Datenverschlüsselung im Ruhezustand für AWS Glue Data Quality - AWS Glue
AWS eigene SchlüsselKundenseitig verwaltete SchlüsselErstellen eines vom Kunden verwalteten SchlüsselsEine Sicherheitskonfiguration erstellenAWS Glue Data Quality-VerschlüsselungskontextÜberwachung Ihrer Verschlüsselungsschlüssel für AWS Glue Data QualityWeitere Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung im Ruhezustand für AWS Glue Data Quality

AWS Glue Data Qualitybietet standardmäßig Verschlüsselung, um vertrauliche Kundendaten im Speicher mithilfe AWS eigener Verschlüsselungsschlüssel zu schützen.

AWS eigene Schlüssel

AWS Glue Data Quality verwendet diese Schlüssel, um die Datenqualitätsressourcen der Kunden automatisch zu verschlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie AWS im AWS KMS Entwicklerhandbuch unter Eigene Schlüssel.

Die standardmäßige Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.

Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen anderen Verschlüsselungstyp auswählen, Sie können jedoch eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen, indem Sie bei der Erstellung Ihrer Data Quality-Ressourcen einen vom Kunden verwalteten Schlüssel auswählen.

Kundenseitig verwaltete Schlüssel

Vom Kunden verwaltete Schlüssel: AWS Glue Data Quality unterstützt die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten. Dadurch wird eine zweite Verschlüsselungsebene gegenüber der bestehenden AWS eigenen Verschlüsselung hinzugefügt. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:

  • Festlegung und Pflege wichtiger Richtlinien

  • Festlegung und Aufrechterhaltung von IAM-Richtlinien

  • Aktivieren und Deaktivieren wichtiger Richtlinien

  • Kryptographisches Material mit rotierendem Schlüssel

  • Hinzufügen von -Tags

  • Erstellen von Schlüsselaliasen

  • Schlüssel für das Löschen von Schlüsseln planen

Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel im AWS KMS Entwicklerhandbuch.

Die folgende Tabelle fasst zusammen, wie AWS Glue Data Quality verschiedene Data Quality-Ressourcen verschlüsselt.

Datentyp AWS Verschlüsselung mit eigenem Schlüssel Kundenseitig verwaltete Schlüsselverschlüsselung

Data-Quality-Regelsatz

DQDL-Regelsatzzeichenfolge, auf die der persistente DQ-Regelsatz verweist. Diese persistenten Regelsätze werden derzeit nur im AWS Glue Data Catalog verwendet.

Aktiviert Aktiviert

Rule/Analyzer Ergebnisse zur Datenqualität

Ergebnisartefakte, die den pass/fail Status jeder Regel in einem Regelsatz sowie Metriken enthalten, die sowohl von Regeln als auch von Analysatoren erfasst wurden.

Aktiviert Aktiviert

Beobachtungen

Beobachtungen werden generiert, wenn eine Anomalie in den Daten festgestellt wird. Sie enthalten Informationen zu den erwarteten Ober- und Untergrenzen und eine auf diesen Grenzen basierende Regelempfehlung. Wenn sie generiert werden, werden sie zusammen mit den Datenqualitätsergebnissen angezeigt.

Aktiviert Aktiviert

Statistiken

Enthält Informationen zu Metriken, die nach der Auswertung der Daten anhand eines Regelsatzes erfasst wurden, z. B. den Wert der Metrik (z. B. RowCount Vollständigkeit), Spaltennamen und andere Metadaten.

Aktiviert Aktiviert

Statistische Modelle zur Erkennung von Anomalien

Die statistischen Modelle enthalten die Zeitreihen der oberen und unteren Grenzen für eine bestimmte Metrik, die auf der Grundlage früherer Auswertungen der Kundendaten generiert wurden.

Aktiviert Aktiviert
Anmerkung

AWS Data Quality ermöglicht automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um personenbezogene Daten kostenlos zu schützen. Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen über die Preise finden Sie unter AWS KMS – Preise.

Weitere Informationen zu finden AWS KMS Sie unter AWS KMS.

Erstellen eines vom Kunden verwalteten Schlüssels

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS-Managementkonsole, oder den AWS KMS APIs verwenden.

Einen symmetrischen kundenverwalteten Schlüssel erstellen:

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Wichtige Richtlinien in AWS KMS Schlüsseln.

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Data–Quality-Ressourcen zu verwenden, müssen die folgenden API-Vorgänge in der Schlüsselrichtlinie zugelassen sein:

  • kms:Decrypt— Entschlüsselt Chiffretext, der mit einem Schlüssel verschlüsselt wurde AWS KMS GenerateDataKeyWithoutPlaintext

  • kms:DescribeKey: Stellt die vom Kunden verwalteten Schlüsseldetails bereit, damit Amazon Location den Schlüssel validieren kann.

  • kms:GenerateDataKeyWithoutPlaintext— Gibt einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von zurück. AWS KMS Diese Operation gibt einen Datenschlüssel zurück, der mit dem von Ihnen angegebenen KMS-Schlüssel mit symmetrischer Verschlüsselung verschlüsselt wurde. Die Bytes im Schlüssel sind zufällig. Sie stehen in keinem Zusammenhang mit dem Aufrufer oder dem KMS-Schlüssel. Wird verwendet, um die Anzahl der KMS-Anrufe zu reduzieren, die der Kunde tätigen muss.

  • kms:ReEncrypt*: Entschlüsselt den Geheimtext und verschlüsselt ihn anschließend vollständig innerhalb von AWS KMS. Mit diesem Vorgang können Sie den KMS-Schlüssel ändern, unter dem Daten verschlüsselt werden, z. B. wenn Sie einen KMS-Schlüssel manuell rotieren oder den KMS-Schlüssel ändern, der einen Geheimtext schützt. Sie können ihn auch verwenden, um Geheimtext unter demselben KMS-Schlüssel erneut zu verschlüsseln, beispielsweise um den Verschlüsselungskontext eines Geheimtexts zu ändern.

Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für Amazon Location hinzufügen können: 

"Statement" : [ 
    {
        "Sid" : "Allow access to principals authorized to use AWS Glue Data Quality",
        "Effect" : "Allow",
        "Principal" : {
            "AWS": "arn:aws:iam::<account_id>:role/ExampleRole"
        },
        "Action" : [ 
            "kms:Decrypt", 
            "kms:DescribeKey",
            "kms:GenerateDataKeyWithoutPlaintext",
            "kms:ReEncrypt*"
        ],
        "Resource" : "*",
        "Condition" : {
            "StringEquals" : {
                "kms:ViaService" : "glue.amazonaws.com",
                "kms:CallerAccount" : "111122223333"
            }
        },
    {
        "Sid": "Allow access for key administrators",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
          },
        "Action" : [ 
            "kms:*"
         ],
        "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
        "Sid" : "Allow read-only access to key metadata to the account",
        "Effect" : "Allow",
        "Principal" : {
            "AWS" : "arn:aws:iam::111122223333:root"
        },
        "Action" : [ 
            "kms:Describe*",
            "kms:Get*",
            "kms:List*",
        ],
        "Resource" : "*"
    }
]

Hinweise zur Verwendung von KMS-Schlüsseln in AWS Glue Data Quality

AWS Glue Data Quality unterstützt keine wichtigen Übergänge. Das bedeutet, dass wir Daten, die mit Schlüssel A verschlüsselt wurden, nicht erneut mit Schlüssel B verschlüsseln, wenn Sie Ihre Data-Quality-Assets mit Schlüssel A verschlüsseln und dann zu Schlüssel B wechseln möchten. Sie können weiterhin zu Schlüssel B wechseln, müssen jedoch den Zugriff auf Schlüssel A beibehalten, um auf zuvor mit Schlüssel A verschlüsselte Daten zugreifen zu können.

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie finden Sie im AWS Key Management Service Entwicklerhandbuch unter Berechtigungen für AWS Dienste in wichtigen Richtlinien.

Weitere Informationen zur Problembehandlung beim Schlüsselzugriff finden Sie unter Problembehandlung beim Schlüsselzugriff im AWS Key Management Service Entwicklerhandbuch.

Eine Sicherheitskonfiguration erstellen

In AWS Glue enthält die Ressource Sicherheitskonfigurationen Eigenschaften, die beim Schreiben verschlüsselter Daten benötigt werden.

So verschlüsseln Sie Ihre Datenqualitätsressourcen:

  1. Wählen Sie in den Verschlüsselungseinstellungen unter Erweiterte Einstellungen die Option Data-Quality-Verschlüsselung aktivieren.

  2. Wählen Sie Ihren KMS-Schlüssel oder wählen Sie AWS KMS Schlüssel erstellen

Der Screenshot zeigt die Seite „Hinzufügen von Sicherheitskonfiguration“ Die Option DataQuality Verschlüsselung aktivieren ist ausgewählt.

AWS Glue Data Quality-Verschlüsselungskontext

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

AWS Beispiel für einen Glue Data Quality-Verschlüsselungskontext

"encryptionContext": {
    "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "hierarchy-version": "1",
    "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
    "create-time": "2024-06-07T13:47:23:000861Z",
    "tablename": "AwsGlueMlEncryptionKeyStore",
    "type": "beacon:ACTIVE"
}

Verwenden des Verschlüsselungskontexts für die Überwachung

Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zum Verschlüsseln Ihrer Tracker- oder Geofence-Erfassung verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der kundenverwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von AWS CloudTrail oder generiert wurden Amazon CloudWatch Logs.

Überwachung Ihrer Verschlüsselungsschlüssel für AWS Glue Data Quality

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren AWS Glue Data Quality-Ressourcen verwenden, können Sie AWS CloudTrail oder verwenden, Amazon CloudWatch Logs um Anfragen zu verfolgen, an die AWS Glue Data Quality sendet AWS KMS.

Die folgenden Beispiele sind AWS CloudTrail Ereignisse für GenerateDataKeyWithoutPlainText und Decrypt zur Überwachung von KMS-Vorgängen, die von AWS Glue Data Quality aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

Decrypt 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE",
            "version": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKeyWithoutPlaintext 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

ReEncyrpt 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-17T21:34:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ReEncrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "destinationEncryptionContext": {
             "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE"
            "version": "branch:version:12345678-SAMPLE"
        },
        "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "sourceAAD": "1234567890-SAMPLE+Z+lqoYOHj7VtWxJLrvh+biUFbliYDAQkobM=",
        "sourceKeyId": "arn:aws:kms:ap-southeast-2:585824196334:key/17ca05ca-a8c1-40d7-b7fd-30abb569a53a",
        "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceEncryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        },
        "destinationAAD": "1234567890-SAMPLE",
        "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand: