Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Schlüsselverwaltung in Amazon Managed Service für Apache Flink
<a name="key-management-flink"></a>

In Amazon MSF können Sie wählen, ob Sie entweder [Von AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)oder Ihre eigenen vom [Kunden verwalteten Schlüssel (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-mgn-key) zum Verschlüsseln von Daten verwenden möchten. CMKs In AWS Key Management Service (AWS KMS) sind Verschlüsselungsschlüssel, die Sie selbst erstellen, besitzen und verwalten.

**Topics**
+ [Transparente Verschlüsselung in Amazon MSF](#transparent-encryption-flink)
+ [Vom Kunden verwaltete Schlüssel in Amazon MSF](#cmk-flink)
+ [Verwenden von kundenverwalteten Schlüsseln in Amazon MSF](use-cmk-flink.md)
+ [Verwaltung von CMK mit AWS-Managementkonsole](manage-cmk-console.md)
+ [CMK verwalten mit APIs](manage-cmk-api.md)

## Transparente Verschlüsselung in Amazon MSF
<a name="transparent-encryption-flink"></a>

Standardmäßig verwendet Amazon MSF AWS-eigene Schlüssel (AOKs), um Ihre Daten in kurzlebigen (laufenden Anwendungsspeicher) und dauerhaften (dauerhaften Anwendungsspeicher) Speichern zu verschlüsseln. Das bedeutet, dass alle Daten, die einem [Flink-Checkpoint](how-fault.md) oder [Snapshot](how-snapshots.md) unterliegen, standardmäßig verschlüsselt werden. AOKs sind die Standardverschlüsselungsmethode in Amazon MSF und es ist keine zusätzliche Einrichtung erforderlich. Um Daten während der Übertragung zu verschlüsseln, verwendet Amazon MSF standardmäßig TLS und HTTP\$1SSL und erfordert keine zusätzliche Einrichtung oder Konfiguration.

## Vom Kunden verwaltete Schlüssel in Amazon MSF
<a name="cmk-flink"></a>

In Amazon MSF ist CMK eine Funktion, mit der Sie die Daten Ihrer Anwendung mit einem Schlüssel verschlüsseln können, den Sie erstellen, besitzen und mit dem Sie verwalten. AWS KMS

**Topics**
+ [Womit ist verschlüsselt? CMKs](#what-is-encrypted-cmk)
+ [Womit ist nicht verschlüsselt? CMKs](#what-is-not-encrypted-cmk)
+ [Unterstützte KMS-Schlüsseltypen](#supported-kms-key-types)
+ [KMS-Schlüsselberechtigungen](#kms-key-permissions)
+ [Kontext und Einschränkungen der KMS-Verschlüsselung](#kms-encryption-context-constraints)
+ [Richtlinie zur Schlüsselrotation](#kms-key-rotation-policy)
+ [Wichtige Richtlinienerklärungen für die am wenigsten privilegierten Personen](#kms-least-privilege-policy-examples)
+ [Beispiele für AWS CloudTrail Protokolleinträge](#kms-cloudtrail-log-entries)

### Womit ist verschlüsselt? CMKs
<a name="what-is-encrypted-cmk"></a>

In einer Amazon MSF-Anwendung werden Daten, die einem Flink-Checkpoint oder -Snapshot unterliegen, mit einem CMK verschlüsselt, den Sie für diese Anwendung definieren. Folglich verschlüsselt Ihr CMK Daten, die entweder im laufenden Anwendungsspeicher oder im dauerhaften Anwendungsspeicher gespeichert sind. [In den folgenden Abschnitten](manage-cmk-api.md) wird das Verfahren CMKs zur Einrichtung Ihrer Amazon MSF-Anwendungen beschrieben.

**Richtlinie zur Schlüsselrotation**  
Amazon MSF verwaltet die Schlüsselrotationsrichtlinie für Sie CMKs nicht. Sie sind für Ihre eigene Schlüsselrotation verantwortlich. Das liegt daran, dass Sie etwas erstellen und verwalten CMKs. Informationen zur Verwendung Ihrer Schlüsselrotationsrichtlinie mit CMK in Amazon MSF finden Sie unter. [Richtlinie zur Schlüsselrotation](#kms-key-rotation-policy)

### Womit ist nicht verschlüsselt? CMKs
<a name="what-is-not-encrypted-cmk"></a>

**Quellen und Senken**  
Die Verschlüsselung von Datenquellen und Datensenken wird nicht von Amazon MSF verwaltet. Sie wird durch Ihre Quell- oder Senkenkonfiguration oder Anwendungskonnektorkonfiguration verwaltet.

**Rückwirkende Anwendung der Verschlüsselung**  
CMK in Amazon MSF bietet keine Unterstützung für die rückwirkende Anwendung CMKs auf einen vorhandenen historischen Snapshot.

**Verschlüsselung von Protokollen**  
Derzeit unterstützt Amazon MSF keine Protokollverschlüsselung mit KMS CMK für Protokolle, die mit Ihrem Anwendungscode-JAR generiert wurden. Sie müssen sicherstellen, dass die Protokolle keine Daten enthalten, für die eine CMK-Verschlüsselung erforderlich ist.

**Verschlüsseln von Daten während der Übertragung.**  
Sie können CMK nicht verwenden, um Daten während der Übertragung zu verschlüsseln. Standardmäßig verschlüsselt Amazon MSF alle Daten während der Übertragung mit TLS oder HTTP und SSL.

### Unterstützte KMS-Schlüsseltypen
<a name="supported-kms-key-types"></a>

CMK in Amazon MSF unterstützt [symmetrische](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks) Schlüssel.

### KMS-Schlüsselberechtigungen
<a name="kms-key-permissions"></a>

CMK in Amazon MSF benötigt die Erlaubnis, die folgenden KMS-Aktionen durchzuführen. Diese Berechtigungen sind erforderlich, um den Zugriff zu validieren, CMK-verschlüsselten Speicher für laufende Anwendungen zu erstellen und den CMK-verschlüsselten Anwendungsstatus im dauerhaften Anwendungsspeicher zu speichern.
+ 

**[km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)**  
Erteilt die Berechtigung, einen KMS-Schlüsselalias in den Schlüssel-ARN aufzulösen.
+ 

**[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)**  
Erteilt die Berechtigung für den Zugriff auf den dauerhaften Status der Anwendung und für die Bereitstellung laufender Anwendungsspeicher.
+ 

**[km: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)**  
Erteilt die Erlaubnis, den dauerhaften Anwendungsstatus zu speichern.
+ 

**[km: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)**  
Erteilt die Erlaubnis zur Bereitstellung von Speicher für laufende Anwendungen.
+ 

**[km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)**  
Erteilt die Berechtigung für den Zugriff auf den Speicher laufender Anwendungen.

### Kontext und Einschränkungen der KMS-Verschlüsselung
<a name="kms-encryption-context-constraints"></a>

CMK in Amazon MSF bietet Verschlüsselungskontext beim Zugriff auf Schlüssel zum Lesen oder Schreiben verschlüsselter Daten, d. h. `kms:EncryptionContext:aws:kinesisanalytics:arn` Zusätzlich zum Verschlüsselungskontext SourceAccount werden die Quellkontexte [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) beim Lesen oder Schreiben von dauerhaftem Anwendungsspeicher bereitgestellt.

Bei der Erstellung von Zuschüssen für die Bereitstellung von verschlüsseltem Speicher für laufende Anwendungen erstellt Amazon MSF CMK Zuschüsse mit dem Einschränkungstyp, [EncryptionContextSubset](https://docs.aws.amazon.com/kms/latest/developerguide/create-grant-overview.html#grant-constraints)um sicherzustellen, dass nur [Entschlüsselungsvorgänge durchgelassen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) werden. `"kms:GrantOperations": "Decrypt"`

### Richtlinie zur Schlüsselrotation
<a name="kms-key-rotation-policy"></a>

Amazon MSF verwaltet die Schlüsselrotationsrichtlinie für Sie CMKs nicht. Sie sind für Ihre eigene Schlüsselrotation verantwortlich, da Sie sie erstellen und verwalten CMKs.

In KMS verwenden Sie entweder die automatische oder die manuelle Schlüsselrotation, um neues kryptografisches Material für Sie CMKs zu erstellen. Informationen zum Rotieren Ihrer Schlüssel finden Sie unter [Rotation AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) im *AWS Key Management Service Entwicklerhandbuch*.

Wenn Sie Schlüssel CMKs in Amazon MSF rotieren, müssen Sie sicherstellen, dass der Operator (API-Aufrufer) über Berechtigungen sowohl für den vorherigen als auch für den neuen Schlüssel verfügt.

**Anmerkung**  
Eine Anwendung kann mit einem Snapshot beginnen, der mit AOK verschlüsselt wurde, nachdem er für die Verwendung von CMK konfiguriert wurde. Eine Anwendung kann auch von einem Snapshot aus starten, der mit einem älteren CMK verschlüsselt wurde. Um eine Anwendung von einem Snapshot aus zu starten, muss der Operator (API-Aufrufer) über Berechtigungen sowohl für den alten als auch für den neuen Schlüssel verfügen.

In Amazon MSF empfehlen wir, dass Sie Ihre Anwendungen mithilfe der CMK-Verschlüsselung beenden und neu starten. Dadurch wird sichergestellt, dass der neue Rotations-Hauptschlüssel auf alle Daten im laufenden Anwendungsspeicher und im dauerhaften Anwendungsspeicher angewendet wird. Wenn Sie Ihre Anwendung nicht beenden und neu starten, wird das neue Schlüsselmaterial nur auf den dauerhaften Anwendungsspeicher angewendet. Der laufende Anwendungsspeicher wird weiterhin mit dem vorherigen Rotationsschlüsselmaterial verschlüsselt.

Wenn Sie den für CMK verwendeten AWS KMS key ARN ändern, sollten Sie ihn [UpdateApplication](https://docs.aws.amazon.com/managed-flink/latest/apiv2/API_UpdateApplication.html)in Amazon MSF verwenden. Dadurch wird sichergestellt, dass Ihre Flink-Anwendung im Rahmen der Übernahme der `UpdateApplication` CMK-Änderungen neu gestartet wird.

**Anmerkung**  
Wenn Sie einen Alias oder Alias-ARN angeben, löst Amazon MSF den Alias in einen Schlüssel-ARN auf und speichert den Schlüssel-ARN als konfigurierten Schlüssel für die Anwendung.

### Wichtige Richtlinienerklärungen für die am wenigsten privilegierten Personen
<a name="kms-least-privilege-policy-examples"></a>

Informationen zu den wichtigsten Grundsatzerklärungen finden Sie unter und. [Erstellen Sie eine KMS-Schlüsselrichtlinie](manage-cmk-api.md#create-cmk-kms-key-policy) [Berechtigungen für den Application Lifecycle Operator (API-Aufrufer)](manage-cmk-api.md#create-cmk-kms-api-caller-permissions)

### Beispiele für AWS CloudTrail Protokolleinträge
<a name="kms-cloudtrail-log-entries"></a>

Wenn Amazon MSF CMKs in verwendet AWS KMS, protokolliert es AWS CloudTrail automatisch alle AWS KMS API-Aufrufe und zugehörige Details. Diese Protokolle enthalten Informationen wie die Anfrage, AWS-Service den KMS-Schlüssel-ARN, ausgeführte API-Aktionen und Zeitstempel mit Ausnahme der verschlüsselten Daten. Diese Protokolle bieten wichtige Prüfpfade für die Einhaltung von Vorschriften, die Sicherheitsüberwachung und die Fehlerbehebung, indem sie zeigen, welche Dienste wann auf Ihre Schlüssel zugegriffen haben.

**Beispiel 1: API-Aufruf mithilfe einer angenommenen Rolle in Amazon MSF AWS KMS entschlüsseln**  
Das folgende CloudTrail Protokoll zeigt, wie Amazon MSF einen [KMS:Decrypt-Testvorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) auf einem CMK durchführt. Amazon MSF stellt diese Anfrage mithilfe einer **Operator** Rolle, während es die [CreateApplication](https://docs.aws.amazon.com/managed-flink/latest/apiv2/API_CreateApplication.html)API verwendet. Das folgende Protokoll enthält wichtige Details, wie den Ziel-KMS-Schlüssel-ARN, die zugehörige Amazon MSF-Anwendung (*MyCmkApplication*) und den Zeitstempel des Vorgangs.

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "REDACTED",
        "arn": "arn:aws:sts::123456789012:assumed-role/Operator/CmkTestingSession",
        "accountId": "123456789012",
        "accessKeyId": "REDACTED",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "REDACTED",
                "arn": "arn:aws:iam::123456789012:role/Operator",
                "accountId": "123456789012",
                "userName": "Operator"
            },
            "attributes": {
                "creationDate": "2025-08-07T13:29:28Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "kinesisanalytics.amazonaws.com"
    },
    "eventTime": "2025-08-07T13:45:45Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "kinesisanalytics.amazonaws.com",
    "userAgent": "kinesisanalytics.amazonaws.com",
    "errorCode": "DryRunOperationException",
    "errorMessage": "The request would have succeeded, but the DryRun option is set.",
    "requestParameters": {
        "encryptionContext": {
            "aws:kinesisanalytics:arn": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/MyCmkApplication"
        },
        "keyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "dryRun": true
    },
    "responseElements": null,
    "additionalEventData": {
        "keyMaterialId": "REDACTED"
    },
    "requestID": "56764d19-1eb1-48f1-8044-594aa7dd05c4",
    "eventID": "1371b402-f1dc-4c47-8f3a-1004e4803c5a",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

**Beispiel 2: API-Aufruf in Amazon MSF mit direkter Serviceauthentifizierung AWS KMS entschlüsseln**  
Das folgende CloudTrail Protokoll zeigt, wie Amazon MSF einen [KMS:Decrypt-Testvorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) auf einem CMK durchführt. Amazon MSF stellt diese Anfrage durch direkte AWS service-to-service Authentifizierung, anstatt eine Rolle zu übernehmen. Das folgende Protokoll enthält wichtige Details, wie den Ziel-KMS-Schlüssel-ARN, die zugehörige Amazon MSF-Anwendung (*MyCmkApplication*) und eine gemeinsame Ereignis-ID des Vorgangs.

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "kinesisanalytics.amazonaws.com"
    },
    "eventTime": "2025-08-07T13:45:45Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "kinesisanalytics.amazonaws.com",
    "userAgent": "kinesisanalytics.amazonaws.com",
    "errorCode": "DryRunOperationException",
    "errorMessage": "The request would have succeeded, but the DryRun option is set.",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionContext": {
            "aws:kinesisanalytics:arn": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/MyCmkApplication"
        },
        "dryRun": true
    },
    "responseElements": null,
    "additionalEventData": {
        "keyMaterialId": "REDACTED"
    },
    "requestID": "5fe45ada-7519-4608-be2f-5a9b8ddd62b2",
    "eventID": "6206b08f-ce04-3011-9ec2-55951d357b2c",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "Application-account-ID",
    "sharedEventID": "acbe4a39-ced9-4f53-9f3c-21ef7e89dc37",
    "eventCategory": "Management"
}
```