Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiele für Datenschutzrichtlinien
**Umfrage**
Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer [kurzen Umfrage teilnehmen](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Viele Unternehmen, die mit sensiblen Daten umgehen, verfolgen einen präventiven und vorausschauenden Ansatz, bei dem durchgehend mehrere Ebenen von detektiven und reaktiven Kontrollen implementiert sind. Dieser Abschnitt enthält Beispiele für datenschutzbezogene Richtlinien für AWS Identity and Access Management (IAM), und (). AWS Organizations AWS Key Management Service AWS KMS Diese Richtlinien können Ihrem Unternehmen helfen, verschiedene Datenschutzziele in Bezug auf Nutzung, Offenlegung und grenzüberschreitende Datenübertragung zu erreichen, indem ein präventiver Ansatz verfolgt wird. Auf viele dieser Richtlinien wurde in den vorherigen Abschnitten dieses Handbuchs verwiesen.
**Topics**
+ [Zugriff von bestimmten IP-Adressen aus erforderlich](require-access-from-specific-ip-addresses.md)
+ [Für den Zugriff auf VPC-Ressourcen ist eine Organisationsmitgliedschaft erforderlich](require-organization-membership.md)
+ [Beschränken Sie Datenübertragungen zwischen AWS-Regionen](restrict-data-transfers-across-regions.md)
+ [Zugriff auf bestimmte Amazon DynamoDB-Attribute gewähren](grant-access-dynamodb-attributes.md)
+ [Änderungen an VPC-Konfigurationen einschränken](restrict-changes-vpc-configurations.md)
+ [Für die Verwendung eines Schlüssels ist eine Bescheinigung erforderlich AWS KMS](require-attestation-for-kms-key.md)
# Zugriff von bestimmten IP-Adressen aus erforderlich
**Umfrage**
Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer [kurzen Umfrage teilnehmen](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Diese Richtlinie ermöglicht es dem `john_stiles` Benutzer, IAM-Rollen nur anzunehmen, wenn der Anruf von einer IP-Adresse im Bereich `192.0.2.0/24` oder `203.0.113.0/24` kommt. Diese Richtlinie kann dazu beitragen, die unbeabsichtigte Offenlegung personenbezogener Daten und unerwünschte grenzüberschreitende Datenübertragungen zu verhindern. Wenn Ihr Unternehmen beispielsweise Kundenservicemitarbeiter hat, die Zugriff auf personenbezogene Daten benötigen, möchten Sie vielleicht, dass diese Support-Mitarbeiter nur von Büros aus auf diese Daten zugreifen können, die sich in einer bestimmten Untergruppe befinden. AWS-RegionenÜberprüfen Sie außerdem die Definition von personenbezogenen Daten in Ihrem Unternehmen, da einige Richtlinien möglicherweise `Principal` Abschnitte vorschreiben`Condition`, die den Zugriff auf einen bestimmten Benutzer oder eine bestimmte IP-Adresse einschränken.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/john_stiles"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/john_stiles"
},
"Action": "sts:AssumeRole",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
# Für den Zugriff auf VPC-Ressourcen ist eine Organisationsmitgliedschaft erforderlich
**Umfrage**
Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer [kurzen Umfrage teilnehmen](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Diese [VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) ermöglicht nur AWS Identity and Access Management (IAM) -Prinzipalen und Ressourcen der `o-1abcde123` Organisation den Zugriff auf Amazon Personalize (Amazon S3) -Endpoints. Diese präventive Kontrolle hilft dabei, eine Vertrauenszone einzurichten und den Perimeter personenbezogener Daten zu definieren. Weitere Informationen darüber, wie diese Richtlinie zum Schutz der Privatsphäre und personenbezogener Daten in Ihrem Unternehmen beitragen kann, finden Sie [AWS PrivateLink](personal-data-account.md#privatelink) in diesem Leitfaden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowOnlyIntendedResourcesAndPrincipals",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-1abcde123",
"aws:ResourceOrgID": "o-1abcde123"
}
}
}
]
}
```
# Beschränken Sie Datenübertragungen zwischen AWS-Regionen
**Umfrage**
Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer [kurzen Umfrage teilnehmen](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Mit Ausnahme von zwei Rollen AWS Identity and Access Management (IAM) verweigert diese Dienststeuerungsrichtlinie API-Aufrufe AWS-Services an AWS-Regionen andere [Regionen](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/regional-services.html) als `eu-west-1` und. `eu-central-1` Dieses SCP kann dazu beitragen, die Einrichtung von AWS Speicher- und Verarbeitungsdiensten in nicht genehmigten Regionen zu verhindern. Dies kann dazu beitragen, dass personenbezogene Daten AWS-Services in diesen Regionen insgesamt nicht verarbeitet werden. Diese Richtlinie verwendet einen `NotAction` Parameter AWS-Services, da sie [globale](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/global-services.html) Dienste wie IAM und Dienste berücksichtigt, die in globale Dienste integriert sind, wie AWS Key Management Service (AWS KMS) und Amazon CloudFront. In den Parameterwerten können Sie diese globalen und andere nicht zutreffende Dienste als Ausnahmen angeben. Weitere Informationen darüber, wie diese Richtlinie zum Schutz der Privatsphäre und personenbezogener Daten in Ihrem Unternehmen beitragen kann, finden Sie [AWS Organizations](org-management-account.md#aws-organizations) in diesem Leitfaden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideEU",
"Effect": "Deny",
"NotAction": [
"a4b:*",
"acm:*",
"aws-marketplace-management:*",
"aws-marketplace:*",
"aws-portal:*",
"budgets:*",
"ce:*",
"chime:*",
"cloudfront:*",
"config:*",
"cur:*",
"directconnect:*",
"ec2:DescribeRegions",
"ec2:DescribeTransitGateways",
"ec2:DescribeVpnGateways",
"fms:*",
"globalaccelerator:*",
"health:*",
"iam:*",
"importexport:*",
"kms:*",
"mobileanalytics:*",
"networkmanager:*",
"organizations:*",
"pricing:*",
"route53:*",
"route53domains:*",
"route53-recovery-cluster:*",
"route53-recovery-control-config:*",
"route53-recovery-readiness:*",
"s3:GetAccountPublic*",
"s3:ListAllMyBuckets",
"s3:ListMultiRegionAccessPoints",
"s3:PutAccountPublic*",
"shield:*",
"sts:*",
"support:*",
"trustedadvisor:*",
"waf-regional:*",
"waf:*",
"wafv2:*",
"wellarchitected:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1"
]
},
"ArnNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
"arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
]
}
}
}
]
}
```
# Zugriff auf bestimmte Amazon DynamoDB-Attribute gewähren
**Umfrage**
Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer [kurzen Umfrage teilnehmen](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Bei der Erörterung von Strategien zur physischen und logischen Trennung personenbezogener Daten in Ihrem Unternehmen sollten Sie sich überlegen, welche AWS Speicherservices detaillierte Zugriffskontrollrichtlinien AWS Identity and Access Management (IAM) unterstützen. Die folgende identitätsbasierte Richtlinie ermöglicht nur das Abrufen der `LastLoggedIn` Attribute `UserID``SignUpTime`, und aus einer Amazon DynamoDB-Tabelle mit dem Namen. `Users` Sie könnten diese Richtlinie beispielsweise einer Kundensupport-Rolle zuordnen, anstatt dieser Rolle Zugriff auf den gesamten persönlichen Datensatz zu gewähren. Weitere Informationen darüber, wie diese Richtlinie zum Schutz der Privatsphäre und personenbezogener Daten in Ihrem Unternehmen beitragen kann, finden Sie [AWS-Services und Funktionen, die bei der Segmentierung von Daten helfen](personal-data-account.md#segment-data) in diesem Leitfaden.
```
{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan"
],
"Resource":[
"arn:aws:dynamodb:us-west-2:123456789012:dynamodb:table/Users"
],
"Condition":{
"ForAllValues:StringEquals":{
"dynamodb:Attributes":[
"UserID",
"SignUpTime",
"LastLoggedIn"
]
},
"StringEquals":{
"dynamodb:Select":[
"SPECIFIC_ATTRIBUTES"
]
}
}
}
]
}
```
# Änderungen an VPC-Konfigurationen einschränken
**Umfrage**
Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer [kurzen Umfrage teilnehmen](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Nachdem Sie die AWS Infrastruktur entworfen und bereitgestellt haben, die Ihre Anforderungen an die grenzüberschreitende Datenübertragung unterstützt, einschließlich Netzwerkdatenflüsse, möchten Sie möglicherweise Änderungen verhindern. Die folgende Dienststeuerungsrichtlinie trägt dazu bei, Abweichungen oder unbeabsichtigte Änderungen der VPC-Konfiguration zu verhindern. Es verweigert neue Internet-Gateway-Anhänge, VPC-Peering-Verbindungen, Transit-Gateway-Anhänge und neue VPN-Verbindungen. Weitere Informationen darüber, wie diese Richtlinie zum Schutz der Privatsphäre und personenbezogener Daten in Ihrem Unternehmen beitragen kann, finden Sie [AWS Transit Gateway](network-account.md#transit-gateway) in diesem Handbuch.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachInternetGateway",
"ec2:CreateInternetGateway",
"ec2:CreateVpcPeeringConnection",
"ec2:AcceptVpcPeeringConnection",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:AssociateRouteTable",
"ec2:ModifyVpcAttribute",
"ec2:*TransitGateway",
"ec2:*TransitGateway*",
"globalaccelerator:Create*",
"globalaccelerator:Update*"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"ArnNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
"arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
]
}
}
}
]
}
```
# Für die Verwendung eines Schlüssels ist eine Bescheinigung erforderlich AWS KMS
**Umfrage**
Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer [kurzen Umfrage teilnehmen](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Die folgende AWS Key Management Service (AWS KMS) wichtige Richtlinie ermöglicht es AWS Nitro Enclave-Instances, einen KMS-Schlüssel nur zu verwenden, wenn das Bestätigungsdokument der Enklave in der Anfrage den Messungen in der Zustandserklärung entspricht. Diese Richtlinie erlaubt nur vertrauenswürdigen Enklaven, die Daten zu entschlüsseln. Weitere Informationen darüber, wie diese Richtlinie zum Schutz der Privatsphäre und personenbezogener Daten in Ihrer Organisation beitragen kann, finden Sie [AWS Nitro-Enklaven](personal-data-account.md#nitro-enclaves) in diesem Handbuch. Eine vollständige Liste der AWS KMS Bedingungsschlüssel, die in wichtigen Richtlinien und in AWS Identity and Access Management (IAM-) Richtlinien verwendet werden können, finden Sie unter [Bedingungsschlüssel für AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-nitro-enclaves).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable enclave data processing",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/data-processing"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateRandom"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:RecipientAttestation:ImageSha384": "EXAMPLE8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef1abcdef0abcdef1abcdEXAMPLE",
"kms:RecipientAttestation:PCR0": "EXAMPLEbc2ecbb68ed99a13d7122abfc0666b926a79d5379bc58b9445c84217f59cfdd36c08b2c79552928702EXAMPLE",
"kms:RecipientAttestation:PCR1": "EXAMPLE050abf6b993c915505f3220e2d82b51aff830ad14cbecc2eec1bf0b4ae749d311c663f464cde9f718aEXAMPLE",
"kms:RecipientAttestation:PCR2": "EXAMPLEc300289e872e6ac4d19b0b5ac4a9b020c98295643ff3978610750ce6a86f7edff24e3c0a4a445f2ff8EXAMPLE",
"kms:RecipientAttestation:PCR3": "EXAMPLE11de9baee597508183477f097ae385d4a2c885aa655432365b53b812694e230bbe8e1bb1b8de748fe1EXAMPLE",
"kms:RecipientAttestation:PCR4": "EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
"kms:RecipientAttestation:PCR8": "EXAMPLE34a884328944cd806127c7784677ab60a154249fd21546a217299ccfa1ebfe4fa96a163bf41d3bcfaeEXAMPLE"
}
}
}
]
}
```