie an einen VPC-Endpunkt angehängt ist, ermöglicht `ExampleUser` sie die Verwendung des VPC-Endpunkts, um die angegebenen Operationen mit den angegebenen AWS Zahlungskryptografie-Schlüsseln aufzurufen. Bevor Sie eine Richtlinie wie diese verwenden, ersetzen Sie den Beispielprinzipal und die [Schlüssel-ID](concepts.md#concepts.key-identifer) durch gültige Werte aus Ihrem Konto.
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
}
]
}
```
AWS CloudTrail protokolliert alle Operationen, die den VPC-Endpunkt verwenden. Ihre CloudTrail Protokolle enthalten jedoch keine Vorgänge, die von Prinzipalen in anderen Konten angefordert wurden, oder Vorgänge für AWS Zahlungskryptografie-Schlüssel in anderen Konten.
Daher möchten Sie möglicherweise eine VPC-Endpunktrichtlinie erstellen, die verhindert, dass Prinzipale in externen Konten den VPC-Endpunkt verwenden, um AWS Zahlungskryptografievorgänge für Schlüssel im lokalen Konto aufzurufen.
Im folgenden Beispiel wird der PrincipalAccount globale Bedingungsschlüssel [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) verwendet, um allen Prinzipalen den Zugriff auf alle Vorgänge mit allen AWS Payment Cryptography Keys zu verweigern, sofern sich der Principal nicht im lokalen Konto befindet. Bevor Sie eine Richtlinie wie diese verwenden, ersetzen Sie die Beispiel-Konto-ID durch eine gültige.
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
### Anzeigen einer VPC-Endpunktrichtlinie
Um die VPC-Endpunktrichtlinie für einen Endpunkt anzuzeigen, verwenden Sie die [VPC-Managementkonsole](https://console.aws.amazon.com/vpc/) oder den [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)Vorgang.
Mit dem folgenden AWS CLI Befehl wird die Richtlinie für den Endpunkt mit der angegebenen VPC-Endpunkt-ID abgerufen.
Bevor Sie diesen Befehl ausführen, ersetzen Sie die Beispiel-Endpunkt-ID durch eine gültige aus Ihrem Konto.
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpce-1234abcdf5678c90a`].[PolicyDocument]'
--output text
```
## Verwenden eines VPC-Endpunkts in einer Richtlinienanweisung
Sie können den Zugriff auf Ressourcen und Vorgänge im Bereich AWS Payment Cryptography kontrollieren, wenn die Anfrage von einer VPC kommt oder einen VPC-Endpunkt verwendet. [Verwenden Sie dazu eine IAM-Richtlinie](security_iam_id-based-policy-examples.md)
+ Verwenden Sie den `aws:sourceVpce`-Bedingungsschlüssel zum Erteilen oder Beschränken des Zugriffs anhand des VPC-Endpunkts.
+ Verwenden Sie den `aws:sourceVpc`-Bedingungsschlüssel zum Erteilen oder Beschränken des Zugriffs anhand des VPC, auf der der private Endpunkt gehostet wird.
**Anmerkung**
Der `aws:sourceIP` Bedingungsschlüssel ist nicht wirksam, wenn die Anfrage von einem [Amazon VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) kommt. Um die Anforderungen an einen VPC-Endpunkt zu beschränken, verwenden Sie die Bedingungsschlüssel `aws:sourceVpce` oder `aws:sourceVpc`. Weitere Informationen finden Sie unter [Identity and Access Management für VPC-Endpunkte und VPC-Endpunkt-Services](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) im *AWS PrivateLink -Leitfaden*.
Sie können diese globalen Bedingungsschlüssel verwenden, um den Zugriff auf AWS Payment Cryptography Keys und Aliase zu kontrollieren. Solche [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)Operationen hängen nicht von einer bestimmten Ressource ab.
Die folgende Beispielschlüsselrichtlinie ermöglicht es einem Benutzer beispielsweise, bestimmte kryptografische Operationen mit AWS Zahlungskryptografie-Schlüsseln nur dann durchzuführen, wenn die Anfrage den angegebenen VPC-Endpunkt verwendet, wodurch der Zugriff sowohl über das Internet als auch über AWS PrivateLink Verbindungen (falls eingerichtet) blockiert wird. Wenn ein Benutzer eine Anfrage an AWS Payment Cryptography stellt, wird die VPC-Endpunkt-ID in der Anfrage mit dem `aws:sourceVpce` Bedingungsschlüsselwert in der Richtlinie verglichen. Wenn sie nicht übereinstimmen, wird die Anforderung abgelehnt.
Um eine Richtlinie wie diese zu verwenden, ersetzen Sie die AWS-Konto Platzhalter-ID und den VPC-Endpunkt IDs durch gültige Werte für Ihr Konto.
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
Sie können den `aws:sourceVpc` Bedingungsschlüssel auch verwenden, um den Zugriff auf Ihre AWS Payment Cryptography Keys basierend auf der VPC, in der sich der VPC-Endpunkt befindet, einzuschränken.
Das folgende Beispiel für eine Schlüsselrichtlinie erlaubt Befehle, die die AWS Payment Cryptography Keys verwalten, nur dann, wenn sie stammen. `vpc-12345678` Darüber hinaus sind Befehle, die AWS Payment Cryptography Keys für kryptografische Operationen verwenden, nur zulässig, wenn sie von `vpc-2b2b2b2b` Sie verwenden eine solche Richtlinie wie diese möglicherweise, wenn eine Anwendung in einer VPC ausgeführt wird, aber eine zweite, isolierte VPC für die Verwaltungsfunktionen genutzt wird.
Um eine Richtlinie wie diese zu verwenden, ersetzen Sie die AWS-Konto Platzhalter-ID und den VPC-Endpunkt IDs durch gültige Werte für Ihr Konto.
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFromVPC12345678",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## Protokollieren des VPC-Endpunkts
AWS CloudTrail protokolliert alle Operationen, die den VPC-Endpunkt verwenden. Wenn eine Anfrage an AWS Payment Cryptography einen VPC-Endpunkt verwendet, erscheint die VPC-Endpunkt-ID im [AWS CloudTrail Protokolleintrag](monitoring-cloudtrail.md), der die Anfrage aufzeichnet. Sie können die Endpunkt-ID verwenden, um die Nutzung Ihres AWS Payment Cryptography VPC-Endpunkts zu überprüfen.
Um Ihre VPC zu schützen, werden Anfragen, die durch eine [VPC-Endpunktrichtlinie](#vpce-policy) abgelehnt wurden, aber andernfalls zugelassen worden wären, nicht aufgezeichnet. [AWS CloudTrail](monitoring-cloudtrail.md)
Dieser Beispiel-Protokolleintrag zeichnet z. B. eine [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html)-Anforderung auf, die den VPC-Endpunkt genutzt hat. Das Feld `vpcEndpointId` erscheint am Ende des Protokolleintrags.
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```
# Verwenden von Hybrid-Post-Quantum-TLS
AWS Payment Cryptography und viele andere Dienste unterstützen für das Netzwerkverschlüsselungsprotokoll Transport Layer Security (TLS) eine hybride Option für den Austausch von Schlüsseln nach dem Quantenverfahren. Sie können diese TLS-Option verwenden, wenn Sie eine Verbindung zu API-Endpunkten herstellen oder wenn Sie AWS SDKs verwenden. Diese optionalen Hybrid-Post-Quantum-Schlüsselaustauschfunktionen sind mindestens so sicher wie die heute verwendete TLS-Verschlüsselung und bieten wahrscheinlich zusätzliche langfristige Sicherheitsvorteile.
Die Daten, die Sie an aktivierte Dienste senden, sind bei der Übertragung durch die Verschlüsselung geschützt, die durch eine Transport Layer Security (TLS) -Verbindung bereitgestellt wird. Die klassischen Verschlüsselungssammlungen, die auf RSA und ECC basieren und die AWS Payment Cryptography für TLS-Sitzungen unterstützt, machen Brute-Force-Angriffe auf die wichtigsten Austauschmechanismen mit der aktuellen Technologie unmöglich. Wenn jedoch in future groß angelegte oder kryptografisch relevante Quantencomputer (CRQC) praktikabel werden, werden die bestehenden TLS-Schlüsselaustauschmechanismen anfällig für diese Angriffe sein. Es ist möglich, dass Angreifer jetzt damit beginnen, verschlüsselte Daten zu sammeln, in der Hoffnung, dass sie sie in future entschlüsseln können (Harvest now, decrypt later). Wenn Sie Anwendungen entwickeln, die auf der langfristigen Vertraulichkeit der Daten beruhen, die über eine TLS-Verbindung übertragen werden, sollten Sie einen Plan zur Umstellung auf Post-Quanten-Kryptografie in Betracht ziehen, bevor große Quantencomputer für den Einsatz verfügbar sind. AWS arbeitet daran, sich auf diese future vorzubereiten, und wir möchten, dass auch Sie gut vorbereitet sind.
![\[Ein Gegner, der zuvor eine TLS-Sitzung aufgezeichnet hat. Jahre später, wenn der Angreifer über ein CRQC verfügt, kann der Angreifer zunächst den Sitzungsschlüssel wiederherstellen, indem er den klassischen Schlüsselaustausch mithilfe des CRQC unterbricht. Der Angreifer kann die Daten dann mithilfe des entdeckten Sitzungsschlüssels entschlüsseln. Die zuvor übertragenen Daten sind, obwohl sie immer noch wertvoll sind, jetzt kompromittiert.\]](http://docs.aws.amazon.com/de_de/payment-cryptography/latest/userguide/images/pqtls-risk2.png)
*Um heute verschlüsselte Daten vor möglichen future Angriffen zu schützen, beteiligt AWS sich die Kryptografie-Community an der Entwicklung quantenresistenter oder Post-Quanten-Algorithmen.* AWS hat *hybride* Chiffrier-Suites für den Postquanten-Schlüsselaustausch implementiert, die klassische und Post-Quantum-Elemente kombinieren, um sicherzustellen, dass Ihre TLS-Verbindung mindestens so stark ist wie bei klassischen Verschlüsselungssammlungen.
Diese Hybrid-Verschlüsselungssammlungen können für Ihre Produktions-Workloads verwendet werden, wenn Sie aktuelle Versionen von AWS verwenden. SDKs Weitere Informationen zu enable/disable diesem Verhalten finden Sie unter [Aktivierung von hybridem Post-Quantum-TLS](pqtls-details.md)
![\[Eine TLS-Sitzung, die sowohl mit der klassischen Schlüsselvereinbarung als auch mit einer Post-Quantum-Schlüsselvereinbarung gesichert ist. Ein Gegner kann heute den klassischen Teil der Schlüsselvereinbarung nicht brechen. Wenn der Angreifer die Daten aufzeichnet und versucht, sie in future mit einem CRQC zu entschlüsseln, schützt die Post-Quantum-Key-Vereinbarung den Sitzungsschlüssel. Somit bleiben die heute übertragenen Daten auch in future vor Entdeckung sicher. Aus diesem Grund ist hybrides Post-Quantum-TLS heute wichtig.\]](http://docs.aws.amazon.com/de_de/payment-cryptography/latest/userguide/images/pqtls-mitigation.png)
## Über den Hybrid-Post-Quantum-Schlüsselaustausch in TLS
[Bei den verwendeten Algorithmen handelt es sich AWS um einen *Hybrid*, der [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH), einen klassischen Schlüsselaustauschalgorithmus, der heute in TLS verwendet wird, mit [Module-Lattice-Based Key-Encapsulation Mechanism](https://csrc.nist.gov/pubs/fips/203/final) (ML-KEM) kombiniert, einem Public-Key-Verschlüsselungs- und Schlüsselerstellungsalgorithmus, den das National Institute for Standards and Technology (NIST) als seinen ersten Standardalgorithmus nach der Quantenvereinbarung bezeichnet hat.](https://csrc.nist.gov/pubs/fips/203/final) Dieser Hybrid verwendet jeden der Algorithmen unabhängig, um einen Schlüssel zu generieren. Dann kombiniert es die beiden Schlüssel kryptografisch.
## Erfahren Sie mehr über PQC
Weitere Informationen zum Post-Quantum-Kryptographie-Projekt am National Institute for Standards and Technology (NIST) finden Sie unter [Post-Quantum-Kryptographie](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).
Informationen zur Standardisierung der Post-Quantum-Kryptografie durch NIST finden Sie unter [Standardisierung der Post-Quantum-Kryptografie](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization).
# Aktivierung von hybridem Post-Quantum-TLS
AWS SDKs und die Tools verfügen über kryptografische Funktionen und Konfigurationen, die sich je nach Sprache und Laufzeit unterscheiden. Es gibt drei Möglichkeiten, wie ein AWS-SDK oder -Tool derzeit PQ-TLS-Unterstützung bietet:
**Topics**
+ [SDKs wobei PQ TLS standardmäßig aktiviert ist](#pq-tls-default)
+ [Melden Sie sich für die PQ-TLS-Unterstützung an](#pq-tls-opt-in)
+ [SDKs die auf System OpenSSL angewiesen sind](#pq-tls-open-ssl)
+ [AWS SDKs und Tools, die keine Unterstützung von PQ TLS planen](#pq-tls-nosupport)
## SDKs wobei PQ TLS standardmäßig aktiviert ist
**Anmerkung**
Seit dem 6. November 2025 verwenden das AWS-SDK und die zugrunde liegenden CRT-Bibliotheken für macOS und Windows Systembibliotheken für TLS, sodass die PQ-TLS-Funktionen auf diesen Plattformen im Allgemeinen durch die Unterstützung auf Systemebene bestimmt werden.
### AWS SDK for Go
Das AWS SDK for Go verwendet Golangs eigene TLS-Implementierung, die in der Standardbibliothek bereitgestellt wird. Golang unterstützt und bevorzugt PQ TLS ab Version 1.24, sodass Benutzer von AWS SDK for Go PQ TLS aktivieren können, indem sie einfach Golang auf Version 1.24 aktualisieren
### AWS-SDK für JavaScript (Browser)
Das AWS-SDK für JavaScript (Browser) verwendet den TLS-Stack des Browsers, sodass das SDK PQ-TLS aushandelt, wenn die Browser-Laufzeit dies unterstützt und bevorzugt. Firefox hat die Unterstützung für PQ TLS in Version 132.0 eingeführt. Chrome kündigte die Unterstützung für PQ TLS in Version 131 an. Edge unterstützt Opt-in-PQ TLS in Version 120 für Desktop und Version 140 für Android.
### AWS SDK for Node.js
Ab Node.js v22.20 (LTS) und v24.9.0 verknüpft und bündelt Node.js OpenSSL 3.5 statisch. Das bedeutet, dass PQ TLS für diese und nachfolgende Versionen standardmäßig aktiviert und bevorzugt ist.
### AWS-SDK für Kotlin
Das Kotlin SDK unterstützt und bevorzugt PQ TLS unter Linux ab Version 1.5.78. Da das AWS-SDK für den CRT-basierten Client von Kotlin auf Systembibliotheken für TLS auf macOS und Windows basiert, hängt die Unterstützung für PQ TLS von diesen zugrunde liegenden Systembibliotheken ab.
### AWS-SDK für Rust
Das AWS-SDK für Rust verteilt unterschiedliche Pakete (im Rust-Ökosystem als „Crates“ bezeichnet) für jeden Service-Client. Diese werden alle in einem konsolidierten GitHub Repository verwaltet, aber jeder Service-Client folgt seiner eigenen Version und seinem eigenen Release-Rhythmus. Das konsolidierte SDK hat am 29.08.25 die PQ-TLS-Präferenz veröffentlicht, sodass jede einzelne Service Client-Version, die nach diesem Datum veröffentlicht wird, PQ TLS standardmäßig unterstützt und bevorzugt.
Sie können die Mindestversion, die PQ TLS für einen bestimmten Service Client unterstützt, ermitteln, indem Sie zur entsprechenden crates.io-Versions-URL navigieren ( AWS Payment Cryptography's ist beispielsweise [hier](https://crates.io/crates/aws-sdk-paymentcryptography/versions)) und die erste Version suchen, die nach dem 29. August 25 veröffentlicht wurde. Für jede Service Client-Version, die nach dem 29. August 25 veröffentlicht wird, ist PQ TLS standardmäßig aktiviert und bevorzugt.
## Melden Sie sich für die PQ-TLS-Unterstützung an
### AWS SDK für C\$1\$1
Standardmäßig verwendet das C\$1\$1-SDK plattformnative Clients wie libcurl und. WinHttp Libcurl stützt sich im Allgemeinen auf System-OpenSSL für TLS, sodass PQ TLS standardmäßig nur aktiviert ist, wenn System-OpenSSL ≥ v3.5 ist. Sie können diese Standardeinstellung in C\$1\$1 SDK v1.11.673 oder höher außer Kraft setzen und sich für die Option entscheiden, die PQ TLS standardmäßig unterstützt und aktiviert. AwsCrtHttpClient
[Hinweise zur Entwicklung von Opt-In PQ TLS Mit diesem Skript können Sie die CRT-Abhängigkeiten des SDK abrufen.](https://github.com/aws/aws-sdk-cpp/blob/main/prefetch_crt_dependency.sh) Das Erstellen des SDK aus dem Quellcode wird [hier und [hier](https://github.com/aws/aws-sdk-cpp/tree/main?tab=readme-ov-file#building-from-source)](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/sdk-from-source.html) beschrieben. Beachten Sie jedoch, dass Sie möglicherweise einige zusätzliche Flags benötigen: CMake
```
-DUSE_CRT_HTTP_CLIENT=ON \
-DUSE_TLS_V1_2=OFF \
-DUSE_TLS_V1_3=ON \
-DUSE_OPENSSL=OFF \
```
### AWS SDK für Java
Ab Version 2 bietet AWS SDK for Java einen AWS Common Runtime (AWS CRT) -HTTP-Client, der für die Ausführung von PQ-TLS konfiguriert werden kann. Ab Version 2.35.11 AwsCrtHttpClient aktiviert und bevorzugt der standardmäßig PQ TLS, unabhängig davon, wo er verwendet wird.
## SDKs die auf System OpenSSL angewiesen sind
Verschiedene AWS SDKs und Tools hängen von der libcrypto/libssl TLS-Bibliothek des Systems ab. Die am häufigsten verwendete Systembibliothek ist OpenSSL. OpenSSL hat die PQ-TLS-Unterstützung in Version 3.5 aktiviert. Die einfachste Möglichkeit, diese SDKs und Tools für PQ TLS zu konfigurieren, besteht darin, sie auf einer Betriebssystemdistribution zu verwenden, auf der mindestens OpenSSL 3.5 installiert ist.
Sie können einen Docker-Container auch so konfigurieren, dass er OpenSSL 3.5 verwendet, um PQ TLS auf jedem System zu aktivieren, das Docker unterstützt. Ein Beispiel für die Einrichtung für Python finden Sie unter Post-Quantum-TLS in Python.
### AWS CLI
PQ-TLS-Unterstützung mit dem [AWS-CLI-Installationsprogramm](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) ist in Kürze verfügbar. Zur sofortigen Aktivierung können Sie alternative Installationsprogramme für die AWS-CLI verwenden, die je nach Betriebssystem variieren, und PQ TLS aktivieren.
Installieren Sie für macOS die AWS-CLI über [Homebrew](https://brew.sh/) und stellen Sie sicher, dass Ihr von Homebrew angebotenes OpenSSL auf Version 3.5\$1 aktualisiert wurde. Sie können dies mit „brew install openssl @3 .6“ tun und mit „brew list \$1 grep openssl“ validieren.
Für Ubuntu oder Debian Linux: Stellen Sie sicher, dass in der von Ihnen verwendeten Linux-Distribution OpenSSL 3.5\$1 als System-OpenSSL installiert ist. Installieren Sie dann die AWS-CLI mit Apt oder [PyPI](https://pypi.org/project/awscliv2/). Unter diesen Voraussetzungen wird die von Apt oder PyPI angebotene AWS-CLI so konfiguriert, dass sie PQ-TLS aushandelt. step-by-step[Anweisungen zur Validierung der Installation finden Sie im [Github-Repository](https://github.com/aws-samples/sample-post-quantum-tls-python/) und im zugehörigen Blogbeitrag.](https://aws.amazon.com/blogs/security/post-quantum-tls-in-python/)
### AWS SDK für PHP
Das AWS SDK for PHP basiert auf dem System libssl/libcrypto. Um PQ TLS zu verwenden, verwenden Sie dieses SDK auf einer Betriebssystemdistribution, auf der mindestens OpenSSL 3.5 installiert ist.
### AWS SDK für Python (Boto3)
Das AWS-SDK SDK for Python (Boto3) basiert auf dem System libssl/libcrypto. Um PQ TLS zu verwenden, verwenden Sie dieses SDK auf einer Betriebssystemdistribution, auf der mindestens OpenSSL 3.5 installiert ist.
### AWS SDK für Ruby
Das AWS-SDK SDK for Ruby basiert auf dem System libssl/libcrypto. Um PQ TLS zu verwenden, verwenden Sie dieses SDK auf einer Betriebssystemdistribution, auf der mindestens OpenSSL 3.5 installiert ist.
## AWS SDKs und Tools, die keine Unterstützung von PQ TLS planen
Derzeit ist nicht geplant, die folgenden Sprachen SDKs und Tools zu unterstützen:
+ AWS SDK für .NET
+ AWS-SDK für Swift
+ AWS-Tools für Windows PowerShell
# Bewährte Sicherheitsmethoden für AWS Zahlungskryptografie
AWS Die Zahlungskryptografie unterstützt viele Sicherheitsfunktionen, die entweder integriert sind oder die Sie optional implementieren können, um den Schutz Ihrer Verschlüsselungsschlüssel zu verbessern und sicherzustellen, dass sie für den vorgesehenen Zweck verwendet werden, darunter [IAM-Richtlinien](security_iam_service-with-iam.md), eine umfangreiche Reihe von Richtlinienbedingungsschlüsseln zur Verfeinerung Ihrer Schlüsselrichtlinien und IAM-Richtlinien sowie die integrierte Durchsetzung von PCI-PIN-Regeln in Bezug auf Schlüsselblöcke.
**Wichtig**
Die bereitgestellten allgemeinen Richtlinien stellen keine vollständige Sicherheitslösung dar. Da nicht alle bewährten Methoden für alle Situationen geeignet sind, sollten diese nicht vorschriftig sein.
+ **Verwendung und Verwendungsarten von Schlüsseln**: Bei der AWS Zahlungskryptografie werden die in der ANSI X9 TR 31-2018 Interoperable Secure Key Exchange Key Block Specification beschriebenen Beschränkungen für die Schlüsselverwendung und den Verwendungsmodus eingehalten und durchgesetzt, und sie stehen im Einklang mit der PCI-PIN-Sicherheitsanforderung 18-3. Dadurch wird die Möglichkeit eingeschränkt, einen einzelnen Schlüssel für mehrere Zwecke zu verwenden, und die Schlüsselmetadaten (z. B. zulässige Operationen) werden kryptografisch an das Schlüsselmaterial selbst gebunden. AWS Die Zahlungskryptografie erzwingt diese Einschränkungen automatisch, z. B. dass ein Schlüsselverschlüsselungsschlüssel (TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY) nicht auch für die Datenentschlüsselung verwendet werden kann. Weitere Details finden Sie unter [Grundlegendes zu den Schlüsselattributen des Payment Cryptography AWS Keys](keys-validattributes.md).
+ **Beschränken Sie die gemeinsame Nutzung von symmetrischem Schlüsselmaterial**: Teilen Sie symmetrisches Schlüsselmaterial (wie PIN-Verschlüsselungsschlüssel oder Schlüsselverschlüsselungsschlüssel) nur mit höchstens einer anderen Entität. Wenn vertrauliches Material an mehrere Entitäten oder Partner übertragen werden muss, erstellen Sie zusätzliche Schlüssel. AWS Bei der Zahlungskryptografie werden symmetrisches Schlüsselmaterial oder asymmetrisches privates Schlüsselmaterial niemals unverschlüsselt offengelegt.
+ **Verwenden Sie Aliase oder Tags, um Schlüssel bestimmten Anwendungsfällen oder Partnern zuzuordnen: Aliase können verwendet werden, um auf einfache Weise den Anwendungsfall zu kennzeichnen, der mit** einem Schlüssel verknüpft ist, z. B. Alias/BIN\$112345\$1CVK, um einen Kartenverifizierungsschlüssel zu bezeichnen, der mit BIN 12345 verknüpft ist. Um mehr Flexibilität zu bieten, sollten Sie in Erwägung ziehen, Tags wie bin=12345, use\$1case=acquire, country=us, partner=foo zu erstellen. Aliase und Tags können auch verwendet werden, um den Zugriff einzuschränken, z. B. um Zugriffskontrollen zwischen ausstellenden und akquirierenden Anwendungsfällen durchzusetzen.
+ **Praktischer Zugriff mit den geringsten** Rechten: IAM kann verwendet werden, um den Produktionszugriff auf Systeme und nicht auf einzelne Personen zu beschränken. So kann beispielsweise verhindert werden, dass einzelne Benutzer Schlüssel erstellen oder kryptografische Operationen ausführen. IAM kann auch verwendet werden, um den Zugriff auf Befehle und Schlüssel einzuschränken, was für Ihren Anwendungsfall möglicherweise nicht zutrifft, z. B. die Möglichkeit, Pins für einen Acquirer zu generieren oder zu validieren. Eine weitere Möglichkeit, den Zugriff mit den geringsten Rechten zu nutzen, besteht darin, sensible Vorgänge (wie den Schlüsselimport) auf bestimmte Dienstkonten zu beschränken. Beispiele finden Sie unter [AWS Beispiele für identitätsbasierte Richtlinien zur Zahlungskryptografie](security_iam_id-based-policy-examples.md).
**Informationen finden Sie auch unter:**
+ [Identitäts- und Zugriffsmanagement für AWS Zahlungskryptografie](security-iam.md)
+ [Bewährte Methoden für die Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.