Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in Amazon Kinesis Data Streams
Die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln macht es Ihnen leicht, strenge Datenverwaltungsanforderungen zu erfüllen, indem Sie Ihre ruhenden Daten in Amazon Kinesis Data Streams verschlüsseln.
**Anmerkung**
Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
**Topics**
+ [Was ist serverseitige Verschlüsselung für Kinesis Data Streams?](what-is-sse.md)
+ [Überlegungen zu Kosten, Regionen und Leistung](costs-performance.md)
+ [Wie fange ich mit serverseitiger Verschlüsselung an?](getting-started-with-sse.md)
+ [Erstellen und verwenden Sie benutzergenerierte KMS-Schlüssel](creating-using-sse-master-keys.md)
+ [Berechtigungen zur Verwendung von benutzergenerierten KMS-Schlüsseln](permissions-user-key-KMS.md)
+ [Überprüfen Sie die KMS-Schlüsselberechtigungen und beheben Sie Fehler](sse-troubleshooting.md)
+ [Verwenden Sie Amazon Kinesis Data Streams mit VPC-Endpunkten mit Schnittstellen](vpc.md)
# Was ist serverseitige Verschlüsselung für Kinesis Data Streams?
Serverseitige Verschlüsselung ist eine Funktion in Amazon Kinesis Data Streams, die Daten automatisch verschlüsselt, bevor sie gespeichert werden, indem ein von Ihnen festgelegter AWS KMS Customer Master Key (CMK) verwendet wird. Die Daten werden verschlüsselt, bevor sie in die Speicherschicht des Kinesis-Streams geschrieben werden. Nach Abruf aus dem Speicher werden Sie entschlüsselt. Dadurch sind Ihre ruhenden Daten innerhalb des Services Kinesis Data Streams verschlüsselt. Sie erfüllen so die strengen regulatorischen Anforderungen und erhöhen die Sicherheit Ihrer Daten.
Durch die serverseitige Verschlüsselung müssen Ihre Kinesis-Stream-Produzenten und -Verbraucher keine Masterschlüssel oder kryptographische Operationen verwalten. Ihre Daten werden automatisch verschlüsselt, wenn sie den Kinesis Data Streams Streams-Dienst betreten und verlassen, sodass Ihre Daten im Ruhezustand verschlüsselt sind. AWS KMS stellt alle Masterschlüssel bereit, die von der serverseitigen Verschlüsselungsfunktion verwendet werden. AWS KMS macht es einfach, ein CMK für Kinesis zu verwenden, das von AWS einem benutzerdefinierten AWS KMS CMK oder einem in den Service importierten Masterschlüssel verwaltet wird. AWS KMS
**Anmerkung**
Bei der serverseitigen Verschlüsselung werden eingehende Daten nur dann verschlüsselt, wenn die Funktion aktiviert ist. Bereits in einem nicht verschlüsselten Stream vorhandene Daten werden nach Aktivierung der serverseitigen Verschlüsselung nicht verschlüsselt.
Wenn Sie Ihre Datenströme verschlüsseln und den Zugriff mit anderen Principals teilen, müssen Sie die entsprechenden Berechtigungen sowohl in der Schlüsselrichtlinie für den Schlüssel als auch in den IAM-Richtlinien für das AWS KMS externe Konto erteilen. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html).
Wenn Sie die serverseitige Verschlüsselung für einen Datenstream mit AWS verwaltetem KMS-Schlüssel aktiviert haben und den Zugriff über eine Ressourcenrichtlinie gemeinsam nutzen möchten, müssen Sie zur Verwendung des vom Kunden verwalteten Schlüssels (CMK) wechseln, wie im Folgenden dargestellt:
![\[Encryption settings interface with options for server-side encryption and customer-managed CMK.\]](http://docs.aws.amazon.com/de_de/streams/latest/dev/images/cmk2.png)
Darüber hinaus müssen Sie Ihren freigebenden Prinzipal-Entitäten Zugriff auf Ihren CMK gewähren, indem Sie die kontoübergreifenden KMS-Freigabe-Funktionen nutzen. Stellen Sie sicher, dass Sie auch die IAM-Richtlinien für die freigebenden Prinzipal-Entitäten ändern. Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html).
# Überlegungen zu Kosten, Regionen und Leistung
Wenn Sie serverseitige Verschlüsselung anwenden, fallen Kosten für AWS KMS API-Nutzung und Schlüssel an. Im Gegensatz zu benutzerdefinierten KMS-Masterschlüsseln wird der benutzerdefinierte `(Default) aws/kinesis`-Masterschlüssel (Customer Master Key, CMK) kostenlos zur Verfügung gestellt. Sie müssen jedoch weiterhin die Kosten für die API-Nutzung tragen, die Amazon Kinesis Data Streams für Sie verursacht.
Kosten für die API-Nutzung fallen für alle CMKs an, einschließlich benutzerdefinierten. Kinesis Data Streams ruft AWS KMS ungefähr alle fünf Minuten ab, wenn der Datenschlüssel gewechselt wird. In einem Monat mit 30 Tagen sollten die Gesamtkosten für AWS KMS API-Aufrufe, die von einem Kinesis-Stream initiiert werden, weniger als ein paar Dollar betragen. Diese Kosten steigen mit der Anzahl der Benutzeranmeldedaten, die Sie bei Ihren Datenproduzenten und -verbrauchern verwenden, da für jede Benutzeranmeldeberechtigung ein eindeutiger API-Aufruf erforderlich ist. AWS KMS Wenn Sie eine IAM-Rolle für die Authentifizierung verwenden, führt jeder Rollenübernahmeaufruf zu eindeutigen Benutzeranmeldeinformationen. Um KMS-Kosten zu sparen, können Sie Benutzeranmeldeinformationen zwischenspeichern, die vom Rollenübernahmeaufruf zurückgegeben werden.
Im Folgenden werden die Kosten pro Ressource aufgeführt:
**Schlüssel**
+ Das CMK für Kinesis, das von AWS (alias =`aws/kinesis`) verwaltet wird, ist kostenlos.
+ Von Benutzern generierte KMS-Schlüssel unterliegen den KMS-Schlüssel-Kosten. Weitere Informationen finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/#Keys).
Kosten für die API-Nutzung fallen für alle CMKs an, einschließlich benutzerdefinierten. Kinesis Data Streams ruft KMS ungefähr alle fünf Minuten ab, wenn der Datenschlüssel gewechselt wird. In einem Monat mit 30 Tagen sollten die Gesamtkosten für KMS-API-Aufrufe, die von einem Kinesis-Datenstrom initiiert werden, nur wenige Dollar betragen. Bitte beachten Sie, dass diese Kosten mit der Anzahl der Benutzeranmeldedaten, die Sie bei Ihren Datenproduzenten und -verbrauchern verwenden, steigen, da für jede Benutzeranmeldeberechtigung ein eindeutiger API-Aufruf an KMS erforderlich ist. AWS Wenn Sie die IAM-Rolle für die Authentifizierung verwenden, assume-role-call führt jede Rolle zu eindeutigen Benutzeranmeldeinformationen, und Sie sollten die von der zurückgegebenen Benutzeranmeldeinformationen zwischenspeichern, um assume-role-call KMS-Kosten zu sparen.
## Verwendung der KMS-API
Für jeden verschlüsselten Stream ruft der Kinesis-Dienst den AWS KMS Dienst etwa 12 Mal alle 5 Minuten auf, wenn aus TIP gelesen und ein einziger account/user IAM-Zugriffsschlüssel für alle Leser und Autoren verwendet wird. Wenn Sie nicht aus TIP lesen, kann dies zu höheren Serviceaufrufen führen. AWS KMS API-Anfragen zur Generierung neuer Datenverschlüsselungsschlüssel sind mit AWS KMS Nutzungskosten verbunden. Weitere Informationen finden Sie unter [Preise für AWS Key Management Service – Verwendung](https://aws.amazon.com/kms/pricing/#Usage).
## Verfügbarkeit serverseitiger Verschlüsselung nach Regionen
Derzeit ist die serverseitige Verschlüsselung von Kinesis-Streams in allen Regionen verfügbar, die für Kinesis Data Streams unterstützt werden, einschließlich AWS GovCloud (USA West) und den Regionen China. Weitere Informationen zu unterstützten Regionen für Kinesis Data Streams finden Sie unter [https://docs.aws.amazon.com/general/latest/gr/ak.html](https://docs.aws.amazon.com/general/latest/gr/ak.html).
## Performanceaspekte
Aufgrund des Serviceaufwands bei der Verschlüsselung erhöht die serverseitige Verschlüsselung die typische Latenzzeit von `PutRecord`, `PutRecords` und `GetRecords` um 100μs.
# Wie fange ich mit serverseitiger Verschlüsselung an?
Der einfachste Weg, mit serverseitiger Verschlüsselung zu beginnen, ist die Verwendung des AWS-Managementkonsole und des Amazon Kinesis KMS Service Keys,. `aws/kinesis`
Im Folgenden wird die Aktivierung der serverseitigen Verschlüsselung für einen Kinesis-Stream beschrieben.
**So aktivieren Sie die serverseitige Verschlüsselung für einen Kinesis-Stream**
1. Melden Sie sich bei der [Amazon Kinesis Data Streams Streams-Konsole](https://console.aws.amazon.com/kinesis/home?region=us-east-1#/streams/list) an AWS-Managementkonsole und öffnen Sie sie.
1. Wählen oder erstellen Sie einen Kinesis-Stream in der AWS-Managementkonsole.
1. Wählen Sie die Registerkarte **Details** aus.
1. Wählen Sie unter **Server-side encryption (Serverseitige Verschlüsselung)** die Option **edit (Bearbeiten)** aus.
1. Wenn Sie einen benutzergenerierten KMS-Masterschlüssel verwenden möchten, stellen Sie sicher, dass der **(standardmäßige) aws/kinesis**-KMS-Masterschlüssel ausgewählt ist. Dies ist die KMS-Masterschlüssel, der vom Kinesis-Service generiert wurde. Wählen Sie **Enabled (Aktiviert)** und anschließend **Save (Speichern)** aus.
**Anmerkung**
Der Standard-Hauptschlüssel für den Kinesis-Service ist kostenlos. Für die API-Aufrufe von Kinesis an den AWS KMS Service fallen jedoch KMS-Nutzungskosten an.
1. Der Stream ist vorübergehend im Zustand **ausstehend**. Sobald sich der Stream in einem **aktiven** Zustand befindet und die Verschlüsselung aktiviert ist, werden alle in den Stream eingeleiteten Daten mit dem von Ihnen ausgewählten KMS-Masterschlüssel verschlüsselt.
1. **Um die serverseitige Verschlüsselung zu deaktivieren, wählen Sie in der **unter** **Serverseitige Verschlüsselung** die Option Deaktiviert und wählen Sie dann AWS-Managementkonsole Speichern aus.**
# Erstellen und verwenden Sie benutzergenerierte KMS-Schlüssel
In diesem Abschnitt wird beschrieben, wie Sie Ihre eigenen KMS-Schlüssel erstellen und verwenden, anstatt den von Amazon Kinesis verwalteten Masterschlüssel zu verwenden.
## Erstellen Sie benutzergenerierte KMS-Schlüssel
Anweisungen zum Erstellen eigener Schlüssel finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*. Nachdem Sie Schlüssel für Ihr Konto erstellt haben, gibt der Service Kinesis Data Streams diese Schlüssel über die Liste **KMS-Masterschlüsse** zurück.
## Verwenden Sie benutzergenerierte KMS-Schlüssel
Nachdem Ihren Verbrauchern, Produzenten und Administratoren die richtigen Berechtigungen zugewiesen wurden, können Sie benutzerdefinierte KMS-Schlüssel in Ihrem eigenen AWS Konto oder einem anderen AWS Konto verwenden. Alle KMS-Masterschlüssel in Ihrem Konto werden in der ** in der Liste für **KMS-Masterschlüssel AWS-Managementkonsole angezeigt.
Für die Nutzung benutzerdefinierter KMS-Schlüssel eines anderen Kontos benötigen Sie entsprechende Berechtigungen. Darüber hinaus müssen Sie den ARN des KMS-Masterschlüssels in der AWS-Managementkonsole im ARN-Eingabefeld eingeben.
# Berechtigungen zur Verwendung von benutzergenerierten KMS-Schlüsseln
Bevor Sie die serverseitige Verschlüsselung mit einem benutzergenerierten KMS-Schlüssel verwenden können, müssen Sie AWS KMS Schlüsselrichtlinien konfigurieren, um die Verschlüsselung von Streams sowie die Verschlüsselung und Entschlüsselung von Stream-Datensätzen zu ermöglichen. Beispiele und weitere Informationen zu AWS KMS Berechtigungen finden Sie unter [AWS KMS-API-Berechtigungen: Referenz zu Aktionen und Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html).
**Anmerkung**
Für die Nutzung des Standard-Serviceschlüssels für die Verschlüsselung sind keine benutzerdefinierten IAM-Berechtigungen erforderlich.
Ehe Sie benutzergenerierte KMS-Masterschlüssel verwenden, müssen Sie sicherstellen, dass Ihre Kinesis-Stream-Produzenten und -Konsumenten (IAM-Prinzipale) Benutzer im Sinne der Richtlinie für KMS-Masterschlüssel sind. Andernfalls schlägt das Schreiben in und das Lesen aus dem Stream fehl. Dies kann zu einem Datenverlust, einer verspäteten Verarbeitung oder abgestürzten Anwendungen führen. Sie können Berechtigungen für KMS-Schlüssel mit IAM-Richtlinien verwalten. Weitere Informationen finden Sie unter [Verwenden von IAM-Richtlinien mit AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html).
## Kinesis Data Streams Streams-Verschlüsselungskontext
Wenn Amazon Kinesis Data Streams in AWS KMS Ihrem Namen anruft, leitet es einen Verschlüsselungskontext an AWS KMS , der als Bedingung für die Autorisierung in wichtigen Richtlinien und Zuschüssen verwendet werden kann. Kinesis Data Streams verwendet den Stream-ARN als Verschlüsselungskontext in allen AWS KMS Aufrufen.
```
"encryptionContext": {
"aws:kinesis:arn": "arn:aws:kinesis:region:account-id:stream/stream-name"
}
```
Sie können den Verschlüsselungskontext verwenden, um die Verwendung Ihres KMS-Schlüssels in Prüfaufzeichnungen und Protokollen zu identifizieren. Er erscheint auch im Klartext in Protokollen, wie AWS CloudTrail z.
Um die Verwendung Ihres KMS-Schlüssels auf Anfragen von Kinesis Data Streams für einen bestimmten Stream zu beschränken, verwenden Sie den `kms:EncryptionContext:aws:kinesis:arn` Bedingungsschlüssel in der KMS-Schlüsselrichtlinie oder IAM-Richtlinie.
## Beispiel für Herstellerberechtigungen
Die Kinesis-Stream-Produzenten benötigen die Berechtigung `kms:GenerateDataKey`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "arn:aws:kinesis:*:123456789012:MyStream"
}
]
}
```
------
## Beispiel für Verbraucherberechtigungen
Ihre Kinesis-Stream-Konsumenten benötigen die Berechtigung `kms:Decrypt`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Effect": "Allow",
"Action": [
"kinesis:GetRecords",
"kinesis:DescribeStream"
],
"Resource": "arn:aws:kinesis:*:123456789012:MyStream"
}
]
}
```
------
Amazon Managed Service für Apache Flink und AWS Lambda verwenden Sie Rollen, um Kinesis-Streams zu nutzen. Stellen Sie sicher, dass Sie die `kms:Decrypt`-Berechtigung für die Rollen erteilen, die diese Konsumenten innehaben.
## Stream-Administratorberechtigungen
Kinesis-Stream-Administratoren benötigen eine Autorisierung für den Aufruf von `kms:List*` und ```kms:DescribeKey*`.
# Überprüfen Sie die KMS-Schlüsselberechtigungen und beheben Sie Fehler
Nachdem Sie die Verschlüsselung für einen Kinesis-Stream aktiviert haben, empfehlen wir Ihnen, den Erfolg Ihrer `putRecord``putRecords`, und `getRecords` -Anrufe anhand der folgenden CloudWatch Amazon-Metriken zu überwachen:
+ `PutRecord.Success`
+ `PutRecords.Success`
+ `GetRecords.Success`
Weitere Informationen finden Sie unter [Kinesis Data Streams überwachen](monitoring.md).
# Verwenden Sie Amazon Kinesis Data Streams mit VPC-Endpunkten mit Schnittstellen
Sie können einen VPC-Schnittstellen-Endpunkt verwenden, um zu verhindern, dass der Datenverkehr zwischen Ihrer Amazon VPC und Kinesis Data Streams das Amazon-Netzwerk verlässt. Schnittstellen-VPC-Endpunkte benötigen kein Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung oder Direct Connect Verbindung. Interface VPC-Endpoints basieren auf einer AWS Technologie AWS PrivateLink, die private Kommunikation zwischen AWS Services über eine elastic network interface mit Private IPs in Ihrer Amazon VPC ermöglicht. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) und [Interface VPC Endpoints ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).
**Topics**
+ [Verwenden Sie Schnittstellen-VPC-Endpunkte für Kinesis Data Streams](#using-interface-vpc-endpoints)
+ [Steuern Sie den Zugriff auf VPC-Endpunkte für Kinesis Data Streams](#interface-vpc-endpoints-policies)
+ [Verfügbarkeit von VPC-Endpunktrichtlinien für Kinesis Data Streams](#availability)
## Verwenden Sie Schnittstellen-VPC-Endpunkte für Kinesis Data Streams
Zu Beginn müssen Sie die Einstellungen für Ihre Streams, Produzenten oder Verbraucher nicht ändern. Erstellen Sie einen VPC-Schnittstellen-Endpunkt für Ihre Kinesis Data Streams, um den Datenverkehr von und zu Ihren Amazon VPC-Ressourcen über den Schnittstellen-VPC-Endpunkt zu starten. VPC-Endpunkte mit FIPS-fähiger Schnittstelle sind für US-Regionen verfügbar. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).
Die Amazon Kinesis Producer Library (KPL) und die Kinesis Consumer Library (KCL) rufen AWS Dienste wie Amazon CloudWatch und Amazon DynamoDB entweder über öffentliche Endpunkte oder VPC-Endpunkte mit privaten Schnittstellen auf, je nachdem, welche verwendet werden. Wenn Ihre KCL-Anwendung beispielsweise in einer VPC mit DynamoDB-Schnittstelle und aktivierten VPC-Endpunkten ausgeführt wird, fließen Aufrufe zwischen DynamoDB und Ihrer KCL-Anwendung über den VPC-Endpunkt der Schnittstelle.
## Steuern Sie den Zugriff auf VPC-Endpunkte für Kinesis Data Streams
Mit VPC-Endpunktrichtlinien können Sie den Zugriff steuern, indem Sie entweder eine Richtlinie an einen VPC-Endpunkt anhängen oder indem Sie zusätzliche Felder in einer Richtlinie verwenden, die einem IAM-Benutzer, einer Gruppe oder einer Rolle zugeordnet ist, um den Zugriff auf den angegebenen VPC-Endpunkt zu beschränken. Verwenden Sie diese Richtlinien, um den Zugriff auf bestimmte Streams auf einen bestimmten VPC-Endpunkt zu beschränken, wenn Sie sie zusammen mit den IAM-Richtlinien verwenden, um nur Zugriff auf Kinesis-Datenstream-Aktionen über den angegebenen VPC-Endpunkt zu gewähren.
Es folgen Beispiele für Endpunktrichtlinien für den Zugriff auf Kinesis-Daten-Streams.
+ **Beispiel für eine VPC-Richtlinie: schreibgeschützter Zugriff** – diese Beispielrichtlinie kann einem VPC-Endpunkt zugeordnet werden. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Amazon VPC-Ressourcen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_IAM.html). Sie beschränkt Aktionen auf das Auflisten und Beschreiben eines Kinesis-Daten-Streams über den VPC-Endpunkt, dem er zugeordnet ist.
```
{
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"kinesis:List*",
"kinesis:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **Beispiel für eine VPC-Richtlinie: Beschränken des Zugriffs auf einen bestimmten Kinesis-Daten-Stream** – diese Beispielrichtlinie kann einem VPC-Endpunkt zugeordnet werden. Sie schränkt den Zugriff auf einen bestimmten Daten-Stream über den VPC-Endpunkt ein, dem er zugeordnet ist.
```
{
"Statement": [
{
"Sid": "AccessToSpecificDataStream",
"Principal": "*",
"Action": "kinesis:*",
"Effect": "Allow",
"Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
}
]
}
```
+ **Beispiel für eine IAM-Richtlinie: Beschränken Sie den Zugriff auf einen bestimmten Stream nur von einem bestimmten VPC-Endpunkt** aus. Diese Beispielrichtlinie kann einem IAM-Benutzer, einer Rolle oder einer Gruppe zugewiesen werden. Sie beschränkt den Zugriff auf einen bestimmten Kinesis-Daten-Stream auf einen bestimmten VPC-Endpunkt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessFromSpecificEndpoint",
"Action": "kinesis:*",
"Effect": "Deny",
"Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
}
]
}
```
------
## Verfügbarkeit von VPC-Endpunktrichtlinien für Kinesis Data Streams
VPC-Endpunkte mit Kinesis Data Streams Streams-Schnittstelle und Richtlinien werden in den folgenden Regionen unterstützt:
+ Europa (Paris)
+ Europa (Irland)
+ USA Ost (Nord-Virginia)
+ Europa (Stockholm)
+ USA Ost (Ohio)
+ Europa (Frankfurt)
+ Südamerika (São Paulo)
+ Europa (London)
+ Asien-Pazifik (Tokio)
+ USA West (Nordkalifornien)
+ Asien-Pazifik (Singapur)
+ Asien-Pazifik (Sydney)
+ China (Peking)
+ China (Ningxia)
+ Asia Pacific (Hong Kong)
+ Middle East (Bahrain)
+ Naher Osten (VAE)
+ Europa (Milan)
+ Afrika (Kapstadt)
+ Asien-Pazifik (Mumbai)
+ Asien-Pazifik (Seoul)
+ Kanada (Zentral)
+ USA West (Oregon) außer usw2-az4
+ AWS GovCloud (USA, Ost)
+ AWS GovCloud (US-West)
+ Asien-Pazifik (Osaka)
+ Europa (Zürich)
+ Asien-Pazifik (Hyderabad)