Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in Amazon VPC Lattice
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in Amazon VPC Lattice. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen. AWS Cloud Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt enthält die Sicherheitskonfigurations- und Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services . Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
## Verschlüsselung während der Übertragung
VPC Lattice ist ein vollständig verwalteter Service, der aus einer Steuerungsebene und einer Datenebene besteht. Jede Ebene dient einem bestimmten Zweck im Service. Die Steuerungsebene stellt die administrativen APIs bereit, die zum Erstellen read/describe, Aktualisieren, Löschen und Auflisten (CRUDL) von Ressourcen (z. B. `CreateService` und`UpdateService`) verwendet werden. Die Kommunikation mit der VPC-Lattice-Steuerebene ist während der Übertragung durch TLS geschützt. Die Datenebene ist die VPC Lattice Invoke API, die die Verbindung zwischen Diensten bereitstellt. TLS verschlüsselt die Kommunikation mit der VPC Lattice-Datenebene, wenn Sie HTTPS oder TLS verwenden. Die Cipher Suite und die Protokollversion verwenden die von VPC Lattice bereitgestellten Standardeinstellungen und sind nicht konfigurierbar. Weitere Informationen finden Sie unter [HTTPS-Listener für VPC Lattice-Dienste](https-listeners.md).
## Verschlüsselung im Ruhezustand
Standardmäßig trägt die Verschlüsselung ruhender Daten dazu bei, den betrieblichen Aufwand und die Komplexität beim Schutz sensibler Daten zu reduzieren. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.
**Topics**
+ [Server-side Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)](#s3-managed-keys)
+ [Server-side Verschlüsselung mit AWS KMS Schlüssel gespeichert in AWS KMS (SSE-KMS)](#kms-managed-keys)
### Server-side Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)
Wenn Sie serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verwenden, wird jedes Objekt mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzliche Sicherheitsmaßnahme verschlüsseln wir den Schlüssel selbst mit einem Stammschlüssel, den wir regelmäßig wechseln. Die serverseitige Amazon S3 S3-Verschlüsselung verwendet eine der stärksten verfügbaren Blockchiffren, den 256-Bit-Advanced Encryption Standard (AES-256) GCM, um Ihre Daten zu verschlüsseln. Für Objekte, die zuvor verschlüsselt wurden AES-GCM, AES-CBC wird die Entschlüsselung dieser Objekte weiterhin unterstützt. Weitere Informationen finden Sie unter [Serverseitige Verschlüsselung mit S3-managed Amazon-Verschlüsselungsschlüsseln verwenden (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
Wenn Sie die serverseitige Verschlüsselung mit S3-managed Amazon-Verschlüsselungsschlüsseln (SSE-S3) für Ihren S3-Bucket für VPC Lattice-Zugriffsprotokolle aktivieren, verschlüsseln wir automatisch jede Zugriffs-Log-Datei, bevor sie in Ihrem S3-Bucket gespeichert wird. Weitere Informationen finden Sie unter [An Amazon S3 gesendete Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) im * CloudWatch Amazon-Benutzerhandbuch*.
### Server-side Verschlüsselung mit AWS KMS Schlüssel gespeichert in AWS KMS (SSE-KMS)
Server-side Die Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) ist ähnlich SSE-S3, bietet jedoch zusätzliche Vorteile und Gebühren für die Nutzung dieses Dienstes. Es gibt separate Berechtigungen für den AWS KMS Schlüssel, der zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE-KMS bietet Ihnen auch einen Prüfpfad, aus dem hervorgeht, wann und von wem Ihr AWS KMS Schlüssel verwendet wurde. Weitere Informationen finden Sie unter [Serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS) verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
**Topics**
+ [Verschlüsselung und Entschlüsselung Ihres privaten Zertifikatschlüssels](#private-key)
+ [Verschlüsselungskontext für VPC Lattice](#encryption-context)
+ [Überwachung Ihrer Verschlüsselungsschlüssel für VPC Lattice](#monitoring-encryption-keys)
#### Verschlüsselung und Entschlüsselung Ihres privaten Zertifikatschlüssels
Ihr ACM-Zertifikat und Ihr privater Schlüssel werden mit einem AWS verwalteten KMS-Schlüssel verschlüsselt, der den Alias hat. **aws/acm** Sie können die Schlüssel-ID mit diesem Alias in der AWS KMS Konsole unter **AWS Verwaltete Schlüssel** einsehen.
VPC Lattice greift nicht direkt auf Ihre ACM-Ressourcen zu. Es verwendet den AWS TLS Connection Manager, um die privaten Schlüssel für Ihr Zertifikat zu sichern und darauf zuzugreifen. Wenn Sie Ihr ACM-Zertifikat verwenden, um einen VPC Lattice-Dienst zu erstellen, ordnet VPC Lattice Ihr Zertifikat dem TLS Connection Manager zu. AWS Dazu erstellen Sie eine Grant-ID für Ihren AWS verwalteten Schlüssel mit AWS KMS dem Präfix. **aws/acm** Eine Erteilung ist ein Richtlinieninstrument, das es TLS Connection Manager erlaubt, KMS-Schlüssel in kryptografischen Operationen zu verwenden. Die Erteilung erlaubt es dem Empfänger-Prinzipal (TLS Connection Manager), die angegebenen Genehmigungsoperationen für den KMS-Schlüssel aufzurufen, um den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. Der TLS-Verbindungsmanager verwendet dann das Zertifikat und den entschlüsselten privaten Schlüssel (Klartext), um eine sichere Verbindung (SSL/TLS Sitzung) mit Clients von VPC Lattice-Diensten herzustellen. Wenn das Zertifikat von einem VPC Lattice-Dienst getrennt wird, wird der Grant zurückgezogen.
Wenn Sie den Zugriff auf den KMS-Schlüssel entziehen möchten, empfehlen wir, das Zertifikat mit dem `update-service` Befehl oder aus dem Dienst zu ersetzen AWS-Managementkonsole oder zu löschen. AWS CLI
#### Verschlüsselungskontext für VPC Lattice
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) ist ein optionaler Satz von Schlüssel-Wert-Paaren, die kontextbezogene Informationen darüber enthalten, wofür Ihr privater Schlüssel verwendet werden könnte. AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten und verwendet ihn als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen.
Wenn Ihre TLS-Schlüssel mit VPC Lattice und dem TLS Connection Manager verwendet werden, ist der Name Ihres VPC Lattice-Dienstes in dem Verschlüsselungskontext enthalten, der zur Verschlüsselung Ihres Schlüssels im Ruhezustand verwendet wird. Sie können überprüfen, für welchen VPC Lattice-Dienst Ihr Zertifikat und Ihr privater Schlüssel verwendet werden, indem Sie sich den Verschlüsselungskontext in Ihren CloudTrail Protokollen ansehen, wie im nächsten Abschnitt gezeigt, oder indem Sie in der ACM-Konsole die Registerkarte **Zugeordnete Ressourcen** aufrufen.
Zur Entschlüsselung von Daten wird derselbe Verschlüsselungskontext in der Anforderung übergeben. VPC Lattice verwendet bei allen kryptografischen AWS KMS-Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel `aws:vpc-lattice:arn` und der Wert der Amazon-Ressourcenname (ARN) des VPC Lattice-Dienstes ist.
Im folgenden Beispiel sehen Sie den Verschlüsselungskontext in der Ausgabe einer Operation wie `CreateGrant`.
```
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}
```
#### Überwachung Ihrer Verschlüsselungsschlüssel für VPC Lattice
Wenn Sie einen AWS verwalteten Schlüssel mit Ihrem VPC Lattice-Dienst verwenden, können Sie damit Anfragen verfolgen, [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)an die VPC Lattice sendet. AWS KMS
**CreateGrant**
Wenn Sie Ihr ACM-Zertifikat zu einem VPC Lattice-Dienst hinzufügen, wird in Ihrem Namen eine `CreateGrant` Anfrage gesendet, dass TLS Connection Manager den mit Ihrem ACM-Zertifikat verknüpften privaten Schlüssel entschlüsseln kann.
**Sie können den `CreateGrant` Vorgang als Ereignis in **CloudTrail**, Ereignisverlauf, anzeigen. **CreateGrant****
Im Folgenden finden Sie ein Beispiel für einen Ereignisdatensatz im CloudTrail Ereignisverlauf für den `CreateGrant` Vorgang.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"sessionContext": {
"sessionIssuer": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"userName": "Alice"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-06T23:30:50Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "acm.amazonaws.com"
},
"eventTime": "2023-02-07T00:07:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "acm.amazonaws.com",
"userAgent": "acm.amazonaws.com",
"requestParameters": {
"granteePrincipal": "tlsconnectionmanager.amazonaws.com",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"operations": [
"Decrypt"
],
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}
},
"retiringPrincipal": "acm.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
"eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Im obigen `CreateGrant` Beispiel ist der Principal des Empfängers TLS Connection Manager, und der Verschlüsselungskontext hat den VPC-Lattice-Dienst-ARN.
**ListGrants**
Sie können Ihre KMS-Schlüssel-ID und Ihre Konto-ID verwenden, um die API aufzurufen. `ListGrants` Dadurch erhalten Sie eine Liste aller Grants für den angegebenen KMS-Schlüssel. Weitere Informationen finden Sie unter [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html).
Verwenden Sie den folgenden `ListGrants` Befehl in AWS CLI , um die Details aller Zuschüsse anzuzeigen.
```
aws kms list-grants —key-id {{your-kms-key-id}}
```
Es folgt eine Beispielausgabe.
```
{
"Grants": [
{
"Operations": [
"Decrypt"
],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "IssuedThroughACM",
"RetiringPrincipal": "acm.us-west-2.amazonaws.com",
"GranteePrincipal": "tlsconnectionmanager.amazonaws.com",
"GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": "2023-02-06T23:30:50Z",
"Constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}
}
}
]
}
```
Im obigen `ListGrants` Beispiel ist der Principal des Empfängers TLS Connection Manager und der Verschlüsselungskontext hat den VPC-Lattice-Dienst-ARN.
**Decrypt**
VPC Lattice verwendet den TLS Connection Manager, um den `Decrypt` Vorgang zum Entschlüsseln Ihres privaten Schlüssels aufzurufen, um TLS-Verbindungen in Ihrem VPC Lattice-Dienst bereitzustellen. ****Sie können den `Decrypt` Vorgang im Ereignisverlauf unter Decrypt als Ereignis anzeigen. **CloudTrail******
Im Folgenden finden Sie ein Beispiel für einen Ereignisdatensatz im CloudTrail Ereignisverlauf für den `Decrypt` Vorgang.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "tlsconnectionmanager.amazonaws.com"
},
"eventTime": "2023-02-07T00:07:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
"userAgent": "tlsconnectionmanager.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"eventCategory": "Management"
}
```