Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschutz in AWS Secrets Manager
Das Modell der geteilten Verantwortung
Wir empfehlen aus Gründen des Datenschutzes, dass Sie AWS-Konto-Anmeldeinformationen schützen und die Benutzerkonten jeweils mit AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:
-
Verwenden Sie für jedes Konto die Multi-Faktor Authentifizierung (MFA).
-
Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Secrets Manager unterstützt TLS 1.2 und 1.3 in allen Regionen. Außerdem unterstützt Secrets Manager eine hybride Post-Quantum-Schlüsselaustauschoption für das Netzwerkverschlüsselungsprotokoll TLS (PQTLS).
-
Signieren Sie programmgesteuerte Anfragen an Secrets Manager mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die mit einem IAM-Prinzipal verknüpft sind. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anfragen zu signieren.
-
Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Siehe AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail.
-
Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Siehe AWS Secrets Manager Endpunkte.
-
Wenn Sie über die AWS CLI auf Secrets Manager zugreifen, Reduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer AWS Secrets Manager Geheimnisse verbunden sind.
Verschlüsselung im Ruhezustand
Secrets Manager verwendet Verschlüsselung über AWS Key Management Service (AWS KMS), um die Vertraulichkeit von Daten im Ruhezustand zu schützen. AWS KMS bietet einen Service für die Schlüsselspeicherung und Verschlüsselung, der von vielen AWS-Services verwendet wird. Jedes Secret in Secrets Manager ist mit einem eindeutigen Datenschlüssel verschlüsselt. Jeder Datenschlüssel wird durch einen KMS-Schlüssel geschützt. Sie können die Standardverschlüsselung mit dem Secrets Manager Von AWS verwalteter Schlüssel für das Konto verwenden oder einen eigenen kundenverwalteten Schlüssel in AWS KMS erstellen. Durch die Verwendung eines vom Kunden verwalteten Schlüssels erhalten Sie detailliertere Autorisierungskontrollen für Ihre KMS-Schlüsselaktivitäten. Weitere Informationen finden Sie unter Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager.
Verschlüsselung während der Übertragung
Secrets Manager bietet für die Verschlüsselung von Daten während der Übertragung sichere und private Endpunkte. Die sicheren und privaten Endpunkte ermöglichen es AWS, die Integrität von API-Anfragen an Secrets Manager zu schützen. AWS erfordert, dass API-Aufrufe vom Aufrufer mit X.509-Zertifikaten und/oder einem geheimen Secrets-Manager-Zugriffsschlüssel signiert sind. Diese Anforderung ist in der Signaturversion 4 Signaturprozess (Sigv4) festgelegt.
Wenn Sie das AWS Command Line Interface (AWS CLI) oder eine der AWS-SDKs verwenden, um Aufrufe von AWS durchzuführen, konfigurieren Sie den zu verwendenden Zugriffsschlüssel. Dann verwenden diese Tools automatisch den Zugriffsschlüssel, um die Anfragen für Sie zu signieren. Siehe Reduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer AWS Secrets Manager Geheimnisse verbunden sind.
Datenschutz für den Datenverkehr zwischen Netzwerken
AWS bietet Optionen zur Wahrung der Privatsphäre beim Weiterleiten von Datenverkehr über bekannte und private Netzwerkrouten.
- Datenverkehr zwischen Service und On-Premises-Clients und -Anwendungen
-
Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS Secrets Manager:
-
Eine AWS-Site-to-Site-VPN-Verbindung. Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN?
-
Eine AWS-Direct-Connect-Verbindung. Weitere Informationen finden Sie unter Was ist AWS Direct Connect?
-
- Datenverkehr zwischen AWS-Ressourcen in derselben Region
-
Wenn Sie den Datenverkehr zwischen Secrets Manager und API-Clients in AWS sichern wollen, richten Sie einen AWS-PrivateLink
ein, um privat auf Secrets-Manager-API-Endpunkte zuzugreifen.
Verwaltung von Verschlüsselungsschlüsseln
Wenn Secrets Manager eine neue Version der geschützten Secret-Daten verschlüsseln muss, sendet Secrets Manager eine Anfrage an AWS KMS, um einen neuen Datenschlüssel aus dem KMS-Schlüssel zu generieren. Secrets Manager verwendet diesen Datenschlüssel für die Envelope-Verschlüsselung. Secrets Manager speichert den verschlüsselten Datenschlüssel mit dem verschlüsselten Secret. Wenn das Geheimnis entschlüsselt werden muss, bittet Secrets Manager AWS KMS, den Datenschlüssel zu entschlüsseln. Anschließend verwendet Secrets Manager den entschlüsselten Datenschlüssel, um das verschlüsselte Secret zu entschlüsseln. Secrets Manager speichert den Datenschlüssel nie unverschlüsselt und entfernt ihn so schnell wie möglich aus dem Speicher. Weitere Informationen finden Sie unter Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager.
