Veröffentlicht am: Feb 19, 2021
AWS Config unterstützt jetzt die Möglichkeit, einen AWS Key Management Service (KMS)-Schlüssel oder einen von Ihnen bereitgestellten Alias-Amazon-Resourcennamen (ARN) zu verwenden, um die an Ihren Amazon Simple Storage Service (S3)-Bucket gelieferten Daten zu verschlüsseln. Standardmäßig liefert AWS Config den Konfigurationsverlauf und die Snapshot-Dateien an Ihren S3-Bucket und verschlüsselt die Daten im Ruhezustand mit der serverseitigen Verschlüsselung S3 AES-256, SSE-S3. Wenn Sie in dieser Version AWS Config Ihren KMS-Schlüssel oder Alias-ARN zur Verfügung stellen, verwendet AWS Config diesen KMS-Schlüssel anstelle der AES-256-Verschlüsselung.
Um loszulegen, erstellen Sie einen KMS-Schlüssel und konfigurieren ihn mit der Berechtigung für GenerateDataKey und Decrypt. Sie können dann den KMS-Schlüssel für AWS Config bereitstellen, indem Sie die PutDeliveryChannel-API mit Ihrem S3-KMS-Schlüssel, ARN oder Alias-ARN aufrufen. Die an den S3-Bucket gelieferten Objekte werden durch serverseitige Verschlüsselung mit KMS CMKs verschlüsselt. Wenn Sie AWS Config keinen KMS-Schlüssel oder Alias-ARN zur Verfügung stellen, dann verschlüsselt AWS Config die gelieferten Daten standardmäßig mit AES-256-Verschlüsselung.
Unterstützung für KMS-Verschlüsselung auf S3-Buckets, die von AWS Config verwendet werden, ist ohne zusätzliche Kosten in allen kommerziellenAWS-Regionen und AWS GovCloud (US) verfügbar.
Weitere Informationen zu AWS Config finden Sie auf der AWS-Config-Webseite.
Weitere Informationen zum Erstellen und Konfigurieren von AWS Key Management Service (AWS KMS) finden Sie in derAWS-Key-Management-Service-Dokumentation.