Datenschutz in AWS Systems Manager - AWS Systems Manager
DatenverschlüsselungRichtlinie für den Datenverkehr zwischen Netzwerken

Datenschutz in AWS Systems Manager

Dieser Datenschutz bezieht sich auf Daten bei der Übertragung (wenn sie zu oder von Systems Manager geschickt werden), ebenso wie im Ruhezustand (die in AWS-Rechenzentren gespeichert sind).

Das Modell der geteilten Verantwortung von AWS gilt für den Datenschutz in AWS Systems Manager. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS-Modell der geteilten Verantwortung und in der DSGVO im AWS-Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Informationen zur Verwendung von CloudTrail-Trails zur Erfassung von AWS-Aktivitäten finden Sie unter Arbeiten mit CloudTrail-Trails im AWS CloudTrail-Benutzerhandbuch.

  • Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Systems Manager oder anderen AWS-Services über die Konsole, API, AWS CLI oder AWS-SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Datenverschlüsselung

Verschlüsselung im Ruhezustand

Parameter Store-Parameter

Die Arten von Parametern, die Sie in Parameter Store, eine Funktion von AWS Systems Manager, erstellen können, beinhalten String ,StringList, und SecureString.

Zum Verschlüsseln von SecureString-Parameterwerten verwendet Parameter Store einen AWS KMS key in AWS Key Management Service (AWS KMS). AWS KMS verwendet entweder einen vom Kunden verwalteten Schlüssel oder einen Von AWS verwalteter Schlüssel zur Verschlüsselung des Parameterwertes in einer AWS verwalteten Datenbank.

Wichtig

Speichern Sie keine vertraulichen Daten in einem String- oder StringList-Parameter. Verwenden Sie für alle vertraulichen Daten, die verschlüsselt bleiben müssen, nur den SecureString-Parametertyp.

Weitere Informationen erhalten Sie unter Was ist ein Parameter? und Einschränken des Zugriffs auf Parameter Store-Parameter mithilfe von IAM-Richtlinien.

Inhalt in S3-Buckets

Als Teil Ihrer Systems Manager-Vorgänge können Sie Daten in einen oder mehrere Amazon Simple Storage Service (Amazon S3)-Buckets hochladen oder speichern.

Informationen zur Verschlüsselung von S3-Buckets finden Sie unter Daten durch Verschlüsselung schützen und Datenschutz in Amazon S3 im Benutzerhandbuch zu Amazon Simple Storage Service.

Die folgenden Datentypen können Sie als Teil Ihrer Systems Manager-Aktivitäten hochladen oder in S3 Buckets speichern lassen:

  • Die Ausgabe der Befehle in Run Command, eine Funktion von AWS Systems Manager

  • Pakete in Distributor, eine Funktion von AWS Systems Manager

  • Patching-Vorgangsprotokolle in Patch Manager, eine Funktion von AWS Systems Manager

  • Patch Manager Patch-Überschreibungslisten

  • Skripte oder Ansible Playbooks, die in einem Runbook-Workflow in Automation ausgeführt werden sollen, eine Funktion von AWS Systems Manager

  • Chef InSpec-Profile für die Verwendung mit Scans in Compliance, eine Funktion von AWS Systems Manager

  • AWS CloudTrail-Protokolle

  • Protokolle des Sitzungsverlaufs Session Manager, eine Funktion von AWS Systems Manager

  • Berichte von Explorer, eine Funktion von AWS Systems Manager

  • OpsData von OpsCenter, eine Funktion von AWS Systems Manager

  • AWS CloudFormation-Vorlagen für die Verwendung mit Automation-Workflows

  • Compliance-Daten aus einem Resource Data Sync-Scan

  • Ausgabe von Anforderungen zum Erstellen oder Bearbeiten von Zuordnungen in State Manager, eine Funktion von AWS Systems Manager, auf verwalteten Knoten

  • Benutzerdefinierte Systems Manager-Dokumente (SSM-Dokumente), die Sie mit dem AWS-verwalteten SSM-Dokument AWS-RunDocument ausführen können

CloudWatch Logs-Protokollgruppen

Als Teil Ihrer Systems Manager-Operationen könnten Sie sich dafür entscheiden, Daten in eine oder mehrere Amazon CloudWatch Logs-Protokollgruppen zu streamen.

Informationen zur Verschlüsselung von CloudWatch-Logs-Protokollgruppen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs mit AWS Key Management Service im Benutzerhandbuch zu Amazon CloudWatch Logs.

Im Folgenden sind die Datentypen aufgeführt, die Sie möglicherweise als Teil Ihrer Systems Manager-Aktivitäten in eine CloudWatch Logs-Protokollgruppe gestreamt haben.

  • Die Ausgabe der Run Command-Befehle

  • Ausgabe von Skripten, die mit der aws:executeScript-Aktion in einem Automation-Runbooks ausgeführt werden

  • Session Manager-Sitzungsverlaufsprotokolle

  • Protokolle vom SSM Agent auf Ihren verwalteten Nodes

Verschlüsselung während der Übertragung

Wir empfehlen, dass Sie ein Verschlüsselungsprotokoll wie Transport Layer Security (TLS) verwenden, um sensible Daten bei der Übertragung zwischen den Clients und Ihren Knoten zu verschlüsseln.

Systems Manager bietet die folgende Unterstützung für die Verschlüsselung Ihrer Daten während der Übertragung.

Verbindungen zu Systems Manager API-Endpunkten

Systems Manager-API-Endpunkte unterstützen ausschließlich sichere Verbindungen über HTTPS. Wenn Sie Systems Manager-Ressourcen mit der AWS Management Console, dem AWS SDK oder der Systems Manager-API verwalten, wird die gesamte Kommunikation mit Transport Layer Security (TLS) verschlüsselt. Eine vollständige Liste der API-Endpunkte finden Sie unter AWS-Service-Endpunkte im Allgemeine Amazon Web Services-Referenz.

Verwaltete Instances

AWS bietet sichere und private Konnektivität zwischen Amazon Elastic Compute Cloud (Amazon EC2)-Instances. Darüber hinaus wird Datenverkehr zwischen unterstützen Instances in einer Virtual Private Cloud (VPC) oder in per Peering verbundenen VPCs automatisch mithilfe von AEAD-Algorithmen mit 256-Bit-Verschlüsselung verschlüsselt. Das Verschlüsselungsfeature verwendet die Offload-Möglichkeiten der zugrunde liegenden Hardware ohne Auswirkungen auf die Netzwerkleistung. Unterstützte Instances: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn und R5n.

Session Manager-Sitzungen

Standardmäßig verwendet Session Manager TLS 1.3 zum Verschlüsseln von Sitzungsdaten, die zwischen lokalen Computern von Benutzern in Ihrem Konto und Ihren EC2-Instances übertragen werden. Sie können die Daten während der Übertragung auch weiter verschlüsseln, indem Sie ein AWS KMS key verwenden, das in AWS KMS erstellt wurde. AWS KMS-Verschlüsselung ist verfügbar für Standard_Stream-, InteractiveCommands-, und NonInteractiveCommands-Sitzungstypen.

Run Command-Zugriff

Standardmäßig wird der Remote-Zugriff auf Ihre Knoten über Run Command mit TLS 1.3 verschlüsselt und Anfragen zum Verbindungsaufbau werden mit SigV4 signiert.

Richtlinie für den Datenverkehr zwischen Netzwerken

Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um Grenzen zwischen Ressourcen in Ihren verwalteten Knoten zu erstellen und den Datenverkehr zwischen ihnen, Ihrem On-Premises-Netzwerk und dem Internet zu steuern. Einzelheiten finden Sie unter Verbessern Sie die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für Systems Manager.

Weitere Informationen zur Sicherheit der Amazon Virtual Private Cloud finden Sie unter Datenschutz des Internet-Datenverkehrs in Amazon VPC im Benutzerhandbuch Amazon VPC.