Datenschutz und Verschlüsselung in S3 Vectors - Amazon Simple Storage Service
Festlegen der Bucket-Verschlüsselung

Datenschutz und Verschlüsselung in S3 Vectors

Anmerkung

Amazon S3 Vectors befindet sich in der Vorabversion für Amazon Simple Storage Service und unterliegt noch Änderungen.

Amazon S3 Vectors bietet eine Haltbarkeit von 99,999999999% (11 9s) für Ihre Vektordaten, was eine außergewöhnliche Zuverlässigkeit für Ihre Vektorspeicheranforderungen gewährleistet. Diese Beständigkeit wird durch die bewährte Infrastruktur von Amazon S3 unterstützt, die darauf ausgelegt ist, die Datenintegrität und Verfügbarkeit auch bei Hardwareausfällen oder anderen Störungen aufrechtzuerhalten.

Der Datenschutz in S3 Vectors umfasst mehrere Ebenen von Sicherheitskontrollen, die darauf ausgelegt sind, Ihre Vektordaten sowohl im Speicher als auch bei der Übertragung zu schützen.

Standardmäßig verwenden alle neuen Vektoren in Vektor-Buckets von Amazon S3 Vectors die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3). Wenn Sie einen Vektor-Bucket mit SSE-S3-Verschlüsselung erstellen, verwenden alle nachfolgenden Operationen auf dem Bucket automatisch Verschlüsselung.

S3 Vectors ist auch in den AWS Key Management Service (KMS) integriert, um flexible Optionen für die Verwaltung von Verschlüsselungsschlüsseln bereitzustellen, sodass Sie vom Kunden verwaltete Schlüssel für die Berechtigungskontrolle und Überprüfbarkeit auswählen können.

Festlegen des serverseitigen Verschlüsselungsverhaltens für Amazon-S3-Vektor-Buckets

Die Verschlüsselungskonfiguration in S3 Vectors ist eine grundlegende Sicherheitseinstellung, die Sie angeben müssen, wenn Sie einen Vektor-Bucket erstellen. Dieses Design stellt sicher, dass alle im Bucket gespeicherten Vektordaten ab dem Zeitpunkt der Erstellung verschlüsselt werden. Die Verschlüsselungskonfiguration gilt für alle Vektoren, Vektorindizes und Metadaten innerhalb des Buckets und bietet so einen konsistenten Schutz für Ihren gesamten Vektordatensatz in einem Vektor-Bucket.

Wichtig

Die Verschlüsselungseinstellungen für einen Vektor-Bucket können nach dessen Erstellung nicht mehr geändert werden. Sie müssen Ihre Verschlüsselungsanforderungen bei der Erstellung des Buckets sorgfältig abwägen, einschließlich der Compliance-Anforderungen, der Einstellungen für die Schlüsselverwaltung und der Integration in die bestehende Sicherheitsinfrastruktur.

Der Verschlüsselungstyp SSE-S3 oder SSE-KMS wird auf Vektor-Bucket-Ebene festgelegt und gilt für alle Vektorindizes und Vektoren innerhalb des Buckets. Sie können nicht zu unterschiedlichen Verschlüsselungseinstellungen für einzelne Indizes innerhalb eines Buckets wechseln. Die Verschlüsselungskonfiguration gilt nicht nur für die Vektordaten selbst, sondern auch für alle zugehörigen Metadaten.

SSE-S3-Verschlüsselung verwenden

Die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) bietet eine einfache und effektive Verschlüsselungslösung für Vektor-Buckets, die alle Aspekte des Verschlüsselungsprozesses AWS verwaltet. Diese Verschlüsselungsmethode verwendet AES-256 Verschlüsselung und ist so konzipiert, dass sie hohe Sicherheit bei minimalem Betriebsaufwand bietet und Unternehmen eine robuste Verschlüsselung ohne die Komplexität der Verwaltung von Verschlüsselungsschlüsseln bietet.

Mit SSE-S3 übernimmt Amazon S3 die Generierung, Rotation und Verwaltung von Verschlüsselungsschlüsseln automatisch. SSE-S3 bietet hohe Sicherheit ohne zusätzliche Konfiguration oder laufende Verwaltungsanforderungen. Die Verschlüsselungs- und Entschlüsselungsprozesse werden automatisch vom Service abgewickelt, und es fallen keine zusätzlichen Gebühren für die Verwendung der SSE-S3-Verschlüsselung an, die über die Standardpreise von S3 Vectors hinausgehen.

Verwenden der SSE-KMS-Verschlüsselung

Die serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS) bietet eine verbesserte Kontrolle über Verschlüsselungsschlüssel und ermöglicht eine detaillierte Auditprotokollierung der Schlüsselverwendung. Diese Verschlüsselungsmethode ist ideal für Unternehmen mit strengen Compliance-Anforderungen, für Unternehmen, die benutzerdefinierte Richtlinien für die Schlüsselrotation implementieren müssen, oder für Umgebungen, in denen detaillierte Prüfprotokolle für den Datenzugriff erforderlich sind.

SSE-KMS ermöglicht es Ihnen, kundenseitig verwaltete Schlüssel (CMKs) zur Verschlüsselung Ihrer Vektordaten zu verwenden. Kundenseitig verwaltete Schlüssel bieten ein Höchstmaß an Kontrolle, sodass Sie Schlüsselrichtlinien definieren, Schlüssel aktivieren oder deaktivieren und die Schlüsselnutzung über AWS CloudTrail überwachen können. Durch dieses Maß an Kontrolle eignet sich SSE-KMS besonders für regulierte Branchen oder Organisationen mit spezifischen Anforderungen an die Daten-Governance.

Wenn Sie SSE-KMS mit kundenseitig verwalteten Schlüsseln verwenden, haben Sie die vollständige Kontrolle darüber, wer die Schlüssel zum Verschlüsseln und Entschlüsseln von Daten verwenden kann. Sie können detaillierte Schlüsselrichtlinien erstellen, die angeben, welche Benutzer, Rollen oder Dienste auf die Schlüssel zugreifen können.

Wichtige Überlegungen für SSE-KMS

  • Anforderungen an das KMS-Schlüsselformat: S3 Vectors erfordert, dass Sie KMS-Schlüssel im vollständigen Amazon-Ressourcenname (ARN)-Format angeben. Schlüssel-IDs oder Schlüsselaliase werden nicht unterstützt.

  • Service-Prinzipal-Berechtigungen: Wenn Sie kundenseitig verwaltete Schlüssel mit S3 Vectors verwenden, müssen Sie dem S3 Vectors-Service-Prinzipal ausdrücklich Berechtigungen zur Verwendung Ihres KMS-Schlüssels erteilen. Diese Anforderung stellt sicher, dass der Service Ihre Daten für Sie ver- und entschlüsseln kann. Der Service-Prinzipal, der Zugriff benötigt, ist. indexing.s3vectors.amazonaws.com

Beispiel: KMS-Schlüsselrichtlinie für S3 Vectors

Um einen vom Kunden verwalteten KMS-Schlüssel mit S3 Vectors zu verwenden, müssen Sie Ihre Schlüsselrichtlinie so aktualisieren, dass sie Berechtigungen für den S3 Vectors-Service-Prinzipal enthält. Hier ist ein umfassendes Beispiel für eine Schlüsselrichtlinie.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3VectorsServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "indexing.s3vectors.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3vectors:aws-region:123456789012:bucket/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        },
        {
            "Sid": "AllowApplicationAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam:123456789012:role/VectorApplicationRole",
                    "arn:aws:iam:123456789012:user/DataScientist"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3vectors.aws-region.amazonaws.com"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        }
    ]
}

  • Erforderliche KMS-Berechtigungen:

    • Service-Prinzipal-Berechtigung für S3 Vectors:

      • kms:Decrypt – Erforderlich für den S3 Vectors-Service-Prinzipal (indexing.s3vectors.amazonaws.com) auf Ihrem vom Kunden verwalteten Schlüssel, um den Index in Hintergrundvorgängen zu pflegen und zu optimieren.

    • IAM-Prinzipal-Berechtigungen:

  • Überlegungen zum kontenübergreifenden Zugriff: Bei der Implementierung von kontoübergreifenden Zugriffsmustern mit SSE-KMS müssen Sie sicherstellen, dass die KMS-Schlüsselrichtlinie den Zugriff durch die entsprechenden Prinzipale in anderen Konten ermöglicht. Das ARN-Schlüsselformat wird in kontenübergreifenden Szenarien besonders wichtig, da es unabhängig vom Kontokontext, aus dem auf ihn zugegriffen wird, einen eindeutigen Verweis auf den Schlüssel bietet.