Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in Amazon API Gateway
Das AWS[Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) wird auch auf den Datenschutz in Amazon API Gateway angewendet. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS-Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS-Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Informationen zur Verwendung von CloudTrail-Trails zur Erfassung von AWS-Aktivitäten finden Sie unter [Arbeiten mit CloudTrail-Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail-Benutzerhandbuch*.
+ Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit API Gateway oder anderen AWS-Services über die Konsole, API, AWS CLI oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Datenverschlüsselung in Amazon API Gateway
Datenschutz bezieht sich auf den Schutz von Daten während der Übertragung (auf dem Weg zu und von API Gateway) und im Ruhezustand (während sie in der gespeichert werde AWS).
## Datenverschlüsselung im Ruhezustand in Amazon API Gateway
Wenn Sie das Caching für eine REST-API aktivieren, können Sie die Cache-Verschlüsselung aktivieren. Weitere Informationen hierzu finden Sie unter [Cache-Einstellungen für REST APIs in API Gateway](api-gateway-caching.md).
Weitere Informationen zum Datenschutz enthält der Blog-Beitrag [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS-Sicherheitsblog*.
### Verschlüsselung und Entschlüsselung Ihres privaten Zertifikatschlüssels
Wenn Sie einen benutzerdefinierten Domainnamen für private APIs erstellen, werden Ihr ACM-Zertifikat und Ihr privater Schlüssel mithilfe eines AWS-verwalteten KMS-Schlüssels mit dem Alias **aws/acm** verschlüsselt. Sie können die Schlüssel-ID mit diesem Alias in der AWS KMS-Konsole unter **AWS-verwaltete Schlüssel** einsehen.
API Gateway greift nicht direkt auf Ihre ACM-Ressourcen zu. Es verwendet den TLS Connection Manager von AWS, um die privaten Schlüssel für Ihr Zertifikat zu sichern und auf sie zuzugreifen. Wenn Sie Ihr ACM-Zertifikat verwenden, um einen benutzerdefinierten API-Gateway-Domainnamen für private APIs zu erstellen, ordnet API Gateway Ihr Zertifikat dem TLS Connection Manager von AWS zu. Dazu erstellen Sie eine Erteilung unter AWS KMS gegenüber Ihrem AWS-verwalteten Schlüssel mit dem Präfix **aws/acm**. Eine Erteilung ist ein Richtlinieninstrument, das es TLS Connection Manager erlaubt, KMS-Schlüssel in kryptografischen Operationen zu verwenden. Die Erteilung erlaubt es dem Empfänger-Prinzipal (TLS Connection Manager), die angegebenen Genehmigungsoperationen für den KMS-Schlüssel aufzurufen, um den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. TLS Connection Manager verwendet dann das Zertifikat und den entschlüsselten privaten (Klartext) Schlüssel für den Aufbau einer sicheren Verbindung (SSL/TLS-Sitzung) mit Kunden von API-Gateway-Diensten. Die Erteilung wird außer Betrieb genommen, wenn das Zertifikat von einem benutzerdefinierten API-Gateway-Domainnamen für private APIs getrennt wird.
Wenn Sie den Zugriff auf den KMS-Schlüssel deaktivieren möchten, sollten Sie das Zertifikat mithilfe des AWS-Managementkonsole- oder `update-service`-Befehls im Dienst zu ersetzen oder zu entfernen.
### Verschlüsselungskontext für API Gateway
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) ist ein optionaler Satz von Schlüssel-Wert-Paaren, die Kontextinformationen zur möglichen Verwendung Ihres privaten Schlüssels enthalten. AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten und verwendet diese als zusätzliche Authentifizierungsdaten zur Unterstützung der authentifizierten Verschlüsselung.
Wenn Ihre TLS-Schlüssel mit API Gateway und TLS Connection Manager verwendet werden, wird der Name Ihres API-Gateway-Dienstes im Verschlüsselungskontext aufgenommen, der zur Verschlüsselung Ihres Schlüssels im Ruhezustand verwendet wird. Sie können überprüfen, für welchen benutzerdefinierten API-Gateway-Domainnamen Ihr Zertifikat und Ihr privater Schlüssel verwendet werden, indem Sie den Verschlüsselungskontext in Ihren CloudTrail-Protokollen wie im nächsten Abschnitt gezeigt einsehen, oder indem Sie in der ACM-Konsole die Registerkarte **Zugeordnete Ressourcen** einsehen.
Zur Entschlüsselung von Daten wird derselbe Verschlüsselungskontext in der Anforderung übergeben. API Gateway verwendet denselben Verschlüsselungskontext in allen kryptografischen AWS-KMS-Operationen, wobei der Schlüssel `aws:apigateway:arn` ist und der Wert des Amazon-Ressourcennamens (ARN) der API-Gateway-Ressource `PrivateDomainName` ist.
Im folgenden Beispiel sehen Sie den Verschlüsselungskontext in der Ausgabe einer Operation wie `CreateGrant`.
```
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"
```
## Datenverschlüsselung während der Übertragung in Amazon API Gateway
Die mit Amazon API Gateway erstellten APIs stellen HTTPS-Endpunkte dar. API Gateway unterstützt keine unverschlüsselten Endpunkte (HTTP).
API Gateway verwaltet die Zertifikate für `execute-api`-Standardendpunkte. Wenn Sie einen benutzerdefinierten Domainnamen konfigurieren, [geben Sie das Zertifikat für den Domainnamen](how-to-custom-domains.md#custom-domain-names-certificates) an. Als bewährte Methode sollten Sie keine [PIN-Zertifikate verwenden](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html).
Für mehr Sicherheit können Sie eine Mindestversion des TLS-Protokolls (Transport Layer Security) auswählen, die für Ihre benutzerdefinierte API Gateway-Domäne durchgesetzt wird. WebSocket-APIs und HTTP-APIs unterstützen nur TLS 1.2. Weitere Informationen hierzu finden Sie unter [Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte Domain in API Gateway](apigateway-custom-domain-tls-version.md).
Sie können außerdem eine Amazon CloudFront-Distribution mit einem benutzerdefinierten SSL-Zertifikat in Ihrem Konto einrichten und diese mit regionalen APIs verwenden. Anschließend können Sie die Sicherheitsrichtlinie für die CloudFront-Verteilung mit TLS 1.1 oder höher entsprechend Ihren Sicherheits- und Compliance-Anfragen konfigurieren.
Weitere Informationen zum Datenschutz enthält [Schützen Sie Ihren REST APIs in API Gateway](rest-api-protect.md) und der Blog-Beitrag [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS-Sicherheitsblog*.
# Richtlinie für den Datenverkehr zwischen Netzwerken
Mit Amazon API Gateway können Sie private REST-APIs erstellen, auf die nur von Ihrer Amazon Virtual Private Cloud (VPC) aus zugegriffen werden kann. Die VPC verwendet einen [Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html), bei dem es sich um eine Endpunkt-Netzwerkschnittstelle handelt, die Sie in Ihrer VPC erstellen. Mithilfe von [Ressourcen-Richtlinien](apigateway-private-api-create.md#apigateway-private-api-set-up-resource-policy) können Sie den Zugriff auf Ihre API von aus ausgewählten VPCs und VPC-Endpunkten erlauben oder verweigern, darunter auch über AWS-Konten. Jeder Endpunkt kann für den Zugriff auf mehrere APIs verwendet werden. Sie können mit Direct Connect auch eine Verbindung von einem On-Premises-Netzwerk zu Amazon VPC herstellen und über diese Verbindung auf Ihre private API zugreifen. In allen Fällen verwendet der Datenverkehr zu Ihrer privaten API eine sichere Verbindung und verlässt nicht das Amazon-Netzwerk. Er ist vom öffentlichen Internet isoliert. Weitere Informationen hierzu finden Sie unter [Privates REST APIs im API Gateway](apigateway-private-apis.md).