Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie eine AWS Cloud9 Cloud9-IDE, die Amazon EBS-Volumes mit Standardverschlüsselung verwendet
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption"></a>

*Janardhan Malyala und Dhrubajyoti Mukherjee, Amazon Web Services*

## Zusammenfassung
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-summary"></a>

**Hinweis**: ist AWS Cloud9 für Neukunden nicht mehr verfügbar. Bestandskunden von AWS Cloud9 können den Service weiterhin wie gewohnt nutzen. [Weitere Informationen](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)

Sie können [standardmäßig Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) verwenden, um die Verschlüsselung Ihrer Amazon Elastic Block Store (Amazon EBS) -Volumes und Snapshot-Kopien in der Amazon Web Services (AWS) -Cloud zu erzwingen. 

Sie können eine integrierte Entwicklungsumgebung (IDE) von AWS Cloud9 erstellen, die standardmäßig verschlüsselte EBS-Volumes verwendet. Die [serviceverknüpfte Rolle](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html) AWS Identity and Access Management (IAM) für AWS Cloud9 erfordert jedoch Zugriff auf den AWS Key Management Service (AWS KMS) -Schlüssel für diese EBS-Volumes. Wenn kein Zugriff bereitgestellt wird, kann die AWS Cloud9 Cloud9-IDE möglicherweise nicht gestartet werden, und das Debuggen kann schwierig sein. 

Dieses Muster enthält die Schritte zum Hinzufügen der serviceverknüpften Rolle für AWS Cloud9 zum AWS-KMS-Schlüssel, der von Ihren EBS-Volumes verwendet wird. Das in diesem Muster beschriebene Setup hilft Ihnen dabei, erfolgreich eine IDE zu erstellen und zu starten, die standardmäßig EBS-Volumes mit Verschlüsselung verwendet.

## Voraussetzungen und Einschränkungen
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-prereqs"></a>

**Voraussetzungen**
+ Ein aktives AWS-Konto.
+ Die Standardverschlüsselung ist für EBS-Volumes aktiviert. Weitere Informationen zur Standardverschlüsselung finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) in der Dokumentation zu Amazon Elastic Compute Cloud (Amazon EC2).
+ Ein vorhandener, vom [Kunden verwalteter KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) zur Verschlüsselung Ihrer EBS-Volumes.

**Anmerkung**  
Sie müssen die serviceverknüpfte Rolle für AWS Cloud9 nicht erstellen. Wenn Sie eine AWS Cloud9-Entwicklungsumgebung erstellen, erstellt AWS Cloud9 die serviceverknüpfte Rolle für Sie.

## Architektur
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-architecture"></a>

![\[Verwendung einer AWS Cloud9 Cloud9-IDE zur Durchsetzung der Verschlüsselung von EBS-Volumes und -Snapshots.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/dd98fbb4-0949-4299-b701-bc857e13049c/images/6b22b8d1-75d9-4f06-b5d6-5fff7397f22d.png)


**Technologie-Stack**
+ AWS Cloud9
+ IAM
+ AWS KMS

## Tools
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-tools"></a>
+ [AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/welcome.html) ist eine integrierte Entwicklungsumgebung (IDE), die Sie beim Codieren, Erstellen, Ausführen, Testen und Debuggen von Software unterstützt. Es hilft Ihnen auch dabei, Software in der AWS-Cloud zu veröffentlichen.
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) bietet Speichervolumes auf Blockebene zur Verwendung mit Amazon Elastic Compute Cloud (Amazon EC2) -Instances.
+ Mit [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) können Sie den Zugriff auf Ihre AWS-Ressourcen sicher verwalten, indem Sie kontrollieren, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen.

## Epen
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-epics"></a>

### Suchen Sie den Standardwert für den Verschlüsselungsschlüssel
<a name="find-the-default-encryption-key-value"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Notieren Sie sich den Standardwert des Verschlüsselungsschlüssels für die EBS-Volumes.  | Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die EC2 Amazon-Konsole. Wählen Sie **EC2 Dashboard** und dann **unter Kontoattribute** die Option **Datenschutz und Sicherheit** aus. Kopieren Sie im Bereich **EBS-Verschlüsselung** den Wert im Feld **Standardverschlüsselungsschlüssel** und notieren Sie ihn. | Cloud-Architekt, Ingenieur DevOps  | 

### Zugriff auf den AWS-KMS-Schlüssel bereitstellen
<a name="provide-access-to-the-aws-kms-key"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Gewähren Sie AWS Cloud9 Zugriff auf den KMS-Schlüssel für EBS-Volumes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption.html)Weitere Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [So ändern Sie eine Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to) (AWS KMS KMS-Dokumentation).Die serviceverknüpfte Rolle für AWS Cloud9 wird automatisch erstellt, wenn Sie Ihre erste IDE starten. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html#create-service-linked-role) in der AWS Cloud9 Cloud9-Dokumentation.  | Cloud-Architekt, Ingenieur DevOps  | 

### Erstellen und starten Sie die IDE
<a name="create-and-launch-the-ide"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Erstellen und starten Sie die AWS Cloud9 IDE. | Öffnen Sie die AWS Cloud9 Cloud9-Konsole und wählen Sie **Umgebung erstellen**. ****Konfigurieren Sie die IDE gemäß Ihren Anforderungen, indem Sie die Schritte unter [Erstellen einer EC2 Umgebung](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment-main.html) in der AWS Cloud9 Cloud9-Dokumentation befolgen.  | Cloud-Architekt, Ingenieur DevOps  | 

## Zugehörige Ressourcen
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-resources"></a>
+ [Von AWS Cloud9 verwendete EBS-Volumes verschlüsseln](https://docs.aws.amazon.com/cloud9/latest/user-guide/move-environment.html#encrypting-volumes)
+ [Eine serviceverknüpfte Rolle für AWS Cloud9 erstellen](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html#create-service-linked-role)
+ [Erstellen Sie eine EC2 Umgebung in AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment-main.html)

## Zusätzliche Informationen
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-additional"></a>

**Wichtige Aktualisierungen der AWS KMS KMS-Richtlinien**

Ersetzen Sie `<aws_accountid>` durch Ihre AWS-Konto-ID.

```
{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
```

**Verwendung eines kontoübergreifenden Schlüssels**

Wenn Sie einen kontoübergreifenden KMS-Schlüssel verwenden möchten, müssen Sie einen Grant in Kombination mit der KMS-Schlüsselrichtlinie verwenden. Dies ermöglicht den kontoübergreifenden Zugriff auf den Schlüssel. Führen Sie in demselben Konto, mit dem Sie die Cloud9-Umgebung erstellt haben, den folgenden Befehl im Terminal aus.

```
aws kms create-grant \
 --region <Region where Cloud9 environment is created> \
 --key-id <The cross-account KMS key ARN> \
 --grantee-principal arn:aws:iam::<The account where Cloud9 environment is created>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9 \
 --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
```

Nachdem Sie diesen Befehl ausgeführt haben, können Sie Cloud9-Umgebungen erstellen, indem Sie die EBS-Verschlüsselung mit einem Schlüssel in einem anderen Konto verwenden.