Datenschutz in Amazon VPC Lattice - Amazon VPC Lattice
Verschlüsselung während der ÜbertragungVerschlüsselung im Ruhezustand

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in Amazon VPC Lattice

Das AWS Modell der gilt für den Datenschutz in Amazon VPC Lattice. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen. AWS Cloud Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt enthält die Sicherheitskonfigurations- und Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services . Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS -Modell der geteilten Verantwortung und in der DSGVO im AWS -Sicherheitsblog.

Verschlüsselung während der Übertragung

VPC Lattice ist ein vollständig verwalteter Service, der aus einer Steuerungsebene und einer Datenebene besteht. Jede Ebene dient einem bestimmten Zweck im Service. Die Steuerungsebene stellt die administrativen APIs bereit, die zum Erstellen, Lesen/Beschreiben, Aktualisieren, Löschen und Auflisten (CRUDL) von Ressourcen verwendet werden (z. B. und. CreateService UpdateService Die Kommunikation mit der Steuerebene von VPC Lattice ist während der Übertragung durch TLS geschützt. Die Datenebene ist die Invoke-API von VPC Lattice, die die Verbindung zwischen Diensten bereitstellt. TLS verschlüsselt auch die Kommunikation mit der Datenebene von VPC Lattice. Die Cipher Suite und die Protokollversion verwenden die von VPC Lattice bereitgestellten Standardeinstellungen und sind nicht konfigurierbar. Weitere Informationen finden Sie unter HTTPS-Listener für VPC Lattice-Dienste.

Verschlüsselung im Ruhezustand

Standardmäßig trägt die Verschlüsselung ruhender Daten dazu bei, den betrieblichen Aufwand und die Komplexität beim Schutz sensibler Daten zu reduzieren. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.

Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

Wenn Sie eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verwenden, wird jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzliche Sicherheit verschlüsselt es den Root-Schlüssel selbst mit einem Root-Schlüssel, der regelmäßig rotiert. Die serverseitige Amazon-S3-Verschlüsselung verwendet zum Verschlüsseln Ihrer Daten eine der stärksten verfügbaren Blockverschlüsselungen, 256-bit Advanced Encryption Standard (AES-256) GCM. Für Objekte, die vor AES-GCM verschlüsselt wurden, wird AES-CBC zum Entschlüsseln dieser Objekte weiterhin unterstützt. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) verwenden.

Wenn Sie serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) für Ihren S3-Bucket für VPC Lattice-Zugriffsprotokolle aktivieren, verschlüsselt AWS automatisch jede Zugriffsprotokolldatei, bevor sie in Ihrem S3-Bucket gespeichert wird. Weitere Informationen finden Sie unter An Amazon S3 gesendete Logs im CloudWatch Amazon-Benutzerhandbuch.

Serverseitige Verschlüsselung mit in AWS KMS (SSE-KMS) gespeicherten AWS KMS Schlüsseln

Die serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) ähnelt SSE-S3, bietet jedoch einige zusätzliche Vorteile und Gebühren für die Nutzung dieses Dienstes. Es gibt separate Berechtigungen für die Verwendung eines AWS KMS Schlüssels, der zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE-KMS bietet Ihnen auch einen Prüfpfad, aus dem hervorgeht, wann und von AWS KMS wem Ihr Schlüssel verwendet wurde. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS) verwenden.

Verschlüsselung und Entschlüsselung des privaten Schlüssels Ihres Zertifikats

Ihr ACM-Zertifikat und Ihr privater Schlüssel werden mit einem AWS verwalteten KMS-Schlüssel verschlüsselt, der den Alias aws/acm hat. Sie können die Schlüssel-ID mit diesem Alias in der AWS KMS Konsole unter Verwaltete Schlüssel einsehen. AWS

VPC Lattice greift nicht direkt auf Ihre ACM-Ressourcen zu. Es verwendet den AWS TLS Connection Manager, um die privaten Schlüssel Ihres Zertifikats zu sichern und darauf zuzugreifen. Wenn Sie Ihr ACM-Zertifikat verwenden, um einen VPC Lattice-Dienst zu erstellen, ordnet VPC Lattice Ihr Zertifikat dem TLS Connection Manager zu. AWS Dazu erstellen Sie eine Grant-ID für Ihren AWS verwalteten Schlüssel mit dem AWS KMS Präfix aws/acm. Ein Grant ist ein politisches Instrument, das es dem TLS Connection Manager ermöglicht, KMS-Schlüssel für kryptografische Operationen zu verwenden. Die Gewährung ermöglicht es dem Prinzipal des Empfängers (TLS Connection Manager), die angegebenen Grant-Operationen für den KMS-Schlüssel aufzurufen, um den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. Der TLS-Verbindungsmanager verwendet dann das Zertifikat und den entschlüsselten privaten Schlüssel (Klartext), um eine sichere Verbindung (SSL/TLS-Sitzung) mit Clients von VPC Lattice-Diensten herzustellen. Wenn das Zertifikat von einem VPC Lattice-Dienst getrennt wird, wird der Grant zurückgezogen.

Wenn Sie den Zugriff auf den KMS-Schlüssel entfernen möchten, empfehlen wir, das Zertifikat mithilfe des update-service Befehls oder aus dem Dienst zu ersetzen AWS Management Console oder zu löschen. AWS CLI

Verschlüsselungskontext für VPC Lattice

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche Kontextinformationen darüber enthalten, wofür Ihr privater Schlüssel verwendet werden kann. AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten und verwendet ihn als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen.

Wenn Ihre TLS-Schlüssel mit VPC Lattice und dem TLS Connection Manager verwendet werden, ist der Name Ihres VPC Lattice-Dienstes in dem Verschlüsselungskontext enthalten, der zur Verschlüsselung Ihres Schlüssels im Ruhezustand verwendet wird. Sie können überprüfen, für welchen VPC Lattice-Dienst Ihr Zertifikat und Ihr privater Schlüssel verwendet werden, indem Sie sich den Verschlüsselungskontext in Ihren CloudTrail Protokollen ansehen, wie im nächsten Abschnitt gezeigt, oder indem Sie in der ACM-Konsole die Registerkarte Zugeordnete Ressourcen aufrufen.

Um Daten zu entschlüsseln, ist derselbe Verschlüsselungskontext in der Anfrage enthalten. VPC Lattice verwendet bei allen kryptografischen AWS KMS-Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel aws:vpc-lattice:arn und der Wert der Amazon-Ressourcenname (ARN) des VPC Lattice-Dienstes ist.

Das folgende Beispiel zeigt den Verschlüsselungskontext in der Ausgabe eines Vorgangs wie: CreateGrant 

"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Überwachung Ihrer Verschlüsselungsschlüssel für VPC Lattice

Wenn Sie einen AWS verwalteten Schlüssel mit Ihrem VPC Lattice-Dienst verwenden, können Sie damit Anfragen verfolgen, AWS CloudTrailan die VPC Lattice sendet. AWS KMS

CreateGrant

Wenn Sie Ihr ACM-Zertifikat zu einem VPC Lattice-Dienst hinzufügen, wird in Ihrem Namen eine CreateGrant Anfrage gesendet, dass TLS Connection Manager den mit Ihrem ACM-Zertifikat verknüpften privaten Schlüssel entschlüsseln kann.

Sie können den CreateGrant Vorgang unter >> Ereignishistorie>> als Ereignis anzeigen. CloudTrail CreateGrant

Im Folgenden finden Sie ein Beispiel für einen Ereignisdatensatz in der CloudTrail Ereignishistorie für den CreateGrant Vorgang: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Im obigen CreateGrant Beispiel werden Sie feststellen, dass der Principal des Empfängers TLS Connection Manager ist und der Verschlüsselungskontext den ARN des VPC-Lattice-Dienstes hat.

ListGrants

Sie können Ihre KMS-Schlüssel-ID und Ihre Konto-ID verwenden, um die API aufzurufen. ListGrants Dadurch erhalten Sie eine Liste aller Grants für den angegebenen KMS-Schlüssel. Weitere Informationen finden Sie unter ListGrants.

Verwenden Sie den folgenden ListGrants Befehl in der AWS CLI , um die Details aller Zuschüsse zu sehen: 

aws kms list-grants —key-id your-kms-key-id

Ihre Ausgabe sollte dem folgenden Beispiel ähneln:

{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Im obigen ListGrants Beispiel werden Sie feststellen, dass der Principal des Empfängers TLS Connection Manager ist und der Verschlüsselungskontext den ARN des VPC-Lattice-Dienstes hat.

Decrypt

VPC Lattice verwendet den TLS Connection Manager, um den Decrypt Vorgang zum Entschlüsseln Ihres privaten Schlüssels aufzurufen, um TLS-Verbindungen in Ihrem VPC Lattice-Dienst bereitzustellen. Sie können den Decrypt Vorgang unter >> Ereignisverlauf >> als Ereignis anzeigen. CloudTrail Decrypt

Im Folgenden finden Sie ein Beispiel für einen Ereignisdatensatz in der CloudTrail Ereignishistorie für den Decrypt Vorgang: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}