Datenschutz in AWS Systems Manager - AWS Systems Manager
DatenverschlüsselungRichtlinie für den Datenverkehr zwischen Netzwerken

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in AWS Systems Manager

Dieser Datenschutz bezieht sich auf Daten bei der Übertragung (wenn sie zu oder von Systems Manager geschickt werden), ebenso wie im Ruhezustand (die in AWS-Rechenzentren gespeichert sind).

Das Modell der geteilten Verantwortung von AWS gilt für den Datenschutz in AWS Systems Manager. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS-Modell der geteilten Verantwortung und in der DSGVO im AWS-Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Informationen zur Verwendung von CloudTrail-Trails zur Erfassung von AWS-Aktivitäten finden Sie unter Arbeiten mit CloudTrail-Trails im AWS CloudTrail-Benutzerhandbuch.

  • Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Systems Manager oder anderen AWS-Services über die Konsole, API, AWS CLI oder AWS-SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Datenverschlüsselung

Verschlüsselung im Ruhezustand

Parameter Store-Parameter

Zu den Parametertypen, die Sie in Parameter Store (einem Tool in AWS Systems Manager) erstellen können, gehören String, StringList und SecureString.

Alle Parameter, unabhängig von ihrem Typ, werden bei der Übertragung und im Ruhezustand verschlüsselt. Bei der Übertragung werden Parameter mithilfe von Transport Layer Security (TLS) verschlüsselt, um eine sichere HTTPS-Verbindung für API-Anfragen herzustellen. Im Ruhezustand werden sie mit einem AWS-eigener Schlüssel in AWS Key Management Service (AWS KMS) verschlüsselt. Weitere Informationen zur AWS-eigener Schlüssel-Verschlüsselung finden Sie im AWS Key Management Service-Entwicklerhandbuch unter AWS-eigene Schlüssel.

Der Typ SecureString bietet zusätzliche Verschlüsselungsoptionen und wird für alle sensiblen Daten empfohlen. Sie können aus den folgenden AWS KMS-Schlüsseltypen wählen, um den Wert eines SecureString-Parameters zu verschlüsseln und zu entschlüsseln:

  • Der Von AWS verwalteter Schlüssel Ihres Kontos.

  • Ein kundenseitig verwalteter Schlüssel (CMK), den Sie in Ihrem Konto erstellt haben

  • Ein CMK in einem anderen AWS-Konto, der für Sie freigegeben wurde

Weitere Informationen zur AWS KMS-Verschlüsselung finden Sie im AWS Key Management Service-Entwicklerhandbuch.

Inhalt in S3-Buckets

Als Teil Ihrer Systems Manager-Vorgänge können Sie Daten in einen oder mehrere Amazon Simple Storage Service (Amazon S3)-Buckets hochladen oder speichern.

Informationen zur Verschlüsselung von S3-Buckets finden Sie unter Daten durch Verschlüsselung schützen und Datenschutz in Amazon S3 im Benutzerhandbuch zu Amazon Simple Storage Service.

Die folgenden Datentypen können Sie als Teil Ihrer Systems Manager-Aktivitäten hochladen oder in S3 Buckets speichern lassen:

  • Die Ausgabe von Befehlen in Run Command, einem Tool in AWS Systems Manager

  • Pakete in Distributor, einem Tool in AWS Systems Manager

  • Patching-Protokolle in Patch Manager, einem Tool in AWS Systems Manager

  • Patch Manager Patch-Überschreibungslisten

  • Skripte oder Ansible Playbooks, die in einem Runbook-Workflow in Automation ausgeführt werden sollen, einem Tool in AWS Systems Manager

  • Chef InSpec-Profile für die Verwendung mit Scans in Compliance, einem Tool in AWS Systems Manager

  • AWS CloudTrail-Protokolle

  • Sitzungsverlaufsprotokolle in Session Manager, einem Tool in AWS Systems Manager

  • Berichte aus Explorer, einem Tool in AWS Systems Manager

  • OpsData von OpsCenter, einem Tool in AWS Systems Manager

  • AWS CloudFormation-Vorlagen für die Verwendung mit Automation-Workflows

  • Compliance-Daten aus einem Resource Data Sync-Scan

  • Ausgabe von Anforderungen zum Erstellen oder Bearbeiten von Zuordnungen in State Manager, einem Tool in AWS Systems Manager, auf verwalteten Knoten

  • Benutzerdefinierte Systems Manager-Dokumente (SSM-Dokumente), die Sie mit dem AWS-verwalteten SSM-Dokument AWS-RunDocument ausführen können

CloudWatch Logs-Protokollgruppen

Als Teil Ihrer Systems Manager-Operationen könnten Sie sich dafür entscheiden, Daten in eine oder mehrere Amazon CloudWatch Logs-Protokollgruppen zu streamen.

Informationen zur Verschlüsselung von CloudWatch-Logs-Protokollgruppen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs mit AWS Key Management Service im Benutzerhandbuch zu Amazon CloudWatch Logs.

Im Folgenden sind die Datentypen aufgeführt, die Sie möglicherweise als Teil Ihrer Systems Manager-Aktivitäten in eine CloudWatch Logs-Protokollgruppe gestreamt haben.

  • Die Ausgabe der Run Command-Befehle

  • Ausgabe von Skripten, die mit der aws:executeScript-Aktion in einem Automation-Runbooks ausgeführt werden

  • Session Manager-Sitzungsverlaufsprotokolle

  • Protokolle vom SSM Agent auf Ihren verwalteten Nodes

Verschlüsselung während der Übertragung.

Wir empfehlen, dass Sie ein Verschlüsselungsprotokoll wie Transport Layer Security (TLS) verwenden, um sensible Daten bei der Übertragung zwischen den Clients und Ihren Knoten zu verschlüsseln.

Systems Manager bietet die folgende Unterstützung für die Verschlüsselung Ihrer Daten während der Übertragung.

Verbindungen zu Systems Manager API-Endpunkten

Systems Manager-API-Endpunkte unterstützen ausschließlich sichere Verbindungen über HTTPS. Wenn Sie Systems Manager-Ressourcen mit der AWS-Managementkonsole, dem AWS SDK oder der Systems Manager-API verwalten, wird die gesamte Kommunikation mit Transport Layer Security (TLS) verschlüsselt. Eine vollständige Liste der API-Endpunkte finden Sie unter AWS-Service-Endpunkte im Allgemeine Amazon Web Services-Referenz.

Verwaltete Instances

AWS bietet sichere und private Konnektivität zwischen Amazon Elastic Compute Cloud (Amazon EC2)-Instances. Darüber hinaus wird Datenverkehr zwischen unterstützen Instances in einer Virtual Private Cloud (VPC) oder in per Peering verbundenen VPCs automatisch mithilfe von AEAD-Algorithmen mit 256-Bit-Verschlüsselung verschlüsselt. Das Verschlüsselungsfeature verwendet die Offload-Möglichkeiten der zugrunde liegenden Hardware ohne Auswirkungen auf die Netzwerkleistung. Unterstützte Instances: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn und R5n.

Session Manager-Sitzungen

Standardmäßig verwendet Session Manager TLS 1.3 zum Verschlüsseln von Sitzungsdaten, die zwischen lokalen Computern von Benutzern in Ihrem Konto und Ihren EC2-Instances übertragen werden. Sie können die Daten während der Übertragung auch weiter verschlüsseln, indem Sie ein AWS KMS key verwenden, das in AWS KMS erstellt wurde. AWS KMS-Verschlüsselung ist verfügbar für Standard_Stream-, InteractiveCommands-, und NonInteractiveCommands-Sitzungstypen.

Run Command-Zugriff

Standardmäßig wird der Remote-Zugriff auf Ihre Knoten über Run Command mit TLS 1.3 verschlüsselt und Anfragen zum Verbindungsaufbau werden mit SigV4 signiert.

Richtlinie für den Datenverkehr zwischen Netzwerken

Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um Grenzen zwischen Ressourcen in Ihren verwalteten Knoten zu erstellen und den Datenverkehr zwischen ihnen, Ihrem On-Premises-Netzwerk und dem Internet zu steuern. Einzelheiten finden Sie unter Verbessern Sie die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für Systems Manager.

Weitere Informationen zur Sicherheit der Amazon Virtual Private Cloud finden Sie unter Datenschutz des Internet-Datenverkehrs in Amazon VPC im Benutzerhandbuch Amazon VPC.