Datenschutz in AWS Snowball Edge - AWS Snowball Edge Leitfaden für Entwickler
Schützen von Daten in der CloudSchützen von Daten auf Ihrem Gerät

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AWS Snowball Edge

AWS Snowball entspricht dem Modell der AWS gemeinsamen Verantwortung, das Vorschriften und Richtlinien für den Datenschutz beinhaltet. AWS ist verantwortlich für den Schutz der globalen Infrastruktur, die alle AWS Dienste betreibt. AWS behält die Kontrolle über die auf dieser Infrastruktur gehosteten Daten, einschließlich der Sicherheitskonfigurationen für den Umgang mit Kundeninhalten und personenbezogenen Daten. AWS Kunden und APN-Partner, die entweder als Datenverantwortliche oder als Datenverarbeiter agieren, sind für alle personenbezogenen Daten verantwortlich, die AWS Cloud sie eingeben.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS Identity and Access Management (IAM) einrichten, sodass jeder Benutzer nur die Berechtigungen erhält, die für die Erfüllung seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir empfehlen TLS 1.2 oder höher.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu sichern.

  • Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-2.

Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld Name keine sensiblen, identifizierenden Informationen wie Kontonummern von Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS Snowball oder anderen AWS Diensten arbeiten, die die Konsole, die API oder SDKs verwenden. AWS CLI AWS Alle Daten, die Sie in AWS Snowball oder andere Services eingeben, werden möglicherweise in Diagnoseprotokolle aufgenommen. Wenn Sie eine URL für einen externen Server bereitstellen, schließen Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL ein.

Weitere Informationen zum Datenschutz enthält der Blog-Beitrag AWS Shared Responsibility Model and GDPR im AWS -Sicherheitsblog.

Schützen von Daten in der Cloud

AWS Snowball schützt Ihre Daten, wenn Sie Daten in Amazon S3 importieren oder exportieren, wenn Sie einen Auftrag zur Bestellung eines Snow Family-Geräts erstellen und wenn Ihr Gerät aktualisiert wird. In den folgenden Abschnitten wird beschrieben, wie Sie Ihre Daten schützen können, wenn Sie Snowball Edge verwenden und online sind oder mit AWS der Cloud interagieren.

Verschlüsselung für Edge AWS Snowball

Wenn Sie einen Snowball Edge verwenden, um Daten in S3 zu importieren, sind alle auf ein Gerät übertragenen Daten durch SSL-Verschlüsselung über das Netzwerk geschützt. Um Daten im Ruhezustand zu schützen, verwendet AWS Snowball Edge serverseitige Verschlüsselung (SSE).

Serverseitige Verschlüsselung in Edge AWS Snowball

AWS Snowball Edge unterstützt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3). Bei der serverseitigen Verschlüsselung geht es darum, Daten im Ruhezustand zu schützen, und SSE-S3 verfügt über eine starke Multifaktor-Verschlüsselung, um Ihre Daten im Ruhezustand in Amazon S3 zu schützen. Weitere Informationen zu SSE-S3 finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3) im Amazon Simple Storage Service-Benutzerhandbuch.

Derzeit bietet AWS Snowball Edge keine serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) an. Amazon S3 S3-kompatibler Speicher auf Geräten der Snow Family bietet SSS-C für lokale Rechen- und Speicherjobs. Sie möchten diesen SSE-Typ möglicherweise jedoch zum Schutz von importierten Daten verwenden oder setzen ihn möglicherweise auch bereits für zu exportierende Daten ein. Beachten Sie in diesem Fall jedoch die folgenden Punkte:

  • Importieren —

    Wenn Sie SSE-C verwenden möchten, um die Objekte zu verschlüsseln, die Sie in Amazon S3 importiert haben, sollten Sie in Betracht ziehen, stattdessen die SSE-KMS- oder SSE-S3-Verschlüsselung zu verwenden, die als Teil der Bucket-Richtlinie dieses Buckets eingerichtet wurde. Wenn Sie jedoch SSE-C verwenden müssen, um die Objekte zu verschlüsseln, die Sie in Amazon S3 importiert haben, müssen Sie das Objekt in Ihren Bucket kopieren, um es mit SSE-C zu verschlüsseln. Ein Beispiel für einen CLI-Befehl, um dies zu erreichen, ist unten dargestellt:

    aws s3 cp s3://mybucket/object.txt s3://mybucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    or

    aws s3 cp s3://mybucket s3://mybucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • Export — Wenn Sie Objekte exportieren möchten, die mit SSE-C verschlüsselt sind, kopieren Sie diese Objekte zunächst in einen anderen Bucket, der entweder keine serverseitige Verschlüsselung hat oder für den SSE-KMS oder SSE-S3 in der Bucket-Richtlinie dieses Buckets angegeben sind.

Aktivierung von SSE-S3 für Daten, die von einem Snowball Edge in Amazon S3 importiert wurden

Verwenden Sie das folgende Verfahren in der Amazon S3-Managementkonsole, um SSE-S3 für Daten zu aktivieren, die in Amazon S3 importiert werden. Es ist keine Konfiguration im Managementkonsole für die AWS Snow-Familie oder auf dem Snowball-Gerät selbst erforderlich.

Um die SSE-S3-Verschlüsselung für die Daten zu aktivieren, die Sie in Amazon S3 importieren, legen Sie einfach die Bucket-Richtlinien für alle Buckets fest, in die Sie Daten importieren. Sie Aktualisieren die Richtlinien so, dass die Berechtigung zum Hochladen von Objekten (s3:PutObject) verweigert wird, wenn in der Upload-Anfrage kein x-amz-server-side-encryption-Header enthalten ist.

Um SSE-S3 für in Amazon S3 importierte Daten zu aktivieren

  1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste der Buckets den Bucket aus, in den Sie Daten importieren möchten.

  3. Wählen Sie Permissions (Berechtigungen).

  4. Wählen Sie Bucket Policy aus.

  5. Geben Sie im Bucket policy editor (Bucket-Richtlinieneditor) die folgende Richtlinie ein. Ersetzen Sie alle Vorkommen von YourBucket in dieser Richtlinie durch den tatsächlichen Namen Ihres Buckets.

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. Wählen Sie Speichern.

Sie haben die Konfiguration Ihres Amazon S3 S3-Buckets abgeschlossen. Wenn Ihre Daten in diesen Bucket importiert werden, werden sie durch SSE-S3 geschützt. Wiederholen Sie diese Schritte je nach Bedarf für die anderen Buckets.

AWS Key Management Service in AWS Snowball Edge

AWS Key Management Service (AWS KMS) ist ein verwalteter Dienst, mit dem Sie auf einfache Weise die zur Verschlüsselung Ihrer Daten verwendeten Verschlüsselungsschlüssel erstellen und kontrollieren können. AWS KMS verwendet Hardware-Sicherheitsmodule (HSMs), um die Sicherheit Ihrer Schlüssel zu schützen. Insbesondere ist der Amazon-Ressourcenname (ARN) für den AWS KMS Schlüssel, den Sie für einen Job in AWS Snowball Edge auswählen, einem KMS-Schlüssel zugeordnet. Dieser KMS-Schlüssel wird verwendet, um den Entsperrcode für Ihren Auftrag zu verschlüsseln. Der Entsperrcode wird zum Entschlüsseln der oberen Verschlüsselungsebene in Ihrer Manifest-Datei verwendet. Die in der Manifestdatei gespeicherten Verschlüsselungsschlüssel werden verwendet, um die Daten auf dem Gerät zu ver- und entschlüsseln.

AWS KMS Schützt in AWS Snowball Edge die Verschlüsselungsschlüssel, die zum Schutz der Daten auf den einzelnen AWS Snowball Edge Geräten verwendet werden. Wenn Sie den Auftrag erstellen, wählen Sie auch einen vorhandenen KMS-Schlüssel. Die Angabe des ARN für einen AWS KMS Schlüssel gibt an AWS Snowball , welcher AWS KMS keys zum Verschlüsseln der eindeutigen Schlüssel auf dem AWS Snowball Edge Gerät verwendet werden soll. Weitere Informationen zu den von AWS Snowball Edge unterstützten Amazon S3 server-side-encryption S3-Optionen finden Sie unterServerseitige Verschlüsselung in Edge AWS Snowball.

Den verwalteten Kunden AWS KMS keys für Snowball Edge verwenden

Wenn Sie den verwalteten Kunden AWS KMS keys für Snowball Edge verwenden möchten, der für Ihr Konto erstellt wurde, gehen Sie wie folgt vor.

Um den AWS KMS keys für Ihren Job auszuwählen

  1. Wählen Sie auf der die Managementkonsole für die AWS Snow-Familie Option Job erstellen aus.

  2. Wählen Sie Ihren Auftragstyp aus und klicken Sie dann auf Next (Weiter).

  3. Geben Sie Ihre Versanddetails an und klicken Sie dann auf Next (Weiter).

  4. Geben Sie Ihre Auftragsdetails an und klicken Sie auf Next (Weiter).

  5. Legen Sie Ihre Sicherheitsoptionen fest. Wählen Sie unter Verschlüsselung für KMS-Schlüssel entweder den Von AWS verwalteter Schlüssel oder einen benutzerdefinierten Schlüssel aus, der zuvor in erstellt wurde AWS KMS, oder wählen Sie Enter a key ARN, wenn Sie einen Schlüssel eingeben müssen, der einem separaten Konto gehört.

    Anmerkung

    Die AWS KMS key ARN ist eine weltweit eindeutige Kennung für vom Kunden verwaltete Schlüssel.

  6. Wählen Sie Weiter, um die Auswahl Ihres abzuschließen AWS KMS key.

  7. Gewähren Sie dem IAM-Benutzer des Snow-Geräts Zugriff auf den KMS-Schlüssel.

    1. Gehen Sie in der IAM-Konsole (https://console.aws.amazon.com/iam/) zu Encryption Keys und öffnen Sie den KMS-Schlüssel, mit dem Sie die Daten auf dem Gerät verschlüsseln möchten.

    2. Wählen Sie unter Schlüsselbenutzer die Option Hinzufügen aus, suchen Sie nach dem IAM-Benutzer des Snow-Geräts und wählen Sie Anhängen aus.

Erstellen eines benutzerdefinierten KMS-Envelope-Verschlüsselungsschlüssels

Sie haben die Möglichkeit, Ihren eigenen benutzerdefinierten AWS KMS Envelope-Verschlüsselungsschlüssel mit AWS Snowball Edge zu verwenden. Wenn Sie Ihren eigenen Schlüssel erstellen, muss dieser in derselben Region wie Ihr Auftrag erstellt werden.

Informationen zum Erstellen Ihres eigenen AWS KMS Schlüssels für einen Job finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

Schützen von Daten auf Ihrem Gerät

Schützen Sie Ihren AWS Snowball Edge

Im Folgenden finden Sie einige Sicherheitspunkte, die Sie bei der Verwendung von AWS Snowball Edge berücksichtigen sollten, sowie einige allgemeine Informationen zu anderen Sicherheitsvorkehrungen, die wir treffen, wenn ein Gerät AWS zur Verarbeitung ankommt.

Wir empfehlen die folgenden Sicherheitsansätze:

  • Nachdem Sie das Gerät erhalten haben, sollten Sie nach Beschädigungen und offensichtlichen Manipulationen suchen. Wenn Ihnen am Gerät irgendetwas Verdächtiges auffällt, verbinden Sie es nicht mit Ihrem internen Netzwerk. Wenden Sie sich stattdessen an den AWS Support, um ein neues Gerät zu erhalten.

  • Vermeiden Sie es möglichst, die Anmeldeinformationen für Ihren Auftrag offenzulegen. Jede Person mit Zugang zum Auftragsmanifest und zum Entsperrcode kann auf die Inhalte des Geräts für diesen Auftrag zugreifen.

  • Lassen Sie das Gerät nicht auf einer Laderampe liegen. Auf einer Ladestation kann sie den Elementen ausgesetzt sein. Obwohl jedes AWS Snowball Edge-Gerät robust ist, kann Wetter die robusteste Hardware beschädigen. Melden Sie gestohlene, vermisste oder defekte Geräte so schnell wie möglich. Je schneller ein Problem mit einer Appliance gemeldet wird, umso zügiger kann ein Ersatz versendet werden, um Ihren Auftrag abzuschließen.

Anmerkung

Die AWS Snowball Edge-Geräte sind Eigentum von. AWS Die Manipulation eines Geräts stellt einen Verstoß gegen die AWS Nutzungsbedingungen dar. Weitere Informationen finden Sie unter http://aws.amazon.com/aup/.

Wir führen die folgenden Sicherheitsschritte durch:

  • Bei der Übertragung von Daten mit dem Amazon S3 S3-Adapter werden Objektmetadaten nicht dauerhaft gespeichert. Nur die Metadaten von filename und filesize bleiben unverändert. Alle anderen Metadaten werden entsprechend des folgenden Beispiels festgelegt: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • Bei der Übertragung von Daten mit der Dateischnittstelle werden Objektmetadaten beibehalten.

  • Wenn ein Gerät bei uns ankommt AWS, überprüfen wir es auf Anzeichen von Manipulation und stellen sicher, dass das Trusted Platform Module (TPM) keine Änderungen festgestellt hat. AWS Snowball Edge verwendet mehrere Sicherheitsebenen zum Schutz Ihrer Daten, darunter manipulationssichere Gehäuse, 256-Bit-Verschlüsselung und ein branchenübliches TPM, das sowohl Sicherheit als auch eine vollständige Aufbewahrungskette für Ihre Daten bietet.

  • Sobald der Datenübertragungsauftrag verarbeitet und verifiziert wurde, wird eine AWS Softwarelöschung des Snowball-Geräts durchgeführt, die den Richtlinien des National Institute of Standards and Technology (NIST) zur Medienbereinigung entspricht.

Validieren von NFC-Tags

Snowball Edge Compute Optimized- und Snowball Edge Storage Optimized (für Datenübertragung) Geräte verfügen über integrierte NFC-Tags. Sie können diese Tags mit der AWS Snowball Edge Verification App scannen, die auf Android verfügbar ist. Durch Scannen und Validieren dieser NFC-Tags können Sie überprüfen, dass Ihr Gerät nicht unbefugt geändert wurde, bevor Sie es verwenden.

Die Validierung von NFC-Tags umfasst die Verwendung des Snowball Edge-Clients zur Generierung eines gerätespezifischen QR-Codes, um zu überprüfen, ob die Tags, die Sie scannen, für das richtige Gerät sind.

Das folgende Verfahren beschreibt, wie Sie die NFC-Tags auf einem Snowball Edge-Gerät validieren. Stellen Sie vor Beginn sicher, dass Sie die folgenden ersten fünf Schritte der Übung "Erste Schritte" ausgeführt haben:

  1. Erstellen Sie Ihren Snowball Edge-Job. Weitere Informationen finden Sie unter Einen Auftrag zur Bestellung eines Snow Family-Geräts erstellen

  2. Eingang des Geräts Weitere Informationen finden Sie unter Erhalt des Snowball Edge.

  3. Herstellen einer Verbindung mit dem lokalen Netzwerk Weitere Informationen finden Sie unter Verbindung zu Ihrem lokalen Netzwerk herstellen.

  4. Abrufen von Anmeldeinformationen und Tools Weitere Informationen finden Sie unter Zugangsdaten für den Zugriff auf ein Snow Family-Gerät abrufen.

  5. Laden Sie den Snowball Edge-Client herunter und installieren Sie ihn. Weitere Informationen finden Sie unter Den Snowball Edge-Client herunterladen und installieren.

Um die NFC-Tags zu validieren

  1. Führen Sie den snowballEdge get-app-qr-code Snowball Edge-Client-Befehl aus. Wenn Sie diesen Befehl für einen Knoten in einem Cluster ausführen, geben Sie die Seriennummer (--device-sn) an, um einen QR-Code für einen einzelnen Knoten zu erhalten. Wiederholen Sie diesen Schritt für jeden Knoten im Cluster. Weitere Informationen zur Verwendung dieses Befehls finden Sie unter Anfordern Ihres QR-Codes für die NFC-Validierung.

    Der QR-Code wird an einem Speicherort Ihrer Wahl als PNG-Datei gespeichert.

  2. Navigieren Sie zu der von Ihnen gespeicherten PNG-Datei und öffnen Sie sie, sodass Sie den QR-Code mit der App scannen können.

  3. Sie können diese Tags mit der AWS Snowball Edge Verification App auf Android scannen.

    Anmerkung

    Die AWS Snowball Edge Verification App kann nicht heruntergeladen werden. Wenn Sie jedoch ein Gerät haben, auf dem die App bereits installiert ist, können Sie die App verwenden.

  4. Starten Sie die App und befolgen Sie die Anweisungen auf dem Bildschirm.

Sie haben die NFC-Tags für Ihr Gerät jetzt erfolgreich gescannt und validiert.

Wenn beim Scannen Probleme auftreten, führen Sie die folgenden Schritte aus:

  • Vergewissern Sie sich, dass Ihr Gerät über die für die Snowball Edge Compute Optimized Edge-Optionen (mit oder ohne GPU) verfügt.

  • Wenn Sie die App auf einem anderen Gerät haben, versuchen Sie es mit diesem Gerät.

  • Bringen Sie das Gerät in einen isolierten Bereich des Raums, fern von Störungen durch andere NFC-Tags, und versuchen Sie es erneut.

  • Wenn die Probleme weiterhin bestehen, wenden Sie sich an AWS Support.