Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsselung im Ruhezustand
Standardmäßig bietet Ihnen Amazon Managed Service for Prometheus automatisch Verschlüsselung im Ruhezustand, wobei AWS eigene Verschlüsselungsschlüssel verwendet werden.
+ **AWS eigene Schlüssel** — Amazon Managed Service for Prometheus verwendet diese Schlüssel, um Daten, die in Ihren Workspace hochgeladen wurden, automatisch zu verschlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWS -eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im *AWS Key Management Service -Entwicklerhandbuch*.
Die Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz sensibler Kundendaten, z. B. personenbezogener Daten, verbunden sind. Sie können damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.
Wenn Sie Ihren Workspace erstellen, können Sie sich alternativ dafür entscheiden, einen kundenverwalteten Schlüssel zu verwenden:
+ **Kundenverwaltete Schlüssel** – Amazon Managed Service for Prometheus unterstützt die Verwendung eines symmetrischen, kundenverwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um die Daten in Ihrem Workspace zu verschlüsseln. Da Sie die volle Kontrolle über diese Verschlüsselung haben, können Sie Aufgaben wie die folgenden ausführen:
+ Festlegung und Pflege wichtiger Richtlinien
+ Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
+ Aktivieren und Deaktivieren wichtiger Richtlinien
+ Kryptographisches Material mit rotierendem Schlüssel
+ Hinzufügen von -Tags
+ Erstellen von Schlüsselaliasen
+ Schlüssel für das Löschen von Schlüsseln planen
Weitere Informationen finden Sie unter [von Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management Service -Entwicklerhandbuch*.
Wählen Sie sorgfältig aus, ob Sie vom Kunden verwaltete Schlüssel oder AWS eigene Schlüssel verwenden möchten. Workspaces, die mit vom Kunden verwalteten Schlüsseln erstellt wurden, können später nicht mehr in die Verwendung AWS eigener Schlüssel umgewandelt werden (und umgekehrt).
**Anmerkung**
Amazon Managed Service for Prometheus aktiviert automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um Ihre Daten kostenlos zu schützen.
Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/).
Weitere Informationen zu AWS KMS finden Sie unter [Was ist AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Anmerkung**
Workspaces, die mit vom Kunden verwalteten Schlüsseln erstellt wurden, können keine von [AWS verwalteten Sammler](AMP-collector.md) für die Datenerfassung verwenden.
## So verwendet Amazon Managed Service for Prometheus Zuschüsse in AWS KMS
Amazon Managed Service for Prometheus benötigt drei [Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), um Ihren kundenverwalteten Schlüssel verwenden zu können.
Wenn Sie einen Amazon Managed Service for Prometheus Workspace erstellen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt Amazon Managed Service for Prometheus die drei Grants in Ihrem Namen, indem es Anfragen an sendet. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Grants in AWS KMS werden verwendet, um Amazon Managed Service for Prometheus Zugriff auf den KMS-Schlüssel in Ihrem Konto zu gewähren, auch wenn dieser nicht direkt in Ihrem Namen aufgerufen wird (z. B. beim Speichern von Metrikdaten, die aus einem Amazon EKS-Cluster gescrapt wurden).
Amazon Managed Service for Prometheus benötigt die Erteilung, um Ihren kundenverwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen an, um AWS KMS zu überprüfen, ob der symmetrische, vom Kunden verwaltete KMS-Schlüssel, den Sie bei der Erstellung eines Workspace angegeben haben, gültig ist.
+ Senden Sie [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt sind.
+ Senden Sie [Entschlüsselungsanfragen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zur Verschlüsselung Ihrer Daten verwendet werden können.
Amazon Managed Service for Prometheus gewährt dem AWS KMS Schlüssel drei Zuschüsse, sodass Amazon Managed Service for Prometheus den Schlüssel in Ihrem Namen verwenden kann. Sie können den Zugriff auf den Schlüssel entziehen, indem Sie die Schlüsselrichtlinie ändern, den Schlüssel deaktivieren oder die Erteilung widerrufen. Machen Sie sich mit den Konsequenzen dieser Aktionen vertraut, bevor Sie sie ausführen. Andernfalls kann es zu Datenverlusten in Ihrem Workspace kommen.
Wenn Sie den Zugriff auf eine der Erteilungen widerrufen, kann Amazon Managed Service for Prometheus mit dem kundenverwalteten Schlüssel weder auf die verschlüsselten Daten zugreifen noch neue an den Workspace gesendete Daten speichern, was sich nachteilig auf die Vorgänge auswirkt, die auf diese Daten angewiesen sind. Auf neue an den Workspace gesendete Daten kann nicht zugegriffen werden und sie können dauerhaft verloren gehen.
**Warnung**
Wenn Sie den Schlüssel deaktivieren oder den Zugriff auf Amazon Managed Service for Prometheus in der Schlüsselrichtlinie entfernen, ist der Zugriff auf die Workspace-Daten nicht mehr möglich. Auf neue Daten, die an den Workspace gesendet werden, kann nicht zugegriffen werden und sie können dauerhaft verloren gehen.
Sie können Zugriff auf die Workspace-Daten erhalten und wieder neue Daten empfangen, indem Sie den Zugriff von Amazon Managed Service for Prometheus auf den Schlüssel wiederherstellen.
Wenn Sie eine Erteilung *widerrufen*, kann sie nicht wiederhergestellt werden, und die Daten im Workspace gehen dauerhaft verloren.
## Schritt 1: Erstellen eines kundenverwalteten Schlüssels
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den, oder den verwenden. AWS-Managementkonsole AWS KMS APIs Der Schlüssel muss sich nicht in demselben Konto wie der Workspace in Amazon Managed Service for Prometheus befinden, solange Sie wie unten beschrieben über die Richtlinie den erforderlichen Zugriff gewähren.
**Einen symmetrischen kundenverwalteten Schlüssel erstellen**
Folgen Sie den Schritten zum [Erstellen eines symmetrischen kundenverwalteten Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) im *Entwicklerhandbuch zum AWS Key Management Service *.
**Schlüsselrichtlinie**
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter [Verwalten des Zugriffs auf kundenverwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) im *Entwicklerhandbuch zum AWS Key Management Service *.
In der Schlüsselrichtlinie müssen die folgenden API-Vorgänge zugelassen sein, um Ihren kundenverwalteten Schlüssel mit Ihren Workspaces in Amazon Managed Service for Prometheus zu verwenden:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: Fügt einem kundenverwalteten Schlüssel eine Erteilung hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS-Schlüssel, der den Zugriff auf die [Erteilungsoperationen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) ermöglicht, die Amazon Managed Service for Prometheus benötigt. Weitere Informationen finden Sie unter [Verwenden von Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Dadurch kann Amazon Managed Service for Prometheus folgende Aktionen ausführen:
+ `GenerateDataKey` aufrufen, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort zum Verschlüsseln verwendet wird.
+ `Decrypt` aufrufen, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`: Stellt Details zu kundenverwalteten Schlüsseln bereit, damit der Amazon Managed Service for Prometheus den Schlüssel validieren kann.
Im Folgenden sind Beispiele für Richtlinienanweisungen aufgeführt, die Sie für den Amazon Managed Service for Prometheus hinzufügen können:
```
"Statement" : [
{
"Sid" : "Allow access to Amazon Managed Service for Prometheus principal within your account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "aps.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators - not required for Amazon Managed Service for Prometheus",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
]
```
+ Weitere Informationen zum [Festlegen von Berechtigungen in einer Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements) finden Sie im *AWS Key Management Service -Entwicklerhandbuch*.
+ Weitere Informationen zur [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) finden Sie im *AWS Key Management Service -Entwicklerhandbuch*.
## Schritt 2: Angeben eines vom Kunden verwalteten Schlüssels für Amazon Managed Service for Prometheus
Wenn Sie einen Workspace erstellen, können Sie den kundenverwalteten Schlüssel angeben, indem Sie einen **KMS-Schlüssel-ARN** eingeben, den Amazon Managed Service for Prometheus verwendet, um die im Workspace gespeicherten Daten zu verschlüsseln.
## Schritt 3: Zugreifen auf Daten von anderen Diensten wie Amazon Managed Grafana
*Dieser Schritt ist optional — er ist nur erforderlich, wenn Sie von einem anderen Service aus auf Ihre Amazon Managed Service for Prometheus-Daten zugreifen müssen.*
Auf Ihre verschlüsselten Daten kann von anderen Diensten nicht zugegriffen werden, es sei denn, diese haben ebenfalls Zugriff auf den AWS KMS Schlüssel. Wenn Sie beispielsweise Amazon Managed Grafana verwenden möchten, um ein Dashboard oder eine Warnung für Ihre Daten zu erstellen, müssen Sie Amazon Managed Grafana Zugriff auf den Schlüssel gewähren.
**Um Amazon Managed Grafana Zugriff auf Ihren vom Kunden verwalteten Schlüssel zu gewähren**
1. Wählen Sie in Ihrer [Liste der Amazon Managed Grafana-Workspaces](https://console.aws.amazon.com/grafana/home?#/workspaces) den Namen für den Workspace aus, für den Sie Zugriff auf Amazon Managed Service for Prometheus haben möchten. Dies zeigt Ihnen zusammenfassende Informationen zu Ihrem Amazon Managed Grafana-Arbeitsbereich.
1. Notieren Sie sich den Namen der IAM-Rolle, die von Ihrem Workspace verwendet wird. Der Name hat das Format`AmazonGrafanaServiceRole-`. Die Konsole zeigt Ihnen den vollständigen ARN für die Rolle. Sie werden diesen Namen in einem späteren Schritt in der AWS KMS Konsole angeben.
1. Wählen Sie in Ihrer [Liste „Vom AWS KMS Kunden verwaltete Schlüssel](https://console.aws.amazon.com/kms/home?#/kme/keys)“ den vom Kunden verwalteten Schlüssel aus, den Sie bei der Erstellung Ihres Amazon Managed Service for Prometheus-Workspace verwendet haben. Dadurch wird die Seite mit den Details zur Schlüsselkonfiguration geöffnet.
1. Wählen Sie neben **Hauptbenutzer** die Schaltfläche **Hinzufügen** aus.
1. Wählen Sie aus der Namensliste die Amazon Managed Grafana-IAM-Rolle aus, die Sie oben notiert haben. Um das Auffinden zu erleichtern, können Sie auch nach dem Namen suchen.
1. Wählen **Sie Hinzufügen**, um die IAM-Rolle zur Liste der Hauptbenutzer hinzuzufügen.
Ihr Amazon Managed Grafana-Workspace kann jetzt auf die Daten in Ihrem Amazon Managed Service for Prometheus-Workspace zugreifen. Sie können den Hauptbenutzern weitere Benutzer oder Rollen hinzufügen, damit andere Dienste auf Ihren Workspace zugreifen können.
## Verschlüsselungskontext im Amazon Managed Service for Prometheus
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.
AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.
**Verschlüsselungskontext im Amazon Managed Service for Prometheus**
Amazon Managed Service for Prometheus verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel `aws:amp:arn` und der Wert der [Amazon-Ressourcenname](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) (ARN) des Workspace ist.
**Example**
```
"encryptionContext": {
"aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
}
```
**Verwenden des Verschlüsselungskontexts für die Überwachung**
Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel verwenden, um Ihre Workspace-Daten zu verschlüsseln, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der kundenverwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in [Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail](#example-custom-encryption).
**Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel**
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als `conditions` verwenden, um den Zugriff auf Ihren symmetrischen, kundenverwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.
Amazon Managed Service for Prometheus verwendet eine Einschränkung des Verschlüsselungskontextes bei Erteilungen, um den Zugriff auf den kundenverwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu steuern. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
**Example**
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen kundenverwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
}
}
}
```
## Überwachen Ihrer Verschlüsselungsschlüssel für Amazon Managed Service for Prometheus
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Managed Service for Prometheus Workspaces verwenden, können Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)oder [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden, um Anfragen nachzuverfolgen, an die Amazon Managed Service for Prometheus sendet. AWS KMS
Die folgenden Beispiele sind AWS CloudTrail Ereignisse für`CreateGrant`,`GenerateDataKey`, und `DescribeKey` zur Überwachung von KMS-Vorgängen`Decrypt`, die von Amazon Managed Service for Prometheus aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:
------
#### [ CreateGrant ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden, um Ihren Workspace zu verschlüsseln, sendet Amazon Managed Service for Prometheus in Ihrem Namen drei `CreateGrant` Anfragen, um auf den von Ihnen angegebenen KMS-Schlüssel zuzugreifen. Die von Amazon Managed Service for Prometheus erstellten Erteilungen beziehen sich nur auf die Ressource, die dem kundenverwalteten AWS KMS -Schlüssel zugeordnet ist.
Das folgende Beispielereignis veranschaulicht eine `CreateGrant`-Operation:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "aps.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "aps.region.amazonaws.com",
"operations": [
"GenerateDataKey",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "aps.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKey ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel für Ihren Workspace aktivieren, erstellt Amazon Managed Service for Prometheus einen eindeutigen Schlüssel. Es sendet eine `GenerateDataKey` Anfrage an AWS KMS , in der der vom AWS KMS Kunden verwaltete Schlüssel für die Ressource angegeben wird.
Das folgende Beispielereignis zeichnet den Vorgang `GenerateDataKey` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "aps.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Wenn eine Abfrage in einem verschlüsselten Workspace generiert wird, ruft Amazon Managed Service for Prometheus die `Decrypt`-Operation auf, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf die verschlüsselten Daten zu verwenden.
Das folgende Beispielereignis zeichnet den Vorgang `Decrypt` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "aps.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Managed Service for Prometheus überprüft anhand der `DescribeKey`-Operation, ob der kundenverwaltete AWS KMS -Schlüssel, der mit Ihrem Workspace verknüpft ist, in dem Konto und in der Region vorhanden ist.
Das folgende Beispielereignis zeichnet den Vorgang `DescribeKey` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "aps.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Weitere Informationen
Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:
+ Weitere Informationen zu grundlegenden [AWS Key Management Service -Konzepten](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) finden Sie im *AWS Key Management Service -Entwicklerhandbuch*.
+ Weitere Informationen zu [bewährten Sicherheitsmethoden für AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) finden Sie im *AWS Key Management Service Entwicklerhandbuch*.