So DataZone verwendet Amazon Zuschüsse in AWS KMS Einen kundenverwalteten Schlüssel erstellen Einen vom Kunden verwalteten Schlüssel für Amazon angeben DataZone DataZone Amazon-Verschlüsselungskontext Überwachung Ihrer Verschlüsselungsschlüssel für Amazon DataZone Erstellen von Data Lake-Umgebungen mit verschlüsselten AWS Glue-Katalogen

Datenverschlüsselung im Ruhezustand für Amazon DataZone

Die standardmäßige Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.

Amazon DataZone verwendet AWS eigene Standardschlüssel, um Ihre Daten im Ruhezustand automatisch zu verschlüsseln. Sie können die Verwendung AWS eigener Schlüssel nicht einsehen, verwalten oder überprüfen. Weitere Informationen finden Sie unter AWS Eigene Schlüssel.

Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen anderen Verschlüsselungstyp auswählen, aber Sie können bei der Erstellung Ihrer DataZone Amazon-Domains einen vom Kunden verwalteten Schlüssel wählen. Amazon DataZone unterstützt die Verwendung symmetrischer, vom Kunden verwalteter Schlüssel, die Sie erstellen, besitzen und verwalten können. Da Sie die volle Kontrolle über die Verschlüsselung haben, können Sie die folgenden Aufgaben ausführen:

Legen Sie wichtige Richtlinien fest und pflegen Sie sie
Einrichtung und Pflege von IAM-Richtlinien und -Zuschüssen
Aktivieren und deaktivieren Sie wichtige Richtlinien
Rotieren Sie das kryptografische Schlüsselmaterial
Tags hinzufügen
Schlüsselaliase erstellen
Planen Sie das Löschen von Schlüsseln

Um Ihren eigenen Schlüssel zu verwenden, wählen Sie bei der Erstellung Ihrer DataZone Amazon-Domain einen vom Kunden verwalteten Schlüssel aus.

Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel.

Anmerkung

Amazon aktiviert DataZone automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um Kundendaten kostenlos zu schützen.

AWS Für die Verwendung von vom Kunden verwalteten Schlüsseln fallen KMS-Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für den AWS Key Management Service.

So DataZone verwendet Amazon Zuschüsse in AWS KMS

Amazon DataZone benötigt zwei Zuschüsse, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können. Wenn Sie eine DataZone Amazon-Domain erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, DataZone erstellt Amazon Zuschüsse in Ihrem Namen, indem es CreateGrantAnfragen an AWS KMS sendet. Zuschüsse in AWS KMS werden verwendet, um Amazon DataZone Zugriff auf einen KMS-Schlüssel in Ihrem Konto zu gewähren. Amazon gewährt DataZone die folgenden Zuschüsse, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen zu verwenden:

Ein Zuschuss für die Verschlüsselung Ihrer Daten im Ruhezustand für die folgenden Vorgänge:

Senden Sie DescribeKeyAnfragen an AWS KMS, um zu überprüfen, ob die symmetrische, vom Kunden verwaltete KMS-Schlüssel-ID, die Sie bei der Erstellung einer DataZone Amazon-Domain eingegeben haben, gültig ist.
Senden Sie GenerateDataKeyan AWS KMS, um Datenschlüssel zu generieren, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt sind.
Eine Entschlüsselungsanforderung senden ermöglicht Amazon DataZone , gespeicherte Daten zu entschlüsseln.
RetireGrantum den Zuschuss zurückzuziehen, wenn die Domain gelöscht wird.

Ein Zuschuss für die Suche und Entdeckung Ihrer Daten:

DescribeKey- stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, die es Amazon ermöglichen, den Schlüssel DataZone zu validieren.
Entschlüsseln — ermöglicht Amazon DataZone , gespeicherte Daten zu entschlüsseln.

Sie können den Zugriff auf den vom Kunden verwalteten Schlüssel jederzeit widerrufen. Wenn Sie dies tun, kann Amazon auf DataZone keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind.

Einen kundenverwalteten Schlüssel erstellen

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS Management Console oder des AWS KMS APIs erstellen.

Um einen symmetrischen, vom Kunden verwalteten Schlüssel zu erstellen, folgen Sie den Schritten unter Erstellen eines symmetrischen kundenverwalteten Schlüssels im AWS Key Management Service Developer Guide.

Schlüsselrichtlinie — Wichtige Richtlinien regeln den Zugriff auf Ihren vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel im AWS Key Management Service Developer Guide.

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren DataZone Amazon-Ressourcen zu verwenden, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zulässig sein:

kms: CreateGrant — fügt einem vom Kunden verwalteten Schlüssel einen Zuschuss hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS-Schlüssel, der den Zugriff auf von Amazon DataZone benötigte Grant-Operationen ermöglicht. Weitere Informationen zur Verwendung von Grants finden Sie im AWS Key Management Service Developer Guide.
kms: DescribeKey — stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon DataZone den Schlüssel validieren kann.
kms: GenerateDataKey — gibt einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von AWS KMS zurück.
kms:Decrypt — entschlüsselt Chiffretext, der mit einem KMS-Schlüssel verschlüsselt wurde.

Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für Amazon hinzufügen können DataZone:



"Statement": [
    {
      "Sid": "Enable IAM User Permissions for DescribeKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "kms:DescribeKey",
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid": "Allow access to principals authorized to manage Amazon DataZone",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:datazone:domainId"
        }
      }
    },
    {
      "Sid": "Allow creating grants when creating an Amazon DataZone for all principals in the account that are authorized to manage Amazon DataZone",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "111122223333",
          "kms:ViaService": "datazone.region.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:datazone:domainId"
        }
      }
    }
]

Anmerkung

Das DataZone Amazon-Datenportal erhält über den Principal der Domain Execution Role Zugriff auf Ihren vom Kunden verwalteten Schlüssel.

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie finden Sie im AWS Key Management Service Developer Guide.

Weitere Informationen zur Fehlerbehebung beim Schlüsselzugriff finden Sie im AWS Key Management Service Developer Guide.

Einen vom Kunden verwalteten Schlüssel für Amazon angeben DataZone

Sie können bei der Domainerstellung einen vom Kunden verwalteten Schlüssel als zweite Verschlüsselungsebene angeben.

DataZone Amazon-Verschlüsselungskontext

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Datenverschlüsselung aufnehmen, bindet AWS KMS den Verschlüsselungskontext an die verschlüsselten Daten. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Amazon DataZone verwendet den folgenden Verschlüsselungskontext:



"encryptionContextSubset": {
    "aws:datazone:domainId": "{dzd_samleid}"
}

Verwendung des Verschlüsselungskontextes für die Überwachung — Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung von Amazon verwenden DataZone, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail .

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf Ihren vom Kunden verwalteten Schlüssel — Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen für die Steuerung des Zugriffs auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel verwenden. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

Amazon DataZone verwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext.



 {
      "Sid": "Enable DescribeKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
      },
      "Action": "kms:DescribeKey",
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid": "Allow access to principal to manage an Amazon DataZone domain with the given domain id",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID",
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:aws:datazone:domainId": "dzd_sampleid"
        }
      }
    },
    {
      "Sid": "Allow creating grants when creating an Amazon DataZone domain to principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
      },
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "111122223333",
          "kms:ViaService": "datazone.region.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:datazone:domainId"
        }
      }
    }

Überwachung Ihrer Verschlüsselungsschlüssel für Amazon DataZone

Wenn Sie einen AWS vom Kunden verwalteten KMS-Schlüssel mit Ihren DataZone Amazon-Ressourcen verwenden, können Sie AWS CloudTraildamit Anfragen verfolgen, die Amazon DataZone an AWS KMS sendet. Die folgenden Beispiele sind AWS CloudTrail Ereignisse fürCreateGrant,GenerateDataKey, und RetireGrant zur Überwachung von KMS-VorgängenDecrypt, die von Amazon aufgerufen wurden, DataZone um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

CreateGrant

Wenn Sie einen AWS vom Kunden verwalteten KMS-Schlüssel zur Verschlüsselung Ihrer DataZone Amazon-Domain verwenden, DataZone sendet Amazon in Ihrem Namen eine CreateGrant Anfrage, um auf den KMS-Schlüssel in Ihrem AWS Konto zuzugreifen. Zuschüsse, die Amazon DataZone erstellt, sind spezifisch für die Ressource, die dem vom Kunden verwalteten AWS KMS-Schlüssel zugeordnet ist. Darüber hinaus DataZone verwendet Amazon den RetireGrant Vorgang, um einen Zuschuss zu entfernen, wenn Sie eine Domain löschen.

Das folgende Beispielereignis zeichnet den Vorgang CreateGrant auf:



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Example/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Example",
                "accountId": "111122223333",
                "userName": "Example"
            },
            "attributes": {
                "creationDate": "2024-04-22T17:02:00Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2024-04-22T17:02:00Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datazone.amazonaws.com",
    "userAgent": "datazone.amazonaws.com",
    "requestParameters": {
        "retiringPrincipal": "datazone.us-east-2.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "RetireGrant",
            "DescribeKey",
            "Decrypt"
        ],
        "granteePrincipal": "datazone.us-east-2.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": {
                "aws:datazone:domainId": "dzd_sampleid"
            }
        },
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Example/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Example",
                "accountId": "111122223333",
                "userName": "Example"
            },
            "attributes": {
                "creationDate": "2024-04-22T17:10:00Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2024-04-22T17:49:00Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datazone.amazonaws.com",
    "userAgent": "datazone.amazonaws.com",
    "requestParameters": {
        "retiringPrincipal": "datazone.us-east-2.amazonaws.com",
        "operations": [
            "DescribeKey",
            "Decrypt"
        ],
        "granteePrincipal": "datazone.us-east-2.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": {
                "aws:datazone:domainId": "dzd_sampleid"
            }
        },
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}

GenerateDataKey

Wenn Sie einen kundenverwalteten AWS KMS-Schlüssel für Ihre DataZone Amazon-Domain aktivieren, DataZone generiert Amazon Datenschlüssel. Es sendet eine GenerateDataKey Anfrage an AWS KMS, in der der vom Kunden verwaltete AWS KMS-Schlüssel für die Domain angegeben wird.

Das folgende Beispielereignis zeichnet den GenerateDataKey Vorgang auf:



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:AmazonSageMakerDomainExecution",
        "arn": "arn:aws:sts::111122223333:assumed-role/AmazonSageMakerDomainExecution/AmazonSageMakerDomainExecution",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/service-role/AmazonSageMakerDomainExecution",
                "accountId": "111122223333",
                "userName": "AmazonSageMakerDomainExecution"
            },
            "attributes": {
                "creationDate": "2024-04-22T19:50:39Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2024-04-22T19:50:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datazone.amazonaws.com",
    "userAgent": "datazone.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:datazone:domainId": "dzd_sampleid",
            "V": "2024-04-22T17:49:12.98177136Z|cacf3df7-7b99-49f6-ae14-sample",
            "version": "0",
            "N": "dzd_sampleid|arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "*aws-kms-table*": "awsdatazoneroaring-data-store-datakeys-prod-us-east-2"
        },
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2024-04-22T19:50:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:datazone:domainId": "dzd_sampleid",
            "aws:s3:arn": "arn:aws:s3:::amazon-datazone-us-east-2-422ceee9465430bdb354d1c9efsample"
        },
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Decrypt

Wenn Sie auf eine verschlüsselte DataZone Amazon-Domain zugreifen, DataZone ruft Amazon den Decrypt Vorgang auf, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf die verschlüsselten Daten zu verwenden.

Das folgende Beispielereignis zeichnet den Vorgang Decrypt auf:



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:AmazonSageMakerDomainExecution",
        "arn": "arn:aws:sts::111122223333:assumed-role/AmazonSageMakerDomainExecution/AmazonSageMakerDomainExecution",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/service-role/AmazonSageMakerDomainExecution",
                "accountId": "111122223333",
                "userName": "AmazonSageMakerDomainExecution"
            },
            "attributes": {
                "creationDate": "2024-04-22T19:50:39Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2024-04-22T19:51:54Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datazone.amazonaws.com",
    "userAgent": "datazone.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:datazone:domainId": "dzd_sampleid",
            "V": "2024-04-22T17:49:12.98177136Z|cacf3df7-7b99-49f6-ae14-sample",
            "version": "0",
            "N": "dzd_sampleid|arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "*aws-kms-table*": "awsdatazoneroaring-data-store-datakeys-prod-us-east-2"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2024-04-22T19:51:54Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datazone.amazonaws.com",
    "userAgent": "datazone.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:datazone:domainId": "dzd_sampleid",
            "V": "2024-04-22T17:49:12.98177136Z|cacf3df7-7b99-49f6-ae14-sample",
            "version": "0",
            "N": "dzd_sampleid|arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "*aws-kms-table*": "awsdatazoneroaring-data-store-datakeys-prod-us-east-2"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2024-04-22T19:51:54Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:datazone:domainId": "dzd_sampleid",
            "aws:s3:arn": "arn:aws:s3:::amazon-datazone-us-east-2-422ceee9465430bdb354d1c9efsample"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

RetireGrant

Das folgende Beispielereignis zeichnet den Vorgang RetireGrant auf:



{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2025-04-29T22:18:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datazone.amazonaws.com",
    "userAgent": "datazone.amazonaws.com",
    "requestParameters": null,
    "responseElements": {
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "294308c0-7617-4727-b5c9-34eaf75aa8e3",
    "eventID": "273708f7-5fbb-3a90-b04d-2b3138bf0ec9",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "b46377d7-b3c3-4bfd-a257-722bd3f3411d",
    "eventCategory": "Management"
}

Erstellen von Data Lake-Umgebungen mit verschlüsselten AWS Glue-Katalogen

In fortgeschrittenen Anwendungsfällen müssen Sie, wenn Sie mit einem verschlüsselten AWS Glue-Katalog arbeiten, Zugriff auf den DataZone Amazon-Service gewähren, um Ihren vom Kunden verwalteten KMS-Schlüssel verwenden zu können. Sie können dies tun, indem Sie Ihre benutzerdefinierte KMS-Richtlinie aktualisieren und dem Schlüssel ein Tag hinzufügen. Gehen Sie wie folgt vor, um Zugriff auf den DataZone Amazon-Service für die Arbeit mit Daten in einem verschlüsselten AWS Glue-Katalog zu gewähren:

Fügen Sie Ihrem benutzerdefinierten KMS-Schlüssel die folgende Richtlinie hinzu. Weitere Informationen finden Sie unter Changing a key policy (Ändern einer Schlüsselrichtlinie).



{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow datazone environment roles to decrypt using the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:glue_catalog_id": "<GLUE_CATALOG_ID>"
        },
        "ArnLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::<ENVIRONMENT_ACCOUNT_1>:role/*datazone_usr*",
            "arn:aws:iam::<ENVIRONMENT_ACCOUNT_2>:role/*datazone_usr*"
          ]
        }
      }
    },
    {
      "Sid": "Allow datazone environment roles to describe the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::<ENVIRONMENT_ACCOUNT_1>:role/*datazone_usr*",
            "arn:aws:iam::<ENVIRONMENT_ACCOUNT_2>:role/*datazone_usr*"
          ]
        }
      }
    }
  ]
}

Wichtig

Sie müssen das "aws:PrincipalArn" ARNs in der Richtlinie mit dem Konto ändern, IDs in dem Sie die Umgebungen erstellen möchten. Jedes Konto, in dem Sie eine Umgebung erstellen möchten, muss in der Richtlinie als aufgeführt werden"aws:PrincipalArn".
Sie müssen es auch durch <GLUE_CATALOG_ID>die gültige AWS Konto-ID ersetzen, in der sich Ihr AWS Glue-Katalog befindet.
Beachten Sie, dass diese Richtlinie Zugriff auf die Verwendung des Schlüssels für alle Benutzerrollen in der DataZone Amazon-Umgebung in den angegebenen Konten gewährt. Wenn Sie nur bestimmten Benutzerrollen in der Umgebung erlauben möchten, den Schlüssel zu verwenden, müssen Sie den gesamten Namen der Umgebungsbenutzerrolle angeben (z. B. arn:aws:iam::<ENVIRONMENT_ACCOUNT_ID>:role/datazone_usr_<ENVIRONMENT_ID> (wo <ENVIRONMENT_ID>ist die ID der Umgebung) und nicht das Platzhalterformat.

Fügen Sie Ihrem benutzerdefinierten KMS-Schlüssel das folgende Tag hinzu. Weitere Informationen finden Sie unter Verwenden von Tags zur Steuerung des Zugriffs auf KMS-Schlüssel.
```
key: AmazonDataZoneEnvironment
value: all 
          
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

Verwenden von Interface VPC-Endpunkten für Amazon DataZone