Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenschlüssel generieren
<a name="data-keys"></a>

*Datenschlüssel* sind symmetrische Schlüssel, mit denen Sie Daten verschlüsseln können. Dazu gehören große Datenmengen und andere Datenverschlüsselungsschlüssel. Im Gegensatz zu symmetrischen KMS-Schlüsseln, die nicht heruntergeladen werden können, werden Datenschlüssel an Sie zurückgegeben, damit Sie sie außerhalb von verwenden können. AWS KMS

Beim AWS KMS Generieren von Datenschlüsseln werden ein Klartext-Datenschlüssel zur sofortigen Verwendung (optional) und eine verschlüsselte Kopie des Datenschlüssels zurückgegeben, die Sie sicher zusammen mit den Daten speichern können. Wenn Sie bereit sind, die Daten zu entschlüsseln, bitten Sie zunächst darum, den verschlüsselten Datenschlüssel AWS KMS zu entschlüsseln. 

AWS KMS generiert, verschlüsselt und entschlüsselt Datenschlüssel. AWS KMS Speichert, verwaltet oder verfolgt Ihre Datenschlüssel jedoch nicht und führt auch keine kryptografischen Operationen mit Datenschlüsseln durch. Sie müssen Datenschlüssel außerhalb von AWS KMS verwenden und verwalten. Hilfe bei der sicheren Verwendung von Datenschlüsseln finden Sie unter [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).

**Topics**
+ [Erstellen eines Datenschlüssels](#data-keys-create)
+ [Wie funktionieren kryptografische Operationen mit Datenschlüsseln](#use-data-keys)
+ [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md)

## Erstellen eines Datenschlüssels
<a name="data-keys-create"></a>

Rufen Sie den [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Vorgang auf, um einen Datenschlüssel zu erstellen. AWS KMS generiert den Datenschlüssel. Anschließend wird eine Kopie des Datenschlüssels unter dem von Ihnen angegebenen [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) verschlüsselt. Diese Operation gibt eine Klartextkopie des Datenschlüssels und die unter dem KMS-Schlüssel verschlüsselte Kopie des Datenschlüssels zurück. Die folgende Abbildung zeigt diese Operation.

![\[Erzeugen eines Datenschlüssels\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/generate-data-key.png)


AWS KMS unterstützt auch den [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)Vorgang, der nur einen verschlüsselten Datenschlüssel zurückgibt. Wenn Sie den Datenschlüssel verwenden müssen, bitten Sie darum, ihn AWS KMS zu [entschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

## Wie funktionieren kryptografische Operationen mit Datenschlüsseln
<a name="use-data-keys"></a>

In den folgenden Themen wird erklärt, wie Datenschlüssel funktionieren, die durch eine [GenerateDataKey[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)OR-Operation generiert wurden.

### Verschlüsseln von Daten mit einem Datenschlüssel
<a name="data-keys-encrypt"></a>

AWS KMS kann keinen Datenschlüssel zum Verschlüsseln von Daten verwenden. Sie können den Datenschlüssel jedoch auch außerhalb von verwenden AWS KMS, z. B. mithilfe von OpenSSL oder einer kryptografischen Bibliothek wie der. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)

Entfernen Sie den Klartext-Datenschlüssel nach dem Verschlüsseln der Daten möglichst schnell aus dem Arbeitsspeicher. Sie können den verschlüsselten Datenschlüssel sicher zusammen mit den verschlüsselten Daten speichern, damit er zum Entschlüsseln der Daten verfügbar ist.

![\[Verschlüsseln Sie Benutzerdaten außerhalb von AWS KMS\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/encrypt-with-data-key.png)


### Entschlüsseln von Daten mit einem Datenschlüssel
<a name="data-keys-decrypt"></a>

Um Ihre Daten zu entschlüsseln, übergeben Sie den verschlüsselten Datenschlüssel an den Vorgang [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). AWS KMS verwendet Ihren KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln, und gibt dann den Klartext-Datenschlüssel zurück. Entschlüsseln Sie die Daten mit dem Klartext-Datenschlüssel und entfernen den Klartext-Datenschlüssel dann schnellstmöglich aus dem Arbeitsspeicher.

Das folgende Diagramm zeigt, wie Sie mit der Operation `Decrypt` einen verschlüsselten Datenschlüssel entschlüsseln.

![\[Entschlüsseln eines Datenschlüssels\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/decrypt.png)