Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenschutz in Amazon Aurora DSQL
<a name="data-protection"></a>

Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) bezieht sich auf den Datenschutz. Wie in diesem Modell beschrieben, ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Systeme laufen. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [-Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *-Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder einrichten AWS Identity and Access Management. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von Trails zur Erfassung von Aktivitäten finden Sie unter [Arbeiten mit Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *Benutzerhandbuch*.
+ Verwenden Sie Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

Wir empfehlen dringend, niemals vertrauliche oder sensible Informationen wie die E-Mail-Adressen Ihrer Kunden in Tags oder Freitextfeldern wie **Name** einzugeben. Dazu gehört auch, wenn Sie mit der Konsole, der API oder oder arbeiten oder AWS CLI anderweitig verwenden AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.



## Datenverschlüsselung
<a name="data-encryption"></a>

Amazon Aurora DSQL bietet eine sehr robuste Speicherinfrastruktur, die für geschäftskritische und primäre Datenspeicher entwickelt wurde. Daten werden redundant auf mehreren Geräten in verschiedenen Anlagen einer Aurora DSQL-Region gespeichert.

### Verschlüsselung während der Übertragung
<a name="encryption-transit"></a>

Die Verschlüsselung bei der Übertragung ist für Sie standardmäßig vorkonfiguriert. Aurora DSQL verwendet TLS zur Verschlüsselung des gesamten Datenverkehrs zwischen Ihrem SQL-Client und Aurora DSQL.

Verschlüsselung und Signierung von Daten bei der Übertragung zwischen SDK AWS CLI- oder API-Clients und Aurora DSQL-Endpunkten:
+ Aurora DSQL stellt HTTPS-Endpunkte zur Verschlüsselung von Daten während der Übertragung bereit. 
+ Um die Integrität von API-Anforderungen an Aurora DSQL zu schützen, müssen API-Aufrufe vom Aufrufer signiert werden. Anrufe werden mit einem X.509-Zertifikat oder dem AWS geheimen Zugriffsschlüssel des Kunden gemäß dem Signature Version 4-Signaturprozess (Sigv4) signiert. Weitere Informationen finden Sie unter [Signaturprozess mit Signaturversion 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) im *Allgemeine AWS-Referenz*.
+  Verwenden Sie die AWS CLI oder eine der Optionen, um Anfragen AWS SDKs an zu stellen. AWS Diese Tools signieren automatisch die Anforderungen für Sie mit dem Zugriffsschlüssel, den Sie bei der Konfiguration der Tools angegeben haben. 

#### Compliance mit FIPS
<a name="fips-compliance"></a>

Aurora DSQL-Datenebenen-Endpunkte (Cluster-Endpunkte, die für Datenbankverbindungen verwendet werden) verwenden standardmäßig FIPS 140-2-validierte kryptografische Module. Für Clusterverbindungen sind keine separaten FIPS-Endpunkte erforderlich.

Für den Betrieb auf der Kontrollebene bietet Aurora DSQL spezielle FIPS-Endpunkte in unterstützten Regionen. Weitere Informationen zu FIPS-Endpunkten auf Kontrollebene finden Sie unter [Aurora DSQL-Endpunkte und](https://docs.aws.amazon.com/general/latest/gr/dsql.html) Kontingente in der. *Allgemeine AWS-Referenz*

Siehe [Verschlüsselung im Ruhezustand in Aurora DSQL](data-encryption.md#encryption-at-rest) zum Thema Verschlüsselung im Ruhezustand.

### Datenschutz für den Datenverkehr zwischen Netzwerken
<a name="inter-network-traffic-privacy"></a>

Verbindungen sind sowohl zwischen Aurora DSQL und lokalen Anwendungen als auch zwischen Aurora DSQL und anderen AWS Ressourcen innerhalb derselben geschützt. AWS-Region

Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und: AWS
+ Eine AWS Site-to-Site VPN-Verbindung. Weitere Informationen finden Sie unter [Was ist AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Eine Direct Connect Verbindung. Weitere Informationen finden Sie unter [Was ist Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

Sie erhalten Zugriff auf Aurora DSQL über das Netzwerk, indem Sie AWS-veröffentlichte API-Operationen verwenden. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

## Datenschutz in Witness-Regionen
<a name="witness-regions"></a>

Wenn Sie einen Cluster mit mehreren Regionen erstellen, ermöglicht eine Witness-Region die automatische Wiederherstellung nach einem Ausfall, indem sie an der synchronen Replikation verschlüsselter Transaktionen teilnimmt. Wenn ein Peer-Cluster nicht mehr verfügbar ist, steht die Witness-Region weiterhin für die Validierung und Verarbeitung von Datenbank-Schreibvorgängen zur Verfügung, sodass kein Verfügbarkeitsverlust entsteht. 

Witness-Regionen schützen und sichern Ihre Daten mithilfe der folgendern Designmerkmale:
+ Die Witness-Region empfängt und speichert ausschließlich verschlüsselte Transaktionsprotokolle. Sie wird niemals Ihre Verschlüsselungsschlüssel hosten, speichern oder weitergeben.
+ Die Witness-Region dient lediglich zur Protokollierung von Schreibtransaktionen und Quorumfunktionen. Sie wurde speziell so entwickelt, dass sie Ihre Daten nicht lesen kann.
+ Die Witness-Region arbeitet ohne Clusterverbindungsendpunkte oder Abfrageprozessoren. Dadurch wird jeglicher Zugriff auf die Benutzerdatenbank verhindert.

Weitere Informationen zu Witness-Regionen finden Sie unter [Konfigurieren von Clustern mit mehreren Regionen](configuring-multi-region-clusters.md).

# Konfiguration von SSL/TLS Zertifikaten für Aurora DSQL-Verbindungen
<a name="configure-root-certificates"></a><a name="ssl-certificate-overview"></a>

Aurora DSQL verlangt von allen Verbindungen eine Transport Layer Security (TLS)-Verschlüsselung. Ihr Client-System muss der Amazon Root Certificate Authority (Amazon Root CA 1) vertrauen, um sichere Verbindungen herzustellen. Dieses Zertifikat ist bei vielen Betriebssystemen vorinstalliert. Dieser Abschnitt enthält Anleitungen zur Überprüfung des vorinstallierten Amazon Root CA 1-Zertifikats bei verschiedenen Betriebssystemen und führt Sie durch den Prozess der manuellen Installation des Zertifikats, falls es noch nicht vorhanden ist. 

Wir empfehlen die Verwendung von PostgreSQL Version 17.

**Wichtig**  
Für Produktionsumgebungen empfehlen wir die Verwendung des `verify-full`-SSL-Modus, um ein Höchstmaß an Verbindungssicherheit zu gewährleisten. In diesem Modus wird überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert ist und ob der Server-Hostname mit dem Zertifikat übereinstimmt.

## Überprüfen vorinstallierter Zertifikate
<a name="verify-installed-certificates"></a>

Bei den meisten Betriebssystemen ist **Amazon Root CA 1** bereits vorinstalliert. Um dies zu überprüfen, führen Sie die folgenden Schritte aus.

### Linux () RedHat/CentOS/Fedora
<a name="verify-linux"></a>

Führen Sie den folgenden Befehl in Ihrem Terminal aus:

```
trust list | grep "Amazon Root CA 1"
```

Wenn das Zertifikat installiert ist, wird die folgende Ausgabe angezeigt:

```
label: Amazon Root CA 1
```

### macOS
<a name="verify-macos"></a>

1. Öffnen Sie die Spotlight-Suche (**Befehlstaste** \$1 **Leerzeichen**)

1. Suchen Sie nach **Keychain Access**

1. Wählen Sie unter **Systemschlüsselketten** die Option **Systemstammverzeichnis** aus

1. Suchen Sie in der Zertifikatsliste nach **Amazon Root CA 1**

### Windows
<a name="verify-windows"></a>

**Anmerkung**  
Aufgrund eines bekannten Problems mit dem PSQL-Windows-Client kann bei der Verwendung von Systemstammzertifikaten (`sslrootcert=system`) der folgende Fehler zurückgegeben werden: `SSL error: unregistered scheme`. Alternativ können Sie den Schritten unter [Eine Verbindung von Windows aus herstellen](#connect-windows) folgen, um mithilfe von SSL eine Verbindung zu Ihrem Cluster herzustellen. 

Wenn **Amazon Root CA 1** nicht in Ihrem Betriebssystem installiert ist, gehen Sie wie im Folgenden beschrieben vor. 

## Installieren von Zertifikaten
<a name="install-certificates"></a>

 Wenn das `Amazon Root CA 1`-Zertifikat nicht auf Ihrem Betriebssystem vorinstalliert ist, müssen Sie es manuell installieren, um sichere Verbindungen zu Ihrem Aurora DSQL-Cluster herzustellen. 

### Installieren eines Linux-Zertifikats
<a name="install-linux"></a>

Gehen Sie wie folgt vor, um das Amazon Root CA-Zertifikat auf Linux-Systemen zu installieren.

1. Laden Sie das Stammzertifikat herunter:

   ```
   wget https://www.amazontrust.com/repository/AmazonRootCA1.pem
   ```

1. Kopieren Sie das Zertifikat in den Vertrauensspeicher ein.

   ```
   sudo cp ./AmazonRootCA1.pem /etc/pki/ca-trust/source/anchors/
   ```

1. Aktualisieren Sie den CA Trust Store:

   ```
   sudo update-ca-trust
   ```

1. Überprüfen der Installation:

   ```
   trust list | grep "Amazon Root CA 1"
   ```

### Installieren des macOS-Zertifikats
<a name="install-macos"></a>

Diese Schritte zur Installation des Zertifikats sind optional. Die Schritte unter [Installieren eines Linux-Zertifikats](#install-linux) funktionieren auch für macOS.

1. Das Stammzertifikat herunterladen:

   ```
   wget https://www.amazontrust.com/repository/AmazonRootCA1.pem
   ```

1. Fügen Sie das Zertifikat zur Systemschlüsselkette hinzu:

   ```
   sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain AmazonRootCA1.pem
   ```

1. Überprüfen der Installation:

   ```
   security find-certificate -a -c "Amazon Root CA 1" -p /Library/Keychains/System.keychain
   ```

## Verbindung mit SSL/TLS Verifizierung herstellen
<a name="connect-using-certificates"></a>

 Bevor Sie SSL/TLS Zertifikate für sichere Verbindungen zu Ihrem Aurora DSQL-Cluster konfigurieren, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen. 
+ PostgreSQL Version 17 ist installiert
+ AWS CLI mit den entsprechenden Anmeldeinformationen konfiguriert
+ Informationen zum Aurora DSQL-Cluster-Endpunkt

### Eine Verbindung von Linux aus herstellen
<a name="connect-linux"></a>

1. Generieren und Festlegen des Authentifizierungstokens:

   ```
   export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)
   ```

1. Mithilfe von Systemzertifikaten eine Verbindung herstellen (falls vorinstalliert):

   ```
   PGSSLROOTCERT=system \
   PGSSLMODE=verify-full \
   psql --dbname postgres \
   --username admin \
   --host your-cluster-endpoint
   ```

1. Alternativ mithilfe eines heruntergeladenen Zertifikats eine Verbindung herstellen:

   ```
   PGSSLROOTCERT=/full/path/to/root.pem \
   PGSSLMODE=verify-full \
   psql --dbname postgres \
   --username admin \
   --host your-cluster-endpoint
   ```

**Anmerkung**  
 Weitere Informationen zu den PGSSLMODE-Einstellungen finden Sie unter [sslmode](https://www.postgresql.org/docs/current/libpq-connect.html#LIBPQ-CONNECT-SSLMODE) in der Dokumentation zu den [Datenbankverbindung-Steuerungsfunktionen](https://www.postgresql.org/docs/current/libpq-connect.html) von PostgreSQL 17. 

### Eine Verbindung von macOS aus herstellen
<a name="connect-macos"></a>

1. Generieren und Festlegen des Authentifizierungstokens:

   ```
   export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)
   ```

1. Mithilfe von Systemzertifikaten eine Verbindung herstellen (falls vorinstalliert):

   ```
   PGSSLROOTCERT=system \
   PGSSLMODE=verify-full \
   psql --dbname postgres \
   --username admin \
   --host your-cluster-endpoint
   ```

1. Alternativ laden Sie das Stammzertifikat herunter und speichern es unter `root.pem` (falls das Zertifikat nicht vorinstalliert ist)

   ```
   PGSSLROOTCERT=/full/path/to/root.pem \
   PGSSLMODE=verify-full \
   psql —dbname postgres \
   --username admin \
   --host your_cluster_endpoint
   ```

1. Eine Verbindung mithilfe von psql herstellen:

   ```
   PGSSLROOTCERT=/full/path/to/root.pem \
   PGSSLMODE=verify-full \
   psql —dbname postgres \
   --username admin \
   --host your_cluster_endpoint
   ```

### Eine Verbindung von Windows aus herstellen
<a name="connect-windows"></a>

#### Verwenden der Eingabeaufforderung
<a name="windows-command-prompt"></a>

1. Erstellen des Authentifizierungstokens:

   ```
   aws dsql generate-db-connect-admin-auth-token ^
   --region=your-cluster-region ^
   --expires-in=3600 ^
   --hostname=your-cluster-endpoint
   ```

1. Legen Sie die Passwortumgebungsvariable fest:

   ```
   set "PGPASSWORD=token-from-above"
   ```

1. Legen Sie die SSL-Konfiguration fest:

   ```
   set PGSSLROOTCERT=C:\full\path\to\root.pem
   set PGSSLMODE=verify-full
   ```

1. Verbindung mit der Datenbank herstellen:

   ```
   "C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ^
   --username admin ^
   --host your-cluster-endpoint
   ```

#### Verwenden PowerShell
<a name="windows-powershell"></a>

1. Generieren und Festlegen des Authentifizierungstokens:

   ```
   $env:PGPASSWORD = (aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --expires-in=3600 --hostname=your-cluster-endpoint)
   ```

1. Die SSL-Konfiguration festlegen:

   ```
   $env:PGSSLROOTCERT='C:\full\path\to\root.pem'
   $env:PGSSLMODE='verify-full'
   ```

1. Verbindung mit der Datenbank herstellen:

   ```
    "C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres `
   --username admin `
   --host your-cluster-endpoint
   ```

## Weitere Ressourcen
<a name="additional-resources"></a>
+  [PostgreSQL-SSL-Dokumentation](https://www.postgresql.org/docs/current/libpq-ssl.html) 
+  [Amazon Trust Services](https://www.amazontrust.com/repository/)