Datenschutz und Verschlüsselung in S3 Vectors - Amazon Simple Storage Service
Bucket-Verschlüsselung einrichten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz und Verschlüsselung in S3 Vectors

Anmerkung

Amazon S3 Vectors befindet sich in der Vorschauversion für Amazon Simple Storage Service und kann sich ändern.

Amazon S3 Vectors bietet eine Haltbarkeit von 99,999999999% (11 9s) für Ihre Vektordaten, was eine außergewöhnliche Zuverlässigkeit für Ihre Vektorspeicheranforderungen gewährleistet. Diese Beständigkeit wird durch die bewährte Infrastruktur von Amazon S3 unterstützt, die darauf ausgelegt ist, die Datenintegrität und Verfügbarkeit auch bei Hardwareausfällen oder anderen Störungen aufrechtzuerhalten.

Der Datenschutz in S3 Vectors umfasst mehrere Ebenen von Sicherheitskontrollen, die darauf ausgelegt sind, Ihre Vektordaten sowohl im Speicher als auch bei der Übertragung zu schützen.

Standardmäßig verwenden alle neuen Vektoren in Amazon S3 Vectors-Vektor-Buckets serverseitige Verschlüsselung mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3). Wenn Sie einen Vektor-Bucket mit SSE-S3-Verschlüsselung erstellen, verwenden alle nachfolgenden Operationen auf dem Bucket automatisch Verschlüsselung.

S3 Vectors ist auch in den AWS Key Management Service (KMS) integriert, um flexible Optionen für die Verwaltung von Verschlüsselungsschlüsseln bereitzustellen, sodass Sie vom Kunden verwaltete Schlüssel für die Berechtigungskontrolle und Überprüfbarkeit auswählen können.

Einstellung des serverseitigen Verschlüsselungsverhaltens für Amazon S3 S3-Vektor-Buckets

Die Verschlüsselungskonfiguration in S3 Vectors ist eine grundlegende Sicherheitseinstellung, die Sie angeben müssen, wenn Sie einen Vektor-Bucket erstellen. Dieses Design stellt sicher, dass alle im Bucket gespeicherten Vektordaten ab dem Zeitpunkt der Erstellung verschlüsselt werden. Die Verschlüsselungskonfiguration gilt für alle Vektoren, Vektorindizes und Metadaten innerhalb des Buckets und bietet so einen konsistenten Schutz für Ihren gesamten Vektordatensatz in einem Vektor-Bucket.

Wichtig

Die Verschlüsselungseinstellungen für einen Vektor-Bucket können nach der Erstellung des Vektor-Buckets nicht mehr geändert werden. Sie müssen Ihre Verschlüsselungsanforderungen bei der Erstellung des Buckets sorgfältig abwägen, einschließlich der Compliance-Anforderungen, der Einstellungen für die Schlüsselverwaltung und der Integration in die bestehende Sicherheitsinfrastruktur.

Der Verschlüsselungstyp SSE-S3 oder SSE-KMS wird auf Vektor-Bucket-Ebene festgelegt und gilt für alle Vektorindizes und Vektoren innerhalb des Buckets. Sie können nicht zu unterschiedlichen Verschlüsselungseinstellungen für einzelne Indizes innerhalb eines Buckets wechseln. Die Verschlüsselungskonfiguration gilt nicht nur für die Vektordaten selbst, sondern auch für alle zugehörigen Metadaten.

Verwendung der SSE-S3-Verschlüsselung

Die serverseitige Verschlüsselung mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) bietet eine einfache und effektive Verschlüsselungslösung für Vektor-Buckets, die alle Aspekte des Verschlüsselungsprozesses AWS verwaltet. Diese Verschlüsselungsmethode verwendet AES-256 Verschlüsselung und ist so konzipiert, dass sie hohe Sicherheit bei minimalem Betriebsaufwand bietet und Unternehmen eine robuste Verschlüsselung ohne die Komplexität der Verwaltung von Verschlüsselungsschlüsseln bietet.

Mit SSE-S3 übernimmt Amazon S3 die Generierung, Rotation und Verwaltung von Verschlüsselungsschlüsseln automatisch. SSE-S3 bietet hohe Sicherheit ohne zusätzliche Konfiguration oder laufende Verwaltungsanforderungen. Die Verschlüsselungs- und Entschlüsselungsprozesse werden automatisch vom Service abgewickelt, und es fallen keine zusätzlichen Gebühren für die Verwendung der SSE-S3-Verschlüsselung an, die über die Standardpreise von S3 Vectors hinausgehen.

Verwendung der SSE-KMS-Verschlüsselung

Die serverseitige Verschlüsselung mit AWS Key Management Service-Schlüsseln (SSE-KMS) bietet eine verbesserte Kontrolle über die Verschlüsselungsschlüssel und ermöglicht eine detaillierte Auditprotokollierung der Schlüsselnutzung. Diese Verschlüsselungsmethode ist ideal für Unternehmen mit strengen Compliance-Anforderungen, für Unternehmen, die benutzerdefinierte Richtlinien für die Schlüsselrotation implementieren müssen, oder für Umgebungen, in denen detaillierte Prüfprotokolle für den Datenzugriff erforderlich sind.

SSE-KMS ermöglicht es Ihnen, vom Kunden verwaltete Schlüssel (CMKs) für die Verschlüsselung Ihrer Vektordaten zu verwenden. Kundenverwaltete Schlüssel bieten ein Höchstmaß an Kontrolle. Sie ermöglichen es Ihnen, wichtige Richtlinien zu definieren, Schlüssel zu aktivieren oder zu deaktivieren und die Schlüsselnutzung zu überwachen. AWS CloudTrail Durch dieses Maß an Kontrolle eignet sich SSE-KMS besonders für regulierte Branchen oder Organisationen mit spezifischen Anforderungen an die Datenverwaltung.

Wenn Sie SSE-KMS mit vom Kunden verwalteten Schlüsseln verwenden, haben Sie die vollständige Kontrolle darüber, wer die Schlüssel zum Verschlüsseln und Entschlüsseln von Daten verwenden kann. Sie können detaillierte Schlüsselrichtlinien erstellen, die angeben, welche Benutzer, Rollen oder Dienste auf die Schlüssel zugreifen können.

Wichtige Überlegungen zu SSE-KMS

  • Anforderungen an das KMS-Schlüsselformat: S3 Vectors erfordert, dass Sie KMS-Schlüssel im vollständigen Amazon Resource Name (ARN) -Format angeben. Schlüssel IDs oder Schlüsselaliase werden nicht unterstützt.

  • Dienstprinzipalberechtigungen: Wenn Sie vom Kunden verwaltete Schlüssel mit S3 Vectors verwenden, müssen Sie dem S3 Vectors-Dienstprinzipal ausdrücklich Berechtigungen zur Verwendung Ihres KMS-Schlüssels erteilen. Diese Anforderung stellt sicher, dass der Dienst Ihre Daten in Ihrem Namen ver- und entschlüsseln kann. Der Dienstprinzipal, der Zugriff benötigt, ist. indexing.s3vectors.amazonaws.com

Beispiel: KMS-Schlüsselrichtlinie für S3 Vectors

Um einen vom Kunden verwalteten KMS-Schlüssel mit S3 Vectors zu verwenden, müssen Sie Ihre Schlüsselrichtlinie so aktualisieren, dass sie Berechtigungen für den S3 Vectors-Dienstprinzipal enthält. Hier ist ein umfassendes Beispiel für wichtige Richtlinien.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3VectorsServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "indexing.s3vectors.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3vectors:aws-region:123456789012:bucket/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        },
        {
            "Sid": "AllowApplicationAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam:123456789012:role/VectorApplicationRole",
                    "arn:aws:iam:123456789012:user/DataScientist"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3vectors.aws-region.amazonaws.com"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        }
    ]
}

  • Erforderliche KMS-Berechtigungen:

    • Hauptberechtigung für den S3 Vectors-Dienst:

      • kms:Decrypt— Wird vom Dienstprinzipal (indexing.s3vectors.amazonaws.com) von S3 Vectors für Ihren vom Kunden verwalteten Schlüssel benötigt, um den Index im Hintergrund zu verwalten und zu optimieren

    • IAM-Prinzipalberechtigungen:

  • Überlegungen zum kontenübergreifenden Zugriff: Bei der Implementierung von kontenübergreifenden Zugriffsmustern mit SSE-KMS müssen Sie sicherstellen, dass die KMS-Schlüsselrichtlinie den Zugriff durch die entsprechenden Prinzipale in anderen Konten ermöglicht. Das ARN-Schlüsselformat wird in kontenübergreifenden Szenarien besonders wichtig, da es unabhängig vom Kontokontext, aus dem auf ihn zugegriffen wird, einen eindeutigen Verweis auf den Schlüssel bietet.