Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Standardmäßig verschlüsselt Amazon SES alle Daten im Ruhezustand. Die standardmäßige Verschlüsselung trägt dazu bei, den betrieblichen Aufwand und die Komplexität des Datenschutzes zu reduzieren. Mithilfe der Verschlüsselung können Sie auch Mail Manager-Archive erstellen, die den strengen Verschlüsselungsvorschriften und gesetzlichen Anforderungen entsprechen.
SES bietet die folgenden Verschlüsselungsoptionen:
-
AWS eigene Schlüssel — SES verwendet diese standardmäßig. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS -eigene Schlüssel im AWS Key Management Service -Entwicklerhandbuch.
-
Vom Kunden verwaltete Schlüssel — SES unterstützt die Verwendung symmetrischer, vom Kunden verwalteter Schlüssel, die Sie erstellen, besitzen und verwalten. Da Sie die volle Kontrolle über die Verschlüsselung haben, können Sie beispielsweise folgende Aufgaben ausführen:
-
Festlegung und Pflege wichtiger Richtlinien
-
Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
-
Aktivieren und Deaktivieren wichtiger Richtlinien
-
Kryptographisches Material mit rotierendem Schlüssel
-
Hinzufügen von Tags
-
Erstellen von Schlüsselaliasen
-
Schlüssel für das Löschen von Schlüsseln planen
Um Ihren eigenen Schlüssel zu verwenden, wählen Sie bei der Erstellung Ihrer SES-Ressourcen einen vom Kunden verwalteten Schlüssel aus.
Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.
-
Anmerkung
SES aktiviert automatisch und kostenlos die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel.
Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service Preisgestaltung
Einen kundenverwalteten Schlüssel erstellen
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS Management Console, oder den AWS KMS APIs verwenden.
Einen symmetrischen kundenverwalteten Schlüssel erstellen
Folgen Sie den Schritten zum Erstellen von KMS-Schlüsseln mit symmetrischer Verschlüsselung im AWS Key Management Service Entwicklerhandbuch.
Anmerkung
Für die Archivierung muss Ihr Schlüssel die folgenden Anforderungen erfüllen:
-
Der Schlüssel muss symmetrisch sein.
-
Der wichtigste Materialursprung muss sein.
AWS_KMS -
Die Schlüsselverwendung muss sein
ENCRYPT_DECRYPT.
Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service .
Um Ihren vom Kunden verwalteten Schlüssel mit der Mail Manager-Archivierung zu verwenden, muss Ihre Schlüsselrichtlinie die folgenden API-Operationen zulassen:
-
kms: DescribeKey — Stellt dem Kunden die vom Kunden verwalteten Schlüssel bereit, die es SES ermöglichen, den Schlüssel zu validieren.
-
kms: GenerateDataKey — Ermöglicht SES die Generierung eines Datenschlüssels für die Verschlüsselung von Daten im Ruhezustand.
-
kms:Decrypt — Ermöglicht SES, gespeicherte Daten zu entschlüsseln, bevor sie an API-Clients zurückgegeben werden.
Das folgende Beispiel zeigt eine typische Schlüsselrichtlinie:
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Angeben von Berechtigungen in einer Richtlinie.
Weitere Informationen zur Problembehandlung finden Sie im AWS Key Management Service Entwicklerhandbuch unter Problembehandlung beim Schlüsselzugriff.
Angabe eines vom Kunden verwalteten Schlüssels für die Mail Manager-Archivierung
Als Alternative zur Verwendung AWS eigener Schlüssel können Sie einen vom Kunden verwalteten Schlüssel angeben. Wenn Sie ein Archiv erstellen, können Sie den Datenschlüssel angeben, indem Sie einen KMS-Schlüssel-ARN eingeben, den die Mail Manager-Archivierung verwendet, um alle Kundendaten im Archiv zu verschlüsseln.
-
KMS-Schlüssel-ARN — Eine Schlüssel-ID für einen vom AWS KMS Kunden verwalteten Schlüssel. Geben Sie eine Schlüssel-ID, einen Schlüssel-ARN, einen Alias-Namen oder einen Alias-ARN ein.
Amazon-SES-Verschlüsselungskontext
Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.
AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.
Anmerkung
Amazon SES unterstützt keine Verschlüsselungskontexte für die Archivierungserstellung. Stattdessen verwenden Sie eine IAM- oder KMS-Richtlinie. Richtlinien finden Sie Richtlinien für die Erstellung von Archiven beispielsweise weiter unten in diesem Abschnitt.
Amazon SES SES-Verschlüsselungskontext
SES verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel aws:ses:arn und der Wert die Ressource Amazon Resource Name (ARN) ist.
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}Verwenden des Verschlüsselungskontexts für die Überwachung
Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer SES-Ressource verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail.
Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als conditions verwenden, um den Zugriff auf Ihren symmetrischen, kundenverwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.
SES verwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}
}
}Richtlinien für die Erstellung von Archiven
Die folgenden Beispielrichtlinien zeigen, wie die Archivierungserstellung aktiviert wird. Die Richtlinien gelten für alle Ressourcen.
IAM-Richtlinie
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ses:CreateArchive",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com",
"kms:CallerAccount": "012345678910"
}
}
}AWS KMS Richtlinie
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},Überwachung Ihrer Verschlüsselungsschlüssel für Amazon SES
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon SES SES-Ressourcen verwenden, können Sie Amazon CloudWatch Logs verwenden AWS CloudTrail, um Anfragen zu verfolgen, an die SES sendet AWS KMS.
Die folgenden Beispiele sind AWS CloudTrail Ereignisse fürGenerateDataKey, und DescribeKey zur Überwachung von KMS-VorgängenDecrypt, die von SES aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel für Ihre Ressource aktivieren, erstellt SES einen eindeutigen Tabellenschlüssel. Es sendet eine GenerateDataKey Anfrage an AWS KMS , in der der vom AWS KMS Kunden verwaltete Schlüssel für die Ressource angegeben wird.
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel für Ihre Mail Manager-Archivressource aktivieren, wird dieser GenerateDataKey beim Verschlüsseln von Archivdaten im Ruhezustand verwendet.
Das folgende Beispielereignis zeichnet den Vorgang GenerateDataKey auf:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}Weitere Informationen
Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:
-
Weitere Informationen zu grundlegenden AWS Key Management Service -Konzepten finden Sie im AWS Key Management Service -Entwicklerhandbuch.
-
Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit AWS Key Management Service im AWS Key Management Service -Entwicklerhandbuch.
