Datenschutz in AMS - AMS-Benutzerhandbuch für Fortgeschrittene
Amazon MacieGuardDutyDNS-Firewall mit Amazon Route 53-ResolverAWS Certificate Manager (ACM) -ZertifikatDatenverschlüsselung in AMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AMS

AMS überwacht Ihre verwalteten Konten kontinuierlich, indem es native AWS Dienste wie Amazon GuardDuty, Amazon Macie (optional) und andere interne firmeneigene Tools und Prozesse nutzt. Nachdem ein Alarm ausgelöst wurde, übernimmt AMS die Verantwortung für die erste Auswahl und Reaktion auf den Alarm. Unsere Reaktionsprozesse basieren auf NIST-Standards. AMS testet gemeinsam mit Ihnen regelmäßig seine Reaktionsprozesse mithilfe von Security Incident Response Simulation, um Ihren Arbeitsablauf an die bestehenden Sicherheitsreaktionsprogramme unserer Kunden anzupassen.

Wenn AMS einen Verstoß oder die unmittelbare Gefahr eines Verstoßes gegen Ihre Sicherheitsrichtlinien feststellt, erfassen wir Informationen, einschließlich der betroffenen Ressourcen und aller konfigurationsbezogenen Änderungen. AWS AMS bietet rund um die Uhr follow-the-sun Support mit engagierten Mitarbeitern, die die Überwachungs-Dashboards, die Warteschleifen für Vorfälle und Serviceanfragen für all Ihre verwalteten Konten aktiv überprüfen und untersuchen. AMS untersucht die Ergebnisse zusammen mit unseren Sicherheitsexperten, um die Aktivitäten zu analysieren und Sie über die in Ihrem Konto aufgeführten Ansprechpartner für die Sicherheitseskalation zu benachrichtigen.

Auf der Grundlage unserer Ergebnisse setzt sich AMS proaktiv mit Ihnen in Verbindung. Wenn Sie der Meinung sind, dass die Aktivität nicht autorisiert oder verdächtig ist, arbeitet AMS mit Ihnen zusammen, um das Problem zu untersuchen und zu beheben oder einzudämmen. Es gibt bestimmte Arten von Ergebnissen, bei GuardDuty denen Sie die Auswirkungen bestätigen müssen, bevor AMS Maßnahmen ergreifen kann. Beispielsweise weist der GuardDuty Befundtyp UnauthorizedAccess:IAMUser/darauf hinConsoleLogin, dass sich einer Ihrer Benutzer von einem ungewöhnlichen Ort aus angemeldet hat. AMS benachrichtigt Sie und bittet Sie, das Ergebnis zu überprüfen, um zu bestätigen, ob dieses Verhalten legitim ist.

Amazon Macie

AWS Managed Services empfiehlt, dass Sie Macie verwenden, um eine große und umfassende Liste vertraulicher Daten wie persönliche Gesundheitsinformationen (PHI), persönlich identifizierbare Informationen (PII) und Finanzdaten zu ermitteln.

Macie kann so konfiguriert werden, dass es regelmäßig auf jedem Amazon S3 S3-Bucket ausgeführt wird, wodurch die Bewertung aller neuen oder geänderten Objekte innerhalb eines Buckets im Laufe der Zeit automatisiert wird. Sobald Sicherheitsfeststellungen vorliegen, benachrichtigt AMS Sie und arbeitet mit Ihnen zusammen, um gegebenenfalls Abhilfemaßnahmen zu treffen.

Weitere Informationen finden Sie unter Analysieren der Ergebnisse von Amazon Macie.

Amazon Macie-Sicherheit

Macie ist ein künstlich intelligence/AI betriebener Sicherheitsservice, der Ihnen hilft, Datenverlust zu verhindern, indem er sensible Daten, die in AWS gespeichert sind, automatisch erkennt, klassifiziert und schützt. Macie verwendet maschinelles Lernen, um sensible Daten wie personenbezogene Daten (PII) oder geistiges Eigentum zu erkennen, weist ihnen einen Geschäftswert zu und bietet Transparenz darüber, wo diese Daten gespeichert sind und wie sie in Ihrem Unternehmen verwendet werden. Macie überwacht kontinuierlich die Datenzugriffsaktivitäten auf Anomalien und gibt Warnmeldungen aus, wenn das Risiko eines unbefugten Zugriffs oder unbeabsichtigter Datenlecks erkannt wird. Der Macie-Service unterstützt Amazon S3 und AWS CloudTrail Datenquellen.

AMS sucht kontinuierlich nach Warnmeldungen von Macie und ergreift im Falle einer Warnung schnell Maßnahmen, um Ihre Ressourcen und Ihr Konto zu schützen. Mit der Aufnahme von Macie in die Liste der Dienste, die AMS unterstützt, sind wir nun auch dafür verantwortlich, Macie gemäß Ihren Anweisungen in all Ihren Konten zu aktivieren und zu konfigurieren. Sie können Macie-Benachrichtigungen und unsere aktuellen Aktionen in der AWS-Konsole oder in unterstützten Integrationen einsehen. Während der Kontoeröffnung können Sie Konten angeben, die Sie zum Speichern personenbezogener Daten verwenden. Für alle neuen Konten mit PII empfehlen wir die Verwendung von Macie. Für bestehende Konten mit PII kontaktieren Sie uns und wir werden es in Ihrem Konto aktivieren. Dadurch steht Ihnen eine zusätzliche Schutzebene zur Verfügung und Sie können alle Vorteile von Macie in Ihrer von AMS verwalteten AWS-Umgebung nutzen.

AMS Macie FAQs

  • Warum brauche ich Macie, wenn Trend Micro auf allen AMS-Konten aktiviert ist? GuardDuty

    Macie hilft Ihnen beim Schutz Ihrer Daten in Amazon S3, indem es Ihnen hilft, zu klassifizieren, welche Daten Sie haben, welchen Wert diese Daten für das Unternehmen haben und welches Verhalten mit dem Zugriff auf diese Daten verbunden ist. Amazon GuardDuty bietet umfassenden Schutz Ihrer AWS-Konten, -Workloads und -Daten, indem es Ihnen hilft, Bedrohungen wie die Erkennung von Bedrohungsakteuren, Instance-Probleme und problematische Kontoaktivitäten zu identifizieren. Beide Services beinhalten Benutzerverhaltensanalysen, maschinelles Lernen und Anomalieerkennung, um Bedrohungen in ihren jeweiligen Kategorien zu erkennen. Trend Micro konzentriert sich nicht auf die Identifizierung personenbezogener Daten und der damit verbundenen Bedrohungen.

  • Wie aktiviere ich Macie in meinem AMS-Konto?

    Wenn Sie PII/PHI Daten in Ihren Konten gespeichert haben oder beabsichtigen, diese zu speichern, wenden Sie sich an Ihren CSDM oder stellen Sie eine Serviceanfrage, um Macie für Ihre neuen oder bestehenden, von AMS verwalteten Konten zu aktivieren.

  • Was sind die Kosten, wenn ich Macie in meinem AMS-Konto aktiviere?

    Die Preisgestaltung von Macie funktioniert für AMS ähnlich wie für andere Dienste wie Amazon Elastic Compute Cloud (Amazon EC2). Sie zahlen für Amazon Macie auf der Grundlage der Nutzung und eine AMS-Erhöhung auf der Grundlage Ihrer. SLAs Die Macie-Gebühren basieren auf der Nutzung (siehe Amazon Macie Macie-Preise) und werden auf der Grundlage von AWS CloudTrail Ereignissen und Amazon S3 S3-Speicherplatz berechnet. Bitte beachten Sie, dass Macie-Gebühren ab dem zweiten Monat nach der Aktivierung tendenziell flacher werden, da die Gebühren auf der Grundlage inkrementeller Daten berechnet werden, die Amazon S3 S3-Buckets hinzugefügt werden.

Weitere Informationen zu Macie finden Sie unter Amazon Macie.

GuardDuty

GuardDuty ist ein Service zur kontinuierlichen Sicherheitsüberwachung, der Feeds mit Bedrohungsinformationen wie Listen bösartiger IP-Adressen und Domains sowie maschinelles Lernen verwendet, um unerwartete und potenziell unautorisierte und böswillige Aktivitäten in Ihrer AWS-Umgebung zu identifizieren. Dazu können Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen oder Domains gehören. GuardDuty überwacht auch das Verhalten beim Zugriff auf Amazon Web Services Services-Konten auf Anzeichen einer Beeinträchtigung, wie z. B. unautorisierte Infrastrukturbereitstellungen, wie z. B. Instances, die in einer Region bereitgestellt wurden, die noch nie verwendet wurde, oder ungewöhnliche API-Aufrufe, wie z. B. eine Änderung der Passwortrichtlinie zur Verringerung der Passwortstärke. Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch.

Gehen Sie wie folgt vor, um Ihre GuardDuty Ergebnisse einzusehen und zu analysieren.

  1. Öffnen Sie die GuardDuty -Konsole.

  2. Wählen Sie Ergebnisse und dann ein bestimmtes Ergebnis aus, um Details anzuzeigen. Die Details für jedes Ergebnis unterscheiden sich je nach Art des Ergebnisses, den beteiligten Ressourcen und der Art der Aktivität.

Weitere Informationen zu verfügbaren Suchfeldern finden Sie unter GuardDuty Findungsdetails.

GuardDuty Sicherheit

Amazon GuardDuty bietet Bedrohungserkennung, mit der Sie Ihre AWS-Konten und Workloads kontinuierlich überwachen und schützen können. Amazon GuardDuty analysiert kontinuierliche Streams von Metadaten, die aus Ihren Konto- und Netzwerkaktivitäten generiert wurden und in AWS CloudTrail Ereignissen, Amazon VPC-Flussprotokollen und DNS-Protokollen (Domain Name System) zu finden sind. Es nutzt auch integrierte Bedrohungsinformationen wie bekannte bösartige IP-Adressen, Anomalieerkennung und maschinelles Lernen, um Bedrohungen genauer zu identifizieren. GuardDuty ist ein überwachter AMS-Dienst. Weitere Informationen zur GuardDuty Amazon-Überwachung finden Sie unterGuardDuty Überwachung. Weitere Informationen finden Sie GuardDuty unter Amazon GuardDuty.

Alle neuen AMS-Konten sind standardmäßig GuardDuty aktiviert. AMS wird GuardDuty bei der Kontoeröffnung konfiguriert. Sie können jederzeit Änderungsanträge einreichen, um die Einstellungen zu ändern. GuardDuty Die Preisgestaltung funktioniert für AMS ähnlich wie für andere Dienste wie Amazon Elastic Compute Cloud (Amazon EC2). Sie zahlen auf der GuardDuty Grundlage der Nutzung und eine AMS-Erhöhung auf der Grundlage Ihrer SLAs. GuardDuty Die Gebühren basieren auf der Nutzung ( GuardDuty Amazon-Preise) und werden auf der Grundlage von AWS CloudTrail Ereignissen und dem Volumen Ihres Amazon VPC Flow-Protokolls berechnet.

Für GuardDuty AMS sind die folgenden primären Erkennungskategorien aktiviert:

  • Erkennung — Aktivität, die auf die Entdeckung durch einen Bedrohungsakteur hindeutet, wie z. B. ungewöhnliche API-Aktivitäten, VPC-Port-Scans, ungewöhnliche Muster fehlgeschlagener Anmeldeanfragen oder unblockierte Port-Sondierung von einer bekannten schlechten IP aus.

  • Instance-Problem — Problematische Instance-Aktivitäten, z. B. Kryptowährungs-Mining, Malware, die Algorithmen zur Domaingenerierung (DGA) verwendet, ausgehende Denial-of-Service-Aktivitäten, ungewöhnlich hohes Volumen an Netzwerkverkehr, ungewöhnliche Netzwerkprotokolle, ausgehende Instance-Kommunikation mit einer bekannten bösartigen IP, temporäre EC2 Amazon-Anmeldeinformationen, die von einer externen IP-Adresse verwendet werden, und Datenexfiltration mithilfe von DNS.

  • Kontoaktivität — Zu den häufigsten Mustern, die auf Kontoaktivitäten hinweisen, gehören API-Aufrufe von einem ungewöhnlichen Geolokalisierungs- oder Anonymisierungs-Proxy, Versuche, die AWS CloudTrail Protokollierung zu deaktivieren, ungewöhnliche Instance- oder Infrastrukturstarts, Infrastrukturbereitstellungen in einer ungewöhnlichen AWS-Region und API-Aufrufe von bekannten bösartigen IP-Adressen.

AMS verwendet GuardDuty in Ihren verwalteten Konten, um kontinuierlich nach Ergebnissen und Warnmeldungen zu suchen. Falls Sie benachrichtigt werden, ergreift AMS Operations proaktive Maßnahmen, um Ihre Ressourcen GuardDuty und Ihr Konto zu schützen. Sie können sich die GuardDuty Ergebnisse und unsere Aktionen in der AWS-Konsole oder in unterstützten Integrationen ansehen.

GuardDuty funktioniert mit Trend Micro Deep Security Manager in Ihrem Konto. Trend Micro Deep Security Manager bietet hostbasierte Intrusion Detection- und Intrusion Prevention-Services. Die Trend Micro Web Reputation Services überschneiden sich teilweise mit GuardDuty der Fähigkeit, zu erkennen, wenn ein Host versucht, mit einem Host oder Web-Service zu kommunizieren, der bekanntermaßen eine Bedrohung darstellt. Es GuardDuty bietet jedoch zusätzliche Kategorien für die Erkennung von Bedrohungen und erreicht dies durch die Überwachung des Netzwerkverkehrs — eine Methode, die die hostbasierte Erkennung von Trend Micro ergänzt. Die netzwerkbasierte Bedrohungserkennung erhöht die Sicherheit, indem sie verhindert, dass Kontrollen fehlschlagen, wenn der Host ein problematisches Verhalten zeigt. AMS empfiehlt die Verwendung GuardDuty in all Ihren AMS-Konten.

Weitere Informationen über Trend Micro finden Sie im Trend Micro Deep Security Help Center. Beachten Sie, dass Links, die nicht von Amazon stammen, sich ändern können, ohne uns darüber in Kenntnis zu setzen.

GuardDuty Überwachung

GuardDuty informiert Sie über den Status Ihrer AWS-Umgebung, indem es Sicherheitserkenntnisse generiert, die AMS erfasst und bei denen Warnmeldungen angezeigt werden.

Amazon GuardDuty überwacht die Sicherheit Ihrer AWS-Umgebung, indem es VPC-Flow-Logs, AWS CloudTrail Event-Logs und Domain Name System-Logs analysiert und verarbeitet. Sie können diesen Überwachungsumfang erweitern, indem Sie ihn so konfigurieren, GuardDuty dass auch Ihre eigenen benutzerdefinierten, vertrauenswürdigen IP-Listen und Bedrohungslisten verwendet werden.

  • Vertrauenswürdige IP-Listen bestehen aus IP-Adressen, die Sie für die sichere Kommunikation mit Ihrer AWS-Infrastruktur und Ihren AWS-Anwendungen zugelassen haben. GuardDuty generiert keine Ergebnisse für IP-Adressen auf vertrauenswürdigen IP-Listen. Es kann immer nur eine Liste vertrauenswürdiger IPs pro AWS-Konto pro Region hochgeladen werden.

  • Bedrohungslisten bestehen aus bekannten bösartigen IP-Adressen. GuardDuty generiert Ergebnisse auf der Grundlage von Bedrohungslisten. Es kann immer nur bis zu sechs Bedrohungslisten pro AWS-Konto pro Region hochgeladen werden.

Verwenden Sie zur Implementierung GuardDuty AMS CT Deployment | Monitoring and Notification | GuardDuty IP Set | Create (ct-08avsj2e9mc7g), um einen Satz zugelassener IP-Adressen zu erstellen. Sie können auch das AMS CT Deployment | Monitoring and Notification | GuardDuty Threat Intel Set | Create (ct-25v6r7t8gvkq5) verwenden, um einen Satz verweigerter IP-Adressen zu erstellen.

Eine Liste der Dienste, die AMS überwacht, finden Sie unter. Was überwacht das AMS-Überwachungssystem?

DNS-Firewall mit Amazon Route 53-Resolver

Amazon Route 53 Resolver reagiert rekursiv auf DNS-Abfragen von AWS Ressourcen für öffentliche Aufzeichnungen, Amazon VPC-spezifische DNS-Namen und private gehostete Zonen von Amazon Route 53 und ist standardmäßig in allen verfügbar. VPCs Mit der Route-53-Resolver-DNS-Firewall können Sie ausgehenden DNS-Datenverkehr für Ihre virtuelle private Cloud (VPCs, Virtual Private Clouds) filtern und regulieren. Dazu erstellen Sie wiederverwendbare Sammlungen von Filterregeln in Regelgruppen der DNS-Firewall, ordnen die Regelgruppen Ihrer VPC zu und überwachen dann Aktivitäten in DNS-Firewall-Protokollen und -Metriken. Je nach Aktivität können Sie das Verhalten der DNS-Firewall entsprechend anpassen. Weitere Informationen finden Sie unter Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr.

Gehen Sie wie folgt vor, um Ihre Route 53 Resolver DNS-Firewall-Konfiguration anzuzeigen und zu verwalten:

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie unter DNS-Firewall die Option Regelgruppen aus.

  3. Überprüfen, bearbeiten oder löschen Sie Ihre bestehende Konfiguration oder erstellen Sie eine neue Regelgruppe. Weitere Informationen finden Sie unter So funktioniert die Route 53 Resolver DNS Firewall.

Amazon Route 53 Resolver DNS-Firewall-Überwachung und Sicherheit

Die Amazon Route 53 DNS-Firewall verwendet die Konzepte Regelzuordnungen, Regelaktion und Regelauswertungspriorität. Eine Domainliste ist ein wiederverwendbarer Satz von Domainspezifikationen, die Sie in einer DNS-Firewall-Regel innerhalb einer Regelgruppe verwenden. Wenn Sie eine Regelgruppe mit einer VPC verknüpfen, vergleicht die DNS-Firewall Ihre DNS-Abfragen mit den Domainlisten, die in den Regeln verwendet werden. Wenn die DNS-Firewall eine Übereinstimmung findet, verarbeitet sie die DNS-Abfrage entsprechend der Aktion der Abgleichsregel. Weitere Informationen zu Regelgruppen und Regeln finden Sie unter Regelgruppen und Regeln für die DNS-Firewall.

Domainlisten lassen sich in zwei Hauptkategorien einteilen:

  • Verwaltete Domainlisten, die für Sie AWS erstellt und verwaltet werden.

  • Ihre eigenen Domainlisten, die Sie erstellen und verwalten.

Regelgruppen werden anhand ihres Zuordnungsprioritätsindex bewertet.

Standardmäßig stellt AMS eine Basiskonfiguration bereit, die aus der folgenden Regel und Regelgruppe besteht:

  • Eine Regelgruppe mit dem NamenDefaultSecurityMonitoringRule. Die Regelgruppe hat die höchste Zuordnungspriorität, die zum Zeitpunkt der Erstellung für jede vorhandene VPC in jeder aktivierten AWS-Region Version verfügbar ist.

  • Eine Regel DefaultSecurityMonitoringRule mit Priorität 1 innerhalb der DefaultSecurityMonitoringRule Regelgruppe, die die Liste der AWSManagedDomainsAggregateThreatList verwalteten Domänen mit der Aktion ALERT verwendet.

Wenn Sie über eine bestehende Konfiguration verfügen, wird die Basiskonfiguration mit einer niedrigeren Priorität als Ihre bestehende Konfiguration bereitgestellt. Ihre bestehende Konfiguration ist die Standardkonfiguration. Sie verwenden die AMS-Basiskonfiguration als Sammellösung, wenn Ihre bestehende Konfiguration keine Anweisung mit höherer Priorität zum Umgang mit der Abfrageauflösung enthält. Gehen Sie wie folgt vor, um die Basiskonfiguration zu ändern oder zu entfernen:

Wenn Ihr Konto im Entwicklermodus oder im Direktänderungsmodus betrieben wird, können Sie die Änderungen selbst vornehmen.

AWS Certificate Manager (ACM) -Zertifikat

AMS verfügt über ein CT, Deployment | Advanced Stack Components | ACM-Zertifikat mit zusätzlichem SANs | Create (ct-3l14e139i5p50), mit dem Sie eine Anfrage für ein AWS Certificate Manager Manager-Zertifikat mit bis zu fünf zusätzlichen Subject Alternative Names (SAN) (wie example.com, example.net und example.org) einreichen können. Einzelheiten finden Sie unter Was ist? AWS Certificate Manager und Merkmal des ACM-Zertifikats.

Anmerkung

Bei dieser Timeout-Einstellung geht es nicht nur um den Lauf, sondern auch um Ihre Validierung des ACM-Zertifikats durch E-Mail-Validierung. Ohne Ihre Validierung schlägt der RFC fehl.

Datenverschlüsselung in AMS

AMS verwendet mehrere AWS Dienste für die Datenverschlüsselung, insbesondere Amazon Simple Storage Service, AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift, Amazon ElastiCache, AWS Lambda, und Amazon OpenSearch Service.

Amazon S3

Amazon S3 bietet verschiedene Optionen für die Objektverschlüsselung, um Daten während der Übertragung und im Ruhezustand zu schützen. Bei der serverseitigen Verschlüsselung wird das Objekt verschlüsselt, bevor es auf Datenträgern im Rechenzentrum gespeichert wird. Wenn die Objekte heruntergeladen werden, werden sie wieder entschlüsselt. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Weitere Informationen finden Sie unter Datenschutz in Amazon S3.

Amazon EBS

Mit der Amazon EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, warten und sichern. Die Amazon EBS-Verschlüsselung verwendet AWS KMS Schlüssel bei der Erstellung verschlüsselter Volumes und Snapshots. Verschlüsselungsvorgänge finden auf den Servern statt, die EC2 Amazon-Instances hosten. Dadurch wird sichergestellt, dass sowohl data-at-rest eine Instance als auch data-in-transit zwischen einer Instance und dem zugehörigen Amazon EBS-Speicher sicher ist. Sie können diesen Instances sowohl verschlüsselte als auch unverschlüsselte Volumes gleichzeitig zuordnen. Weitere Informationen finden Sie unter Amazon EBS-Verschlüsselung.

Amazon RDS

Amazon RDS kann Ihre Amazon-RDS-DB-Instances verschlüsseln. Zu den Daten, die im Ruhezustand verschlüsselt werden, gehören der zugrunde liegende Speicher für DB-Instances, deren automatische Backups, Read Replicas und Snapshots. Amazon RDS-verschlüsselte DB-Instances verwenden den Industriestandard-Verschlüsselungsalgorithmus AES-256, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre Amazon RDS-DB-Instances hostet. Nachdem Ihre Daten verschlüsselt wurden, verarbeitet Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden. Weitere Informationen finden Sie unter Verschlüsseln von Amazon RDS-Ressourcen.

Amazon Simple Queue Service

Zusätzlich zur Standardoption für verwaltete serverseitige Verschlüsselung (SSE) von Amazon SQS können Sie mit Amazon SQS-Managed SSE (SSE-SQS) eine benutzerdefinierte verwaltete serverseitige Verschlüsselung erstellen, die von Amazon SQS verwaltete Verschlüsselungsschlüssel verwendet, um sensible Daten zu schützen, die über Nachrichtenwarteschlangen gesendet werden. Mit serverseitiger Verschlüsselung (SSE) können Sie vertrauliche Daten in verschlüsselten Warteschlangen übertragen. SSE schützt den Inhalt von Nachrichten in Warteschlangen mit von Amazon SQS verwalteten Verschlüsselungsschlüsseln (SSE-SQS) oder Schlüsseln, die in (SSE-KMS) verwaltet werden. AWS KMS Informationen zur Verwaltung von SSE mithilfe von finden Sie unter Verschlüsselung im Ruhezustand. AWS-Managementkonsole

Datenverschlüsselung im Ruhezustand

OpenSearch Servicedomänen bieten die Verschlüsselung von Daten im Ruhezustand, eine Sicherheitsfunktion, die dazu beiträgt, unbefugten Zugriff auf Ihre Daten zu verhindern. Die Funktion verwendet AWS Key Management Service (AWS KMS) zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel und den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) zur Durchführung der Verschlüsselung. Weitere Informationen finden Sie unter Verschlüsselung ruhender Daten für Amazon OpenSearch Service.

Schlüsselverwaltung

AWS KMS ist ein verwalteter Service, der es Ihnen leicht macht, Kunden-Masterschlüssel (CMKs) zu erstellen und zu kontrollieren, also die Verschlüsselungsschlüssel, die zur Verschlüsselung Ihrer Daten verwendet werden. AWS KMS CMKs sind durch Hardware-Sicherheitsmodule (HSMs) geschützt, die vom FIPS 140-2 Cryptographic Module Validation Program validiert wurden, außer in den Regionen China (Peking) und China (Ningxia). Weitere Informationen finden Sie unter Was ist der AWS Key Management Service?