View a markdown version of this page

Datenschutz in AWS Systems Manager - AWS Systems Manager
DatenverschlüsselungRichtlinie für den Datenverkehr zwischen Netzwerken

• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der Amazon CloudWatch Dashboard-Dokumentation.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AWS Systems Manager

Datenschutz bezieht sich auf den Schutz von Daten während der Übertragung (beim Hin- und Systems Manager Rücktransport) und im Ruhezustand (während sie in AWS Rechenzentren gespeichert werden).

Das AWS Modell der gilt für den Datenschutz inAWS Systems Manager. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz . Informationen zum Datenschutz in Europa finden Sie im General Data Protection Regulation (GDPR) Center.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der API Systems Manager oder den SDKs arbeiten oder diese anderweitig AWS-Services verwenden. AWS CLI AWS Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Datenverschlüsselung

Verschlüsselung im Ruhezustand

Parameter Store-Parameter

Zu den Parametertypen, die Sie in Parameter Store (einem Tool in AWS Systems Manager) erstellen können, gehören String, StringList und SecureString.

Alle Parameter, unabhängig von ihrem Typ, werden bei der Übertragung und im Ruhezustand verschlüsselt. Bei der Übertragung werden Parameter mithilfe von Transport Layer Security (TLS) verschlüsselt, um eine sichere HTTPS-Verbindung für API-Anfragen herzustellen. Im Ruhezustand sind sie mit einem AWS-eigener Schlüssel in AWS Key Management Service (AWS KMS) verschlüsselt. Weitere Informationen zur AWS-eigener Schlüssel Verschlüsselung finden Sie AWS-eigene Schlüsselim AWS Key Management Service Entwicklerhandbuch.

Der Typ SecureString bietet zusätzliche Verschlüsselungsoptionen und wird für alle sensiblen Daten empfohlen. Sie können aus den folgenden AWS KMS -Schlüsseltypen wählen, um den Wert eines SecureString-Parameters zu verschlüsseln und zu entschlüsseln:

  • Das Von AWS verwalteter Schlüssel für dein Konto

  • Ein kundenseitig verwalteter Schlüssel (CMK), den Sie in Ihrem Konto erstellt haben

  • Ein CMK in einem anderen AWS-Konto , der mit Ihnen geteilt wurde

Weitere Informationen zur AWS KMS Verschlüsselung finden Sie im AWS Key Management Service Entwicklerhandbuch.

Inhalt in S3-Buckets

Als Teil Ihrer Systems Manager-Vorgänge können Sie Daten in einen oder mehrere Amazon Simple Storage Service (Amazon S3)-Buckets hochladen oder speichern.

Informationen zur Verschlüsselung von S3-Buckets finden Sie unter Daten durch Verschlüsselung schützen und Datenschutz in Amazon S3 im Benutzerhandbuch zu Amazon Simple Storage Service.

Die folgenden Datentypen können Sie als Teil Ihrer Systems Manager-Aktivitäten hochladen oder in S3 Buckets speichern lassen:

  • Die Ausgabe von Befehlen inRun Command, ein Tool in AWS Systems Manager

  • Pakete reinDistributor, ein Tool in AWS Systems Manager

  • Der Patch-Vorgang meldet sich anPatch Manager, ein Tool wird eingeblendet AWS Systems Manager

  • Patch Manager Patch-Überschreibungslisten

  • Skripte oder Ansible Playbooks zur Ausführung in einem Runbook-Workflow in Automation, ein Tool in AWS Systems Manager

  • Chef InSpecProfile zur Verwendung mit Scans in Compliance, einem Tool in AWS Systems Manager

  • AWS CloudTrail protokolliert

  • Der Sitzungsverlauf meldet sich anSession Manager, ein Tool meldet sich an AWS Systems Manager

  • Berichte vonExplorer, einem Tool in AWS Systems Manager

  • OpsData vonOpsCenter, ein Tool in AWS Systems Manager

  • AWS CloudFormation Vorlagen zur Verwendung mit Automatisierungs-Workflows

  • Compliance-Daten aus einem Resource Data Sync-Scan

  • Ausgabe von Anforderungen zum Erstellen oder Bearbeiten von Zuordnungen in State Manager, einem Tool in AWS Systems Manager, auf verwalteten Knoten

  • Benutzerdefinierte Systems Manager-Dokumente (SSM-Dokumente), die Sie mit dem AWS -verwalteten SSM-Dokument AWS-RunDocument ausführen können

CloudWatch Protokolliert Protokollgruppen

Im Rahmen Ihres Systems Manager Betriebs können Sie sich dafür entscheiden, Daten in eine oder mehrere Amazon CloudWatch Logs-Protokollgruppen zu streamen.

Informationen zur Verschlüsselung von CloudWatch Logs-Protokollgruppen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs using AWS Key Management Service im Amazon CloudWatch Logs-Benutzerhandbuch.

Die folgenden Datentypen haben Sie möglicherweise im Rahmen Ihrer Systems Manager Aktivitäten in eine CloudWatch Logs-Protokollgruppe gestreamt:

  • Die Ausgabe der Run Command-Befehle

  • Ausgabe von Skripten, die mit der aws:executeScript-Aktion in einem Automation-Runbooks ausgeführt werden

  • Session Manager-Sitzungsverlaufsprotokolle

  • Protokolle vom SSM Agent auf Ihren verwalteten Nodes

Verschlüsselung während der Übertragung

Wir empfehlen, dass Sie ein Verschlüsselungsprotokoll wie Transport Layer Security (TLS) verwenden, um sensible Daten bei der Übertragung zwischen den Clients und Ihren Knoten zu verschlüsseln.

Systems Manager bietet die folgende Unterstützung für die Verschlüsselung Ihrer Daten während der Übertragung.

Verbindungen zu Systems Manager API-Endpunkten

Systems Manager-API-Endpunkte unterstützen ausschließlich sichere Verbindungen über HTTPS. Wenn Sie Systems Manager Ressourcen mit dem AWS-Managementkonsole AWS SDK oder der Systems Manager API verwalten, wird die gesamte Kommunikation mit Transport Layer Security (TLS) verschlüsselt. Eine vollständige Liste der API-Endpunkte finden Sie unter AWS-Service -Endpunkte im Allgemeine Amazon Web Services-Referenz.

Verwaltete Instances

AWS bietet sichere und private Konnektivität zwischen Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Darüber hinaus wird Datenverkehr zwischen unterstützen Instances in einer Virtual Private Cloud (VPC) oder in per Peering verbundenen VPCs automatisch mithilfe von AEAD-Algorithmen mit 256-Bit-Verschlüsselung verschlüsselt. Das Verschlüsselungsfeature verwendet die Offload-Möglichkeiten der zugrunde liegenden Hardware ohne Auswirkungen auf die Netzwerkleistung. Unterstützte Instances: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn und R5n.

Session Manager-Sitzungen

Standardmäßig verwendet Session Manager TLS 1.3 zum Verschlüsseln von Sitzungsdaten, die zwischen lokalen Computern von Benutzern in Ihrem Konto und Ihren EC2-Instances übertragen werden. Sie können sich auch dafür entscheiden, die Daten während der Übertragung mithilfe eines AWS KMS key , das in erstellt wurde, weiter zu verschlüsseln. AWS KMS AWS KMS Verschlüsselung ist für die NonInteractiveCommands Sitzungstypen Standard_StreamInteractiveCommands, und verfügbar.

Run Command-Zugriff

Standardmäßig wird der Remote-Zugriff auf Ihre Knoten über Run Command mit TLS 1.3 verschlüsselt und Anfragen zum Verbindungsaufbau werden mit SigV4 signiert.

Richtlinie für den Datenverkehr zwischen Netzwerken

Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um Grenzen zwischen Ressourcen in Ihren verwalteten Knoten zu erstellen und den Datenverkehr zwischen ihnen, Ihrem On-Premises-Netzwerk und dem Internet zu steuern. Einzelheiten finden Sie unter Verbessern Sie die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für Systems Manager.

Weitere Informationen zur Sicherheit der Amazon Virtual Private Cloud finden Sie unter Datenschutz des Internet-Datenverkehrs in Amazon VPC im Benutzerhandbuch Amazon VPC.