Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in AWS Secrets Manager
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Secrets Manager. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt enthält die Sicherheitskonfigurations- und Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services . Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und individuelle Benutzerkonten mit AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die [Multi-Faktor Authentifizierung (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Secrets Manager unterstützt TLS 1.2 und 1.3 in allen Regionen. Außerdem unterstützt Secrets Manager eine hybride [Post-Quantum-Schlüsselaustauschoption für das Netzwerkverschlüsselungsprotokoll TLS (PQTLS)](pqtls.md).
+ Signieren Sie programmgesteuerte Anfragen an Secrets Manager mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die mit einem IAM-Prinzipal verknüpft sind. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anfragen zu signieren.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Siehe [AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail](monitoring-cloudtrail.md).
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Siehe [AWS Secrets Manager Endpunkte](asm_access.md#endpoints).
+ Wenn Sie den verwenden AWS CLI , um auf Secrets Manager zuzugreifen,[Reduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer AWS Secrets Manager Geheimnisse verbunden sind](security_cli-exposure-risks.md).
## Verschlüsselung im Ruhezustand
Secrets Manager verwendet Verschlüsselung über AWS Key Management Service (AWS KMS), um die Vertraulichkeit der gespeicherten Daten zu schützen. AWS KMS bietet einen Dienst zur Speicherung und Verschlüsselung von Schlüsseln, der von vielen AWS Diensten verwendet wird. Jedes Secret in Secrets Manager ist mit einem eindeutigen Datenschlüssel verschlüsselt. Jeder Datenschlüssel wird durch einen KMS-Schlüssel geschützt. Sie können die Standardverschlüsselung mit dem Secrets Manager Von AWS verwalteter Schlüssel für das Konto verwenden oder einen eigenen kundenverwalteten Schlüssel in AWS KMS erstellen. Durch die Verwendung eines vom Kunden verwalteten Schlüssels erhalten Sie detailliertere Autorisierungskontrollen für Ihre KMS-Schlüsselaktivitäten. Weitere Informationen finden Sie unter [Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager](security-encryption.md).
## Verschlüsselung während der Übertragung
Secrets Manager bietet für die Verschlüsselung von Daten während der Übertragung sichere und private Endpunkte. Die sicheren und privaten Endpunkte ermöglichen es AWS , die Integrität von API-Anfragen an Secrets Manager zu schützen. AWS erfordert, dass API-Aufrufe vom Aufrufer mit X.509 Zertifikaten und and/or einem Secrets Manager Secret Access Key signiert werden. Diese Anforderung ist in der [Signaturversion 4 Signaturprozess](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) (Sigv4) festgelegt.
Wenn Sie das AWS Command Line Interface (AWS CLI) oder eines der AWS SDKs für Aufrufe verwenden AWS, konfigurieren Sie den zu verwendenden Zugriffsschlüssel. Dann verwenden diese Tools automatisch den Zugriffsschlüssel, um die Anfragen für Sie zu signieren. Siehe [Reduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer AWS Secrets Manager Geheimnisse verbunden sind](security_cli-exposure-risks.md).
## Inter-network Datenschutz im Verkehr
AWS bietet Optionen zur Wahrung des Datenschutzes bei der Weiterleitung von Datenverkehr über bekannte und private Netzwerkrouten.
**Datenverkehr zwischen Service und On-Premises-Clients und -Anwendungen**
Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS Secrets Manager:
+ Eine AWS Site-to-Site VPN-Verbindung. Weitere Informationen finden Sie unter [Was ist AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Eine AWS Direct Connect-Verbindung. Weitere Informationen finden Sie unter [Was ist AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
**Verkehr zwischen AWS Ressourcen in derselben Region**
Wenn Sie den Datenverkehr zwischen Secrets Manager und API-Clients sichern möchten AWS, richten Sie einen für den privaten [AWS PrivateLink](https://aws.amazon.com/privatelink/)Zugriff auf Secrets Manager API-Endpunkte ein.
## Verwaltung von Verschlüsselungsschlüsseln
Wenn Secrets Manager eine neue Version der geschützten geheimen Daten verschlüsseln muss, sendet Secrets Manager eine Anfrage an, AWS KMS um einen neuen Datenschlüssel aus dem KMS-Schlüssel zu generieren. Secrets Manager verwendet diesen Datenschlüssel für die [Envelope-Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Secrets Manager speichert den verschlüsselten Datenschlüssel mit dem verschlüsselten Secret. Wenn das Geheimnis entschlüsselt werden muss, fordert Secrets Manager auf, den Datenschlüssel AWS KMS zu entschlüsseln. Anschließend verwendet Secrets Manager den entschlüsselten Datenschlüssel, um das verschlüsselte Secret zu entschlüsseln. Secrets Manager speichert den Datenschlüssel nie unverschlüsselt und entfernt ihn so schnell wie möglich aus dem Speicher. Weitere Informationen finden Sie unter [Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager](security-encryption.md).