Datenschutz und Verschlüsselung in S3 Vectors - Amazon Simple Storage Service
Festlegen der Bucket-Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz und Verschlüsselung in S3 Vectors

Amazon S3 Vectors bietet eine Haltbarkeit von 99,999999999 % (11 9s) für Ihre Vektordaten, was eine außergewöhnliche Zuverlässigkeit für Ihre Vektorspeicheranforderungen gewährleistet. Diese Beständigkeit wird durch die bewährte Infrastruktur von Amazon S3 unterstützt, die darauf ausgelegt ist, die Datenintegrität und Verfügbarkeit auch bei Hardwareausfällen oder anderen Störungen aufrechtzuerhalten.

Der Datenschutz in S3 Vectors umfasst mehrere Ebenen von Sicherheitskontrollen, die darauf ausgelegt sind, Ihre Vektordaten sowohl im Speicher als auch bei der Übertragung zu schützen.

Standardmäßig verwenden alle neuen Vektoren in Vektor-Buckets von Amazon S3 Vectors die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3). Wenn Sie einen Vektor-Bucket mit SSE-S3-Verschlüsselung erstellen, verwenden alle nachfolgenden Operationen auf dem Bucket automatisch Verschlüsselung.

S3 Vectors lässt sich auch in den AWS Key Management Service (KMS) integrieren, um flexible Optionen zur Verwaltung von Verschlüsselungsschlüsseln bereitzustellen, sodass Sie für die Berechtigungskontrolle und Überprüfbarkeit vom Kunden verwaltete Schlüssel auswählen können.

Wenn Sie einen Vektorindex innerhalb eines Vektor-Buckets erstellen, können Sie optional die Verschlüsselungseinstellungen auf Vektor-Bucket-Ebene überschreiben und eine Verschlüsselungskonfiguration (SSE-S3 oder KMS) auf Vektorindex-Ebene bereitstellen. Wenn bei der Erstellung des Vektorindexes keine spezifische Verschlüsselung angegeben wurde, erbt der Index die Verschlüsselungskonfiguration von dem Vektor-Bucket, zu dem er gehört.

Einstellung des serverseitigen Verschlüsselungsverhaltens für Amazon S3 S3-Vektor-Buckets und -Indizes

Die Verschlüsselungskonfiguration in S3 Vectors ist eine grundlegende Sicherheitseinstellung, die Sie angeben müssen, wenn Sie einen Vektor-Bucket erstellen. Dieses Design stellt sicher, dass alle im Bucket gespeicherten Vektordaten ab dem Zeitpunkt der Erstellung verschlüsselt werden. Standardmäßig gilt die Verschlüsselungskonfiguration für alle Vektoren, Vektorindizes und Metadaten innerhalb des Buckets und bietet so einen konsistenten Schutz für Ihren gesamten Vektordatensatz in einem Vektor-Bucket. Sie können optional auch die Verschlüsselungseinstellungen auf Vektor-Bucket-Ebene überschreiben und eine spezielle Verschlüsselungskonfiguration (SSE-S3 oder AWS KMS) auf Vektorindex-Ebene bereitstellen.

Wichtig

Die Verschlüsselungseinstellungen für einen Vektor-Bucket können nach dessen Erstellung nicht mehr geändert werden. Sie müssen Ihre Verschlüsselungsanforderungen bei der Erstellung des Buckets sorgfältig abwägen, einschließlich der Compliance-Anforderungen, der Einstellungen für die Schlüsselverwaltung und der Integration in die bestehende Sicherheitsinfrastruktur.

Wenn Sie den Verschlüsselungstyp SSE-S3 oder SSE-KMS auf Vektor-Bucket-Ebene festlegen, gilt er standardmäßig für alle Vektorindizes und Vektoren innerhalb des Buckets. Die Verschlüsselungskonfiguration gilt nicht nur für die Vektordaten selbst, sondern auch für alle zugehörigen Metadaten.

Sie können optional auch die Verschlüsselungseinstellungen auf Vektor-Bucket-Ebene überschreiben und eine spezielle Verschlüsselungskonfiguration (SSE-S3 oder KMS) auf Vektorindex-Ebene bereitstellen. Die Verschlüsselungseinstellungen für einen Vektorindex können nicht geändert werden, nachdem der Vektorindex erstellt wurde.

SSE-S3-Verschlüsselung verwenden

Die serverseitige Verschlüsselung mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) bietet eine einfache und effektive Verschlüsselungslösung für Vektor-Buckets, die alle Aspekte des Verschlüsselungsprozesses AWS verwaltet. Diese Verschlüsselungsmethode verwendet AES-256 Verschlüsselung und ist so konzipiert, dass sie hohe Sicherheit bei minimalem Betriebsaufwand bietet und Unternehmen eine robuste Verschlüsselung ohne die Komplexität der Verwaltung von Verschlüsselungsschlüsseln bietet.

Mit SSE-S3 übernimmt Amazon S3 die Generierung, Rotation und Verwaltung von Verschlüsselungsschlüsseln automatisch. SSE-S3 bietet hohe Sicherheit ohne zusätzliche Konfiguration oder laufende Verwaltungsanforderungen. Die Verschlüsselungs- und Entschlüsselungsprozesse werden automatisch vom Service abgewickelt, und es fallen keine zusätzlichen Gebühren für die Verwendung der SSE-S3-Verschlüsselung an, die über die Standardpreise von S3 Vectors hinausgehen.

Verwenden der SSE-KMS-Verschlüsselung

Die serverseitige Verschlüsselung mit AWS Key Management Service-Schlüsseln (SSE-KMS) bietet eine verbesserte Kontrolle über die Verschlüsselungsschlüssel und ermöglicht eine detaillierte Auditprotokollierung der Schlüsselnutzung. Diese Verschlüsselungsmethode ist ideal für Unternehmen mit strengen Compliance-Anforderungen, für Unternehmen, die benutzerdefinierte Richtlinien für die Schlüsselrotation implementieren müssen, oder für Umgebungen, in denen detaillierte Prüfprotokolle für den Datenzugriff erforderlich sind.

SSE-KMS ermöglicht es Ihnen, vom Kunden verwaltete Schlüssel (CMKs) für die Verschlüsselung Ihrer Vektordaten zu verwenden. Kundenverwaltete Schlüssel bieten ein Höchstmaß an Kontrolle. Sie ermöglichen es Ihnen, wichtige Richtlinien zu definieren, Schlüssel zu aktivieren oder zu deaktivieren und die Schlüsselnutzung zu überwachen. AWS CloudTrail Durch dieses Maß an Kontrolle eignet sich SSE-KMS besonders für regulierte Branchen oder Organisationen mit spezifischen Anforderungen an die Daten-Governance.

Wenn Sie SSE-KMS mit kundenseitig verwalteten Schlüsseln verwenden, haben Sie die vollständige Kontrolle darüber, wer die Schlüssel zum Verschlüsseln und Entschlüsseln von Daten verwenden kann. Sie können detaillierte Schlüsselrichtlinien erstellen, die angeben, welche Benutzer, Rollen oder Dienste auf die Schlüssel zugreifen können.

Wichtige Überlegungen für SSE-KMS

  • Anforderungen an das KMS-Schlüsselformat: S3 Vectors erfordert, dass Sie KMS-Schlüssel im vollständigen Amazon-Ressourcenname (ARN)-Format angeben. Schlüssel IDs oder Schlüsselaliase werden nicht unterstützt.

  • Service-Prinzipal-Berechtigungen: Wenn Sie kundenseitig verwaltete Schlüssel mit S3 Vectors verwenden, müssen Sie dem S3 Vectors-Service-Prinzipal ausdrücklich Berechtigungen zur Verwendung Ihres KMS-Schlüssels erteilen. Diese Anforderung stellt sicher, dass der Service Ihre Daten für Sie ver- und entschlüsseln kann. Der Service-Prinzipal, der Zugriff benötigt, ist. indexing.s3vectors.amazonaws.com

Beispiel: KMS-Schlüsselrichtlinie für S3 Vectors

Um einen vom Kunden verwalteten KMS-Schlüssel mit S3 Vectors zu verwenden, müssen Sie Ihre Schlüsselrichtlinie so aktualisieren, dass sie Berechtigungen für den S3 Vectors-Service-Prinzipal enthält. Hier ist ein umfassendes Beispiel für eine Schlüsselrichtlinie.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3VectorsServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "indexing.s3vectors.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3vectors:aws-region:123456789012:bucket/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        },
        {
            "Sid": "AllowApplicationAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam:123456789012:role/VectorApplicationRole",
                    "arn:aws:iam:123456789012:user/DataScientist"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3vectors.aws-region.amazonaws.com"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        }
    ]
}

  • Erforderliche KMS-Berechtigungen:

    • Service-Prinzipal-Berechtigung für S3 Vectors:

      • kms:Decrypt – Erforderlich für den S3 Vectors-Service-Prinzipal (indexing.s3vectors.amazonaws.com) auf Ihrem vom Kunden verwalteten Schlüssel, um den Index in Hintergrundvorgängen zu pflegen und zu optimieren.

    • IAM-Prinzipal-Berechtigungen:

  • Überlegungen zum kontenübergreifenden Zugriff: Bei der Implementierung von kontoübergreifenden Zugriffsmustern mit SSE-KMS müssen Sie sicherstellen, dass die KMS-Schlüsselrichtlinie den Zugriff durch die entsprechenden Prinzipale in anderen Konten ermöglicht. Das ARN-Schlüsselformat wird in kontenübergreifenden Szenarien besonders wichtig, da es unabhängig vom Kontokontext, aus dem auf ihn zugegriffen wird, einen eindeutigen Verweis auf den Schlüssel bietet.