Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenverschlüsselung
<a name="security-data-encryption"></a>

In den folgenden Informationen wird erläutert, wo Amazon Rekognition Datenverschlüsselung verwendet, um Ihre Daten zu schützen.

## Verschlüsselung im Ruhezustand
<a name="security-data-encryption-at-rest"></a>

### Amazon Rekognition Image
<a name="security-ear-rekognition-image"></a>

#### Bilder
<a name="security-image-ear-images"></a>

Bilder, die an Amazon-Rekognition-API-Operationen weitergegeben werden, können gespeichert und zur Verbesserung des Service verwendet werden, sofern Sie sich nicht abgemeldet haben, indem Sie die [Seite mit den Abmelderichtlinien für KI-Dienste](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) aufrufen und den dort beschriebenen Prozess befolgen. Die gespeicherten Bilder werden im Ruhezustand (Amazon S3) mithilfe des AWS Key Management Service (SSE-KMS) verschlüsselt. 

#### Sammlungen
<a name="security-ear-face-comparison-collections"></a>

Bei Gesichtsvergleichsoperationen, die Informationen in einer Sammlung speichern, erkennt der zugrunde liegende Erkennungsalgorithmus zunächst die Gesichter im Eingabebild, extrahiert einen Vektor für jedes Gesicht und speichert dann die Gesichtsvektoren in der Sammlung. Amazon Rekognition verwendet diese Gesichtsvektoren beim Gesichtsvergleich. Gesichtsvektoren werden als Array von Fließkommazahlen gespeichert und im Ruhezustand verschlüsselt.

### Amazon Rekognition Video
<a name="security-ear-rekognition-video"></a>

#### Videos
<a name="security-video-ear-videos"></a>

 Um ein Video zu analysieren, kopiert Amazon Rekognition Ihre Videos zur Verarbeitung in den Service. Das Video kann gespeichert und zur Verbesserung des Service verwendet werden, sofern Sie sich nicht abgemeldet haben, indem Sie die [Seite mit den Abmelderichtlinien für KI-Dienste](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) aufrufen und den dort beschriebenen Prozess befolgen. Die Videos werden im Ruhezustand (Amazon S3) mit dem AWS Key Management Service (SSE-KMS) verschlüsselt. 

### Amazon Rekognition Custom Labels
<a name="security-ear-custom-labels"></a>

Amazon Rekognition Custom Labels verschlüsselt Ihre Daten im Ruhezustand. 

#### Bilder
<a name="security-ear-cl-images"></a>

 Um Ihr Modell zu trainieren, erstellt Amazon Rekognition Custom Labels eine Kopie Ihrer ursprünglichen Trainings- und Testbilder. Die kopierten Bilder werden im Ruhezustand in Amazon Simple Storage Service (S3) mithilfe einer serverseitigen Verschlüsselung mit einem AWS KMS key von Ihnen bereitgestellten oder einem AWS eigenen KMS-Schlüssel verschlüsselt. Amazon Rekognition Custom Labels unterstützt nur symmetrische KMS-Schlüssel. Ihre Quellbilder sind davon nicht betroffen. Weitere Informationen finden Sie unter [Trainieren eines Modells für Amazon Rekognition Custom Labels](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/tm-train-model.html). 

#### Modelle
<a name="security-ear-cl-models"></a>

Standardmäßig verschlüsselt Amazon Rekognition Custom Labels trainierte Modelle und Manifestdateien, die in Amazon-S3-Buckets mit der serverseitigen Verschlüsselung mit einem AWS-eigener Schlüssel gespeichert werden. Weitere Informationen finden Sie unter [Daten durch Server-Side Verschlüsselung schützen](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). Die Trainingsergebnisse werden in den Bucket geschrieben, der im `OutputConfig` Eingabeparameter to angegeben ist [CreateProjectVersion](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateProjectVersion.html). Die Trainingsergebnisse werden mit den konfigurierten Verschlüsselungseinstellungen für den Bucket (`OutputConfig`) verschlüsselt. 

#### Konsolen-Bucket
<a name="security-ear-cl-console"></a>

Die Amazon-Rekognition-Custom-Labels-Konsole erstellt einen Amazon-S3-Bucket (Konsolen-Bucket), mit dem Sie Ihre Projekte verwalten können. Der Konsolen-Bucket ist mit der standardmäßigen Amazon-S3-Verschlüsselung verschlüsselt. Weitere Informationen finden Sie unter [Amazon-Simple-Storage-Service-Standardverschlüsselung für S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html). Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, konfigurieren Sie den Konsolen-Bucket, nachdem er erstellt wurde. Weitere Informationen finden Sie unter [Daten durch Server-Side Verschlüsselung schützen](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). Amazon Rekognition Custom Labels blockiert den öffentlichen Zugriff auf den Konsolen-Bucket.

### Rekognition Face Liveness
<a name="security-ear-rekognition-liveness"></a>

Alle sitzungsbezogenen Daten, die im Konto des Rekognition-Face-Liveness-Dienstes gespeichert wurden, werden im Ruhezustand vollständig verschlüsselt. Standardmäßig werden Referenz- und Auditbilder mit einem AWS -eigenen Schlüssel im Dienstkonto verschlüsselt. Sie können sich jedoch dafür entscheiden, Ihre eigenen AWS KMS Schlüssel für die Verschlüsselung dieser Bilder bereitzustellen.

## Verschlüsselung während der Übertragung
<a name="security-data-encryption-in-transit"></a>

Amazon-Rekognition-API-Endpunkte unterstützen ausschließlich sichere Verbindungen über HTTPS. Die gesamte Kommunikation wird mit Transport Layer Security (TLS) verschlüsselt. 

## Schlüsselverwaltung
<a name="security-data-encryption-key-management"></a>

Sie können AWS Key Management Service (KMS) verwenden, um Schlüssel für die Eingabebilder und -videos zu verwalten, die Sie in Amazon-S3-Buckets speichern. Weitere Informationen finden Sie unter [AWS-Key-Management-Service-Konzepte](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys).

### Vom Kunden verwaltete Schlüsselverschlüsselung für Face Liveness (Echtheit von Gesichtern)
<a name="security-data-encryption-key-management-liveness"></a>

Die [CreateFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateFaceLivenessSession.html)API verwendet einen optionalen `KmsKeyId` Parameter. Sie können den `id` des KMS-Schlüssels angeben, den Sie in Ihrem Konto erstellt haben. Dieser Schlüssel wird verwendet, um Referenz- und Audit-Images zu verschlüsseln, die während der [StartFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_StartFaceLivenessSession.html)API abgerufen wurden. Während der [GetFaceLivenessSessionResults](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_GetFaceLivenessSessionResults.html)API werden die Bilder mit diesem Schlüssel entschlüsselt, bevor die Ergebnisse zurückgegeben werden. Wenn die CreateFaceLivenessSession Anfrage eine enthielt OutputConfig, werden die Referenz- und Audit-Images in die angegebenen Amazon S3 S3-Pfade hochgeladen. Wir empfehlen, die serverseitige Verschlüsselung ([SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)) in Ihren Amazon S3 S3-Buckets zu aktivieren, damit die Daten im Ruhezustand weiterhin verschlüsselt bleiben. 

Wenn Sie Ihre eigene AWS KMS Schlüssel-ID angeben, erhält der Rekognition Face Liveness Service die Erlaubnis, den vom Kunden verwalteten Schlüssel im Namen des Prinzipals zu verwenden, der die APIs aufruft. Die Prinzipals (Benutzer oder Rollen), die zum Aufrufen der APIs vom Kunden-Backend (APIs `CreateFaceLivenessSession` und `GetFaceLivenessSessionResults`) verwendet werden, müssen Zugriff haben, um Folgendes ausführen zu können: 
+ km: DescribeKey
+ km: GenerateDataKey
+ kms:Decrypt