Sicherheit bei CloudWatch Ermittlungen - Amazon CloudWatch
Standardberechtigungen für CloudWatch Untersuchungen, Aufbewahrung und VerschlüsselungBenutzerberechtigungen für Ihre CloudWatch Ermittlungsgruppe Zusätzliche Berechtigungen für Database InsightsWie lässt sich kontrollieren, auf welche Daten CloudWatch Untersuchungen während einer Untersuchung Zugriff habenVerschlüsselung von UntersuchungsdatenRegionsübergreifende Inferenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit bei CloudWatch Ermittlungen

Dieser Abschnitt enthält Themen zur Integration von CloudWatch Untersuchungen mit AWS Sicherheits- und Berechtigungsfunktionen.

Standardberechtigungen für CloudWatch Untersuchungen, Aufbewahrung und Verschlüsselung

Wenn Sie Untersuchungen mit Standardeinstellungen ohne zusätzliche Konfiguration in Ihrem Konto ausführen, verwendet die Untersuchung die für Ihre aktuelle Konsolensitzung verfügbaren Berechtigungen und greift nur mit Leseberechtigungen auf Telemetriedaten zu. Es ist keine IAM-Rollenkonfiguration oder Berechtigungsrichtlinie für Untersuchungsgruppen erforderlich. Dies heißt jedoch, dass der Zugriff der Untersuchung auf Daten durch die Berechtigungen des angemeldeten Benutzers eingeschränkt ist.

Die Untersuchung steht nur dem Benutzer zur Verfügung, der die Untersuchung eingeleitet hat. Die Untersuchung kann nur 24 Stunden lang eingesehen werden. Danach wird die Untersuchung gelöscht, ohne dass eine Wiederherstellung möglich ist.

Die Ermittlungsdaten werden im Ruhezustand mit einem AWS eigenen Schlüssel verschlüsselt. Sie können AWS eigene Schlüssel nicht einsehen oder verwalten, und Sie können sie nicht für andere Zwecke verwenden oder ihre Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Einstellungen ändern, um die Schlüssel zu verwenden. Weitere Informationen finden Sie unter AWS -KMS-Schlüssel.

Benutzerberechtigungen für Ihre CloudWatch Ermittlungsgruppe

AWS hat drei verwaltete IAM-Richtlinien erstellt, die Sie für Ihre Benutzer verwenden können, die mit Ihrer CloudWatch Ermittlungsgruppe zusammenarbeiten werden.

  • AIOpsConsoleAdminPolicy— gewährt einem Administrator die Möglichkeit, CloudWatch Untersuchungen im Konto einzurichten, Zugriff auf Ermittlungsaktionen zu CloudWatch erhalten, die Verbreitung vertrauenswürdiger Identitäten zu verwalten und die Integration mit IAM Identity Center sowie den organisatorischen Zugriff zu verwalten.

  • AIOpsOperatorAccess— gewährt einem Benutzer Zugriff auf Ermittlungsaktionen, einschließlich der Einleitung einer Untersuchung. Es gewährt auch zusätzliche Berechtigungen, die für den Zugriff auf Untersuchungsereignisse erforderlich sind.

  • AIOpsReadOnlyAccess— gewährt nur Leseberechtigungen für CloudWatch Untersuchungen und andere damit verbundene Dienste.

Wir empfehlen, dass Sie drei IAM-Prinzipale verwenden und einem von ihnen die AIOpsConsoleAdminPolicyIAM-Richtlinie, einem anderen die Richtlinie und dem dritten die AIOpsOperatorAccessRichtlinie gewähren. AIOpsReadOnlyAccess Bei diesen Prinzipalen kann es sich entweder um IAM-Rollen (empfohlen) oder um IAM-Benutzer handeln. Dann würden sich Ihre Benutzer, die mit CloudWatch Untersuchungen arbeiten, mit einem dieser Prinzipale anmelden.

Berechtigungen für die Erstellung von Vorfallberichten

Für die Generierung von Vorfallberichten sind zusätzliche Berechtigungen erforderlich, damit die KI Ereignisse und Fakten sammeln und anschließend Berichte erstellen kann.

Benutzer mit AIOpsConsoleAdminPolicykönnen Vorfallberichte erstellen, bearbeiten und kopieren. Standardmäßig ist Ihrer Ermittlungsgruppe die zugewiesen, AIOpsAssistantPolicy um ihr Zugriff auf die Ressource zu gewähren. Sie verfügt jedoch nicht über die erforderlichen Berechtigungen, um einen Untersuchungsbericht zu erstellen. Um Ihrer Ermittlungsgruppe die Erlaubnis zu geben, die Ermittlungsdaten in einem Vorfallbericht zusammenzustellen, müssen Sie eine Richtlinie ähnlich dem folgenden Beispiel hinzufügen, die zusätzliche Berechtigungen beinhaltet, oder die zusätzlichen Aktionen als Inline-Richtlinie zur Gruppe hinzufügen:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "IncidentReportOperations",
            "Effect": "Allow",
            "Action": [
                "aiops:GetInvestigation",
                "aiops:ListInvestigationEvents",
                "aiops:GetInvestigationEvent",

                "aiops:CreateReport",
                "aiops:UpdateReport", 
                "aiops:GetReport",

                "aiops:PutFact",
                "aiops:ListFacts",
                "aiops:GetFact",
                "aiops:GetFactVersions"
            ],
            "Resource": [
                "arn:aws:aiops:*:*:investigation-group/*"
            ]
        }
    ]
}

Die neue verwaltete Richtlinie AIOpsAssistantIncidentReportPolicy bietet die erforderlichen Berechtigungen und wird automatisch zu Ermittlungsgruppen hinzugefügt, die nach dem 10. Oktober 2025 erstellt wurden. Weitere Informationen finden Sie unter AIOpsAssistantIncidentReportPolicy.

Zusätzliche Berechtigungen für Database Insights

Um die Funktionen von Database Insights bei Untersuchungen nutzen zu können, müssen Sie die AmazonRDSPerformanceInsightsFullAccess verwaltete Richtlinie der IAM-Rolle oder dem IAM-Benutzer zuordnen, den Sie für die Durchführung von Untersuchungen verwenden. CloudWatch Investigations benötigt diese Berechtigungen, um Leistungsanalyseberichte für Ihre Amazon RDS-Datenbank-Instances zu erstellen und darauf zuzugreifen.

Um diese Richtlinie anzuhängen, fügen Sie mithilfe der IAM-Konsole die AmazonRDSPerformanceInsightsFullAccess-verwaltete Richtlinie dem Untersuchungsprinzipal hinzu. Weitere Informationen zu dieser verwalteten Richtlinie und ihren Berechtigungen finden Sie auf Amazon RDSPerformance InsightsFullAccess.

Wie lässt sich kontrollieren, auf welche Daten CloudWatch Untersuchungen während einer Untersuchung Zugriff haben

Wenn Sie in Ihrem Konto eine Ermittlungsgruppe konfigurieren, geben Sie an, über welche Berechtigungen die CloudWatch Ermittlungen verfügen, um bei Ermittlungen auf Ihre Ressourcen zuzugreifen. Dazu weisen Sie der Untersuchungsgruppe eine IAM-Rolle zu.

Damit CloudWatch Untersuchungen auf Ressourcen zugreifen und Vorschläge und Hypothesen aufstellen können, empfiehlt es sich, der Ermittlungsgruppe die AIOpsAssistantPolicyRolle zuzuweisen. Dadurch erhält die Untersuchungsgruppe die Erlaubnis, Ihre AWS Ressourcen während Ihrer Untersuchungen zu analysieren. Vollständige Informationen über diese Richtlinie finden Sie unter AIOpsAssistantPolicy.

Sie können sich zusätzlich zum Anhängen auch dafür entscheiden AWS ReadOnlyAccess, die Rolle „Allgemein“ der Ermittlungsgruppe zuzuweisen AIOpsAssistantPolicy. Der Grund dafür ist, dass AWS Aktualisierungen ReadOnlyAccessimmer häufiger mit Berechtigungen für neue AWS Dienste und Aktionen aktualisiert werden, die veröffentlicht werden. AIOpsAssistantPolicySie werden auch für neue Aktionen aktualisiert, jedoch nicht so häufig.

Wenn Sie den Umfang der für CloudWatch Untersuchungen erteilten Berechtigungen einschränken möchten, können Sie der IAM-Rolle der Ermittlungsgruppe eine benutzerdefinierte IAM-Richtlinie hinzufügen, anstatt die Richtlinie anzuhängen. AIOpsAssistantPolicy Beginnen Sie dazu Ihre benutzerdefinierte Richtlinie mit dem Inhalt von AIOpsAssistantPolicyund entfernen Sie dann die Berechtigungen, die Sie für Untersuchungen nicht gewähren möchten. CloudWatch Dadurch wird verhindert, dass CloudWatch Untersuchungen Vorschläge auf der Grundlage der AWS Dienste oder Aktionen machen, für die Sie keinen Zugriff gewähren.

Anmerkung

Alles, auf das CloudWatch Ermittlungen zugreifen können, kann der Untersuchung hinzugefügt und von Ihren Ermittlungsmitarbeitern eingesehen werden. Wir empfehlen Ihnen, die CloudWatch Ermittlungsberechtigungen an die Berechtigungen anzupassen, über die die Betreiber Ihrer Ermittlungsgruppe verfügen.

CloudWatch Erlauben Sie den Ermittlungen, verschlüsselte Daten während der Ermittlungen zu entschlüsseln

Wenn Sie Ihre Daten in einem der folgenden Dienste mit einem vom Kunden verwalteten Schlüssel verschlüsseln und Sie möchten AWS KMS, dass CloudWatch Untersuchungen die Daten aus diesen Diensten entschlüsseln und in Untersuchungen einbeziehen können, müssen Sie der IAM-Rolle der Ermittlungsgruppe eine oder mehrere zusätzliche IAM-Richtlinien hinzufügen.

  • AWS Step Functions

Die Richtlinienanweisung sollte einen Kontextschlüssel für den Verschlüsselungskontext enthalten, um den Umfang der Berechtigungen zu minimieren. Die folgende Richtlinie würde beispielsweise CloudWatch Untersuchungen ermöglichen, um Daten für eine Step Functions Functions-Zustandsmaschine zu entschlüsseln.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Weitere Informationen zu diesen Richtlinientypen und zur Verwendung dieser Kontextschlüssel finden Sie unter kms: ViaService und kms:EncryptionContext: context-key im AWS Key Management Service Developer Guide und aws: SourceArn im IAM-Benutzerhandbuch.

Verschlüsselung von Untersuchungsdaten

Für die Verschlüsselung Ihrer Ermittlungsdaten stehen zwei Optionen zur Verfügung AWS :

  • AWS Eigene Schlüssel — Standardmäßig verschlüsselt CloudWatch Investigations inaktive Ermittlungsdaten mit einem AWS eigenen Schlüssel. Sie können AWS eigene Schlüssel nicht einsehen oder verwalten, und Sie können sie nicht für andere Zwecke verwenden oder ihre Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Einstellungen ändern, um die Schlüssel zu verwenden. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter AWS Eigene Schlüssel.

  • Kundenverwaltete Schlüssel: Das sind Schlüssel, die Sie selbst erstellen und verwalten. Sie können sich dafür entscheiden, einen vom Kunden verwalteten Schlüssel anstelle eines AWS eigenen Schlüssels für Ihre Ermittlungsdaten zu verwenden. Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter Kundenverwaltete Schlüssel.

Aus Untersuchungen generierte Vorfallberichte verwenden dieselben Verschlüsselungseinstellungen wie die übergeordnete Untersuchung. Dadurch wird ein einheitlicher Sicherheitsstatus in Bezug auf Ihre Ermittlungsdaten und Unterlagen gewährleistet

Anmerkung

CloudWatch Investigations ermöglicht automatisch und kostenlos die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zu Preisen finden Sie unter AWS Key Management Service Preise.

Weitere Informationen zu finden AWS KMS Sie unter AWS Key Management Service.

Verwenden eines kundenverwalteten Schlüssels

Sie können eine Untersuchungsgruppe mit einem kundenverwalteten Schlüssel verknüpfen. Anschließend verwenden alle in dieser Gruppe erstellten Untersuchungen den kundenseitig verwalteten Schlüssel, um inaktive Untersuchungsdaten zu verschlüsseln.

CloudWatch Für Untersuchungen, die vom Kunden verwaltete Schlüssel verwendet werden, gelten die folgenden Bedingungen:

  • CloudWatch Investigations unterstützt nur symmetrische AWS KMS Verschlüsselungsschlüssel mit der Standardschlüsselspezifikation,SYMMETRIC_DEFAULT, für deren Verwendung definiert ist. ENCRYPT_DECRYPT

  • Damit ein Benutzer eine Untersuchungsgruppe mit einem kundenverwalteten Schlüssel erstellen oder aktualisieren kann, muss dieser Benutzer die Berechtigungen kms:DescribeKey, kms:GenerateDataKey und kms:Decrypt haben.

  • Damit ein Benutzer eine Untersuchung in einer Untersuchungsgruppe, die einen kundenverwalteten Schlüssel verwendet, erstellen oder aktualisieren kann, muss dieser Benutzer die Berechtigungen kms:GenerateDataKey und kms:Decrypt haben.

  • Damit ein Benutzer Untersuchungsdaten in einer Untersuchungsgruppe ansehen kann, die einen kundenverwalteten Schlüssel verwendet, muss dieser Benutzer die Berechtigung kms:Decrypt haben.

Einrichtung von Untersuchungen zur Verwendung eines kundenverwalteten AWS KMS -Schlüssels

Wenn Sie noch keinen symmetrischen Schlüssel haben, erstellen Sie zunächst mit dem folgenden Befehl einen neuen Schlüssel.

aws kms create-key

Die Befehlsausgabe enthält die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) des Schlüssels. Sie benötigen diese in späteren Schritten in diesem Abschnitt. Es folgt ein Beispiel für diese Ausgabe.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Festlegen von Berechtigungen für den Schlüssel

Als Nächstes legen Sie Berechtigungen für den Schlüssel fest Standardmäßig sind alle AWS KMS Schlüssel privat. Nur der Ressourcenbesitzer kann mit ihnen Daten verschlüsseln und entschlüsseln. Der Ressourceninhaber kann jedoch anderen Benutzern und Ressourcen Zugriffsberechtigungen für den Schlüssel erteilen. Mit diesem Schritt erteilen Sie dem AI Operations-Service-Prinzipal die Berechtigung für die Nutzung des Schlüssels. Dieser Dienstprinzipal muss sich in derselben AWS Region befinden, in der der KMS-Schlüssel gespeichert ist.

Als bewährte Methode empfehlen wir, die Verwendung des KMS-Schlüssels auf die von Ihnen angegebenen AWS Konten oder Ressourcen zu beschränken.

Der erste Schritt zum Festlegen der Berechtigungen besteht darin, die Standardrichtlinie für Ihren Schlüssel in einer policy.json zu speichern. Führen Sie dazu den folgenden Befehl aus. key-idErsetzen Sie ihn durch die ID Ihres Schlüssels.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Öffnen Sie die policy.json Datei in einem Texteditor und fügen Sie der Richtlinie die folgenden Richtlinienabschnitte hinzu. Trennen Sie die vorhandene Anweisung von den neuen Abschnitten durch ein Komma. In diesen neuen Abschnitten werden Condition Abschnitte verwendet, um die Sicherheit des AWS KMS Schlüssels zu erhöhen. Weitere Informationen finden Sie unter AWS KMS -Schlüssel und Verschlüsselungskontext.

Diese Richtlinie gewährt Berechtigungen für Service-Prinzipale aus folgenden Gründen:

  • Der aiops-Service benötigt GenerateDataKey-Berechtigungen, um den Datenschlüssel abzurufen und diesen Datenschlüssel zu verwenden, um Ihre Daten zu verschlüsseln, während sie im Ruhezustand gespeichert sind. Die Berechtigung Decrypt ist erforderlich, um Daten beim Lesen aus dem Datenspeicher zu entschlüsseln. Die Entschlüsselung erfolgt, wenn Sie die Daten mithilfe der Untersuchung aiops APIs oder des Ermittlungsereignisses lesen oder wenn Sie sie aktualisieren. Beim Aktualisierungsvorgang werden die Daten nach dem Entschlüsseln abgerufen, aktualisiert und die aktualisierten Daten nach der Verschlüsselung wieder in den Datenspeicher geschrieben

  • Der CloudWatch Alarmdienst kann Untersuchungen oder Ermittlungsereignisse auslösen. Bei diesen Vorgängen wird überprüft, ob der Anrufer Zugriff auf den für die Ermittlungsgruppe definierten AWS KMS Schlüssel hat. Die Grundsatzerklärung erteilt dem GenerateDataKey CloudWatch Alarmdienst die Decrypt Erlaubnis, Untersuchungen in Ihrem Namen durchzuführen.

Anmerkung

Bei der folgenden Richtlinie wird davon ausgegangen, dass Sie der Empfehlung folgen, drei IAM-Prinzipale zu verwenden und einem von ihnen die AIOpsConsoleAdminPolicyIAM-Richtlinie, einem anderen die AIOpsOperatorAccessRichtlinie und dem dritten die Richtlinie zu gewähren. AIOpsReadOnlyAccess Bei diesen Prinzipalen kann es sich entweder um IAM-Rollen (empfohlen) oder um IAM-Benutzer handeln. Dann würden sich Ihre Benutzer, die mit CloudWatch Untersuchungen arbeiten, bei einem dieser Principals anmelden.

Für die folgende Richtlinie benötigen Sie einen ARNs dieser drei Principals.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Nachdem Sie die Richtlinie aktualisiert haben, weisen Sie sie dem Schlüssel zu, indem Sie den folgenden Befehl eingeben.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Den Schlüssel der Untersuchungsgruppe zuordnen

Wenn Sie die CloudWatch Konsole verwenden, um eine Ermittlungsgruppe zu erstellen, können Sie wählen, ob Sie den AWS KMS Schlüssel der Ermittlungsgruppe zuordnen möchten. Weitere Informationen finden Sie unter Eine Untersuchungsgruppe einrichten.

Sie können einer vorhandenen Untersuchungsgruppe auch einen kundenverwalteten Schlüssel zuordnen.

Ändern der Verschlüsselungskonfiguration

Sie können eine Untersuchungsgruppe aktualisieren und zwischen der Verwendung eines kundenverwalteten Schlüssels bzw. eines serviceeigenen Schlüssels wechseln. Sie können auch einen anderen kundenverwalteten Schlüssel auswählen. Wenn Sie eine solche Änderung vornehmen, gilt die Änderung für alle neuen Untersuchungen, die nach der Änderung erstellt wurden. Frühere Untersuchungen verwenden weiterhin die alte Verschlüsselungskonfiguration. Aktuell laufende Untersuchungen verwenden den ursprünglichen Schlüssel für neue Daten.

Solange ein zuvor verwendeter Schlüssel aktiv ist und Amazon Q für Untersuchungen Zugriff darauf hat, können Sie ältere Untersuchungen, die mit dieser Methode verschlüsselt wurden, sowie Daten aus aktuellen Untersuchungen, die mit dem vorherigen Schlüssel verschlüsselt wurden, abrufen. Wenn Sie einen zuvor verwendeten Schlüssel löschen oder den Zugriff darauf widerrufen, können die mit diesem Schlüssel verschlüsselten Untersuchungsdaten nicht abgerufen werden.

Regionsübergreifende Inferenz

CloudWatch Bei Untersuchungen werden regionsübergreifende Inferenzen verwendet, um den Verkehr auf verschiedene Regionen zu verteilen. AWS Obwohl die Daten nur in der Hauptregion gespeichert bleiben, können sich Ihre Untersuchungsdaten bei Verwendung der regionsübergreifenden Inferenz möglicherweise außerhalb Ihrer Hauptregion bewegen. Alle Daten werden bei der Übertragung über das sichere Netzwerk von Amazon verschlüsselt.

Einzelheiten zur regionsübergreifenden Inferenzverteilung in den einzelnen Regionen entnehmen Sie der folgenden Tabelle.

Geografie unterstützter Untersuchungen CloudWatch Untersuchungsregion Mögliche Inferenzregionen
Vereinigte Staaten (USA) USA Ost (Nord-Virginia) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
USA Ost (Ohio) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
USA West (Oregon) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Europa (EU) Europa (Frankfurt) Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Europa (Irland) Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Europa (Spain) Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Europa (Stockholm) Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Asien-Pazifik (AP) Asien-Pazifik (Hongkong) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Mumbai) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Singapur) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Sydney) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Tokio) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Malaysia) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Thailand) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)