Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenschutz durch Verschlüsselung
<a name="data-protection-encryption"></a>

Datenschutz bezieht sich auf den Schutz von Daten während der Übertragung (beim Hin- und ROSA Hersenden) und im Ruhezustand (während sie auf Festplatten in AWS Rechenzentren gespeichert werden).

 Red Hat OpenShift Service in AWS bietet sicheren Zugriff auf Amazon Elastic Block Store (Amazon EBS) Speichervolumes, die an Amazon EC2 Instanzen für die ROSA Steuerungsebene, die Infrastruktur und die Worker-Knoten angeschlossen sind, sowie auf persistente Kubernetes-Volumes für persistenten Speicher. ROSA verschlüsselt Volumendaten im Ruhezustand und bei der Übertragung und verwendet AWS Key Management Service (AWS KMS), um Ihre verschlüsselten Daten zu schützen. Der Dienst verwendet den Registryspeicher Amazon S3 für Container-Images, der im Ruhezustand standardmäßig verschlüsselt ist.

**Wichtig**  
Weil es ROSA sich um einen verwalteten Service handelt, AWS und Red Hat verwaltet die Infrastruktur, die ROSA verwendet wird. Kunden sollten nicht versuchen, die ROSA verwendeten Amazon EC2 Instances über die AWS Konsole oder CLI manuell herunterzufahren. Diese Aktion kann zum Verlust von Kundendaten führen.

## Datenverschlüsselung für Amazon EBS-gestützte Speichervolumes
<a name="data-protection-encryption-ebs-volumes"></a>

 Red Hat OpenShift Service in AWS verwendet das Kubernetes Persistent Volume (PV) -Framework, um Clusteradministratoren die Bereitstellung eines Clusters mit persistentem Speicher zu ermöglichen. Persistente Volumes sowie die Kontrollebene, die Infrastruktur und die Worker-Knoten werden durch Amazon Elastic Block Store (Amazon EBS) Speichervolumes unterstützt, die an Amazon EC2 Instanzen angehängt sind.

Bei ROSA persistenten Volumes und Nodes, die von unterstützt werden Amazon EBS, finden Verschlüsselungsvorgänge auf den Servern statt, die EC2-Instances hosten. Dadurch wird die Sicherheit sowohl der ruhenden Daten als auch der Daten bei der Übertragung zwischen einer Instance und dem zugehörigen Speicher gewährleistet. Weitere Informationen finden Sie im * Amazon EC2 Benutzerhandbuch* unter [Amazon EBS Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html).

### Datenverschlüsselung für den Amazon EBS CSI-Treiber und den Amazon EFS CSI-Treiber
<a name="data-protection-encryption-ebs-volumes-csi-driver"></a>

 ROSA verwendet standardmäßig den Amazon EBS CSI-Treiber zur Amazon EBS Speicherbereitstellung. Der Amazon EBS CSI-Treiber und der Amazon EBS CSI Driver Operator sind standardmäßig im `openshift-cluster-csi-drivers` Namespace auf dem Cluster installiert. Mit dem Amazon EBS CSI-Treiber und -Operator können Sie persistente Volumes dynamisch bereitstellen und Volume-Snapshots erstellen.

 ROSA ist auch in der Lage, persistente Volumes mithilfe des Amazon EFS CSI-Treibers und des Amazon EFS CSI-Treiberoperators bereitzustellen. Der Amazon EFS Treiber und der Operator ermöglichen es Ihnen auch, Dateisystemdaten zwischen Pods oder mit anderen Anwendungen innerhalb oder außerhalb von Kubernetes gemeinsam zu nutzen.

Volumendaten werden während der Übertragung sowohl für den CSI-Treiber als auch für Amazon EBS den CSI-Treiber gesichert Amazon EFS . Weitere Informationen finden Sie unter [Using Container Storage Interface (CSI)](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/using-container-storage-interface-csi) in der Red Hat-Dokumentation.

**Wichtig**  
Bei der dynamischen Bereitstellung ROSA persistenter Volumes mithilfe des Amazon EFS CSI-Treibers sollten bei der Bewertung der Dateisystemberechtigungen die Benutzer-ID, Gruppen-ID (GID) und die sekundäre Gruppe IDs des Access Points Amazon EFS berücksichtigt werden. Amazon EFS ersetzt den Benutzer und die Gruppe IDs in Dateien durch den Benutzer und die Gruppe IDs auf dem Access Point und ignoriert den NFS-Client. IDs Dies hat zur Folge, dass Einstellungen im Amazon EFS Hintergrund ignoriert werden. `fsGroup` ROSA ist nicht in der Lage, die Dateien mithilfe GIDs von zu ersetzen. `fsGroup` Jeder Pod, der auf einen bereitgestellten Amazon EFS Access Point zugreifen kann, kann auf jede Datei auf dem Volume zugreifen. Weitere Informationen finden Sie im * Amazon EFS Benutzerhandbuch* unter [Arbeiten mit Amazon EFS Access Points](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html).

### etcd-Verschlüsselung
<a name="data-protection-encryption-ebs-volumes-etcd"></a>

 ROSA bietet die Option, die Verschlüsselung von `etcd` Schlüsselwerten innerhalb des `etcd` Volumes während der Clustererstellung zu aktivieren, wodurch eine zusätzliche Verschlüsselungsebene hinzugefügt wird. Sobald die Verschlüsselung abgeschlossen `etcd` ist, entsteht ein zusätzlicher Leistungsaufwand von ca. 20%. Wir empfehlen, die `etcd` Verschlüsselung nur zu aktivieren, wenn Sie sie speziell für Ihren Anwendungsfall benötigen. Weitere Informationen finden Sie unter [etcd-Verschlüsselung](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#rosa-sdpolicy-etcd-encryption_rosa-service-definition) in der ROSA Dienstdefinition.

### Schlüsselverwaltung
<a name="data-protection-encryption-ebs-volumes-key-management"></a>

 ROSA dient KMS keys zur sicheren Verwaltung von Datenmengen auf Steuerungsebene, Infrastruktur und Mitarbeitern sowie persistente Volumes für Kundenanwendungen. Bei der Clustererstellung haben Sie die Wahl, den standardmäßigen AWS verwalteten Schlüssel zu verwenden, der von KMS key bereitgestellt wird Amazon EBS, oder Sie können Ihren eigenen, vom Kunden verwalteten Schlüssel angeben. Weitere Informationen finden Sie unter [Datenverschlüsselung mit KMS](data-protection-key-management.md).

## Datenverschlüsselung für die integrierte Image-Registry
<a name="data-protection-encryption-image-registry"></a>

 ROSA bietet eine integrierte Container-Image-Registrierung zum Speichern, Abrufen und Teilen von Container-Images über den Amazon S3 Bucket-Speicher. Die Registrierung wird vom OpenShift Image Registry Operator konfiguriert und verwaltet. Es bietet Benutzern eine out-of-the-box Lösung zur Verwaltung der Images, auf denen ihre Workloads ausgeführt werden, und wird auf der vorhandenen Cluster-Infrastruktur ausgeführt. Weitere Informationen finden Sie unter [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) in der Red Hat-Dokumentation.

 ROSA bietet öffentliche und private Image-Registries. Für Unternehmensanwendungen empfehlen wir die Verwendung einer privaten Registrierung, um Ihre Bilder vor der Verwendung durch unbefugte Benutzer zu schützen. ROSA Verwendet standardmäßig serverseitige Verschlüsselung mit Amazon S3 verwalteten Schlüsseln (SSE-S3), um die Daten Ihrer Registrierung im Ruhezustand zu schützen. Dies erfordert kein Eingreifen Ihrerseits und wird ohne zusätzliche Kosten angeboten. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Amazon S3 *

 ROSA verwendet das Transport Layer Security (TLS) -Protokoll, um Daten bei der Übertragung zur und von der Image-Registry zu sichern. Weitere Informationen finden Sie unter [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) in der Red Hat-Dokumentation.

## Richtlinie für den Datenverkehr zwischen Netzwerken
<a name="data-protection-internetwork"></a>

 Red Hat OpenShift Service in AWS verwendet Amazon Virtual Private Cloud (Amazon VPC), um Grenzen zwischen Ressourcen in Ihrem ROSA Cluster zu erstellen und den Verkehr zwischen ihnen, Ihrem lokalen Netzwerk und dem Internet zu kontrollieren. Weitere Informationen zur Amazon VPC Sicherheit finden Sie unter [Datenschutz im Netzwerkdatenverkehr Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) im * Amazon VPC Benutzerhandbuch*.

Innerhalb der VPC können Sie Ihre ROSA Cluster so konfigurieren, dass sie einen HTTP- oder HTTPS-Proxyserver verwenden, um den direkten Internetzugang zu verweigern. Wenn Sie ein Clusteradministrator sind, können Sie auch Netzwerkrichtlinien auf Pod-Ebene definieren, die den Netzwerkverkehr auf Pods in Ihrem ROSA Cluster beschränken. Weitere Informationen finden Sie unter [Sicherheit der Infrastruktur in ROSA](infrastructure-security.md).

# Datenverschlüsselung mit KMS
<a name="data-protection-key-management"></a>

 ROSA verwendet AWS KMS , um Schlüssel für verschlüsselte Daten sicher zu verwalten. Die Volumes der Steuerungsebene, der Infrastruktur und der Worker-Knoten werden standardmäßig mit den von AWS verwalteten KMS key Datenträgern verschlüsselt Amazon EBS. Das KMS key hat den Alias`aws/ebs`. Persistente Volumes, die die Standard-GP3-Speicherklasse verwenden, werden damit KMS key standardmäßig ebenfalls verschlüsselt.

Neu erstellte ROSA Cluster sind so konfiguriert, dass sie die Standard-GP3-Speicherklasse verwenden, um persistente Volumes zu verschlüsseln. Persistente Volumes, die mit einer anderen Speicherklasse erstellt wurden, werden nur verschlüsselt, wenn die Speicherklasse für die Verschlüsselung konfiguriert ist. Weitere Informationen zu ROSA vorgefertigten Speicherklassen finden Sie unter [Konfiguration von persistentem Speicher](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#persistent-storage-aws) in der Red Hat-Dokumentation.

Während der Clustererstellung können Sie wählen, ob Sie die persistenten Volumes in Ihrem Cluster mit dem standardmäßig Amazon EBS bereitgestellten Schlüssel verschlüsseln oder Ihren eigenen, vom Kunden verwalteten symmetrischen Schlüssel angeben möchten. KMS key*Weitere Informationen zum Erstellen von Schlüsseln finden Sie unter [KMS-Schlüssel für symmetrische Verschlüsselung erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) im Entwicklerhandbuch. AWS KMS *

Sie können persistente Volumes auch für einzelne Container innerhalb eines Clusters verschlüsseln, indem Sie eine definieren. KMS key Dies ist nützlich, wenn Sie bei der Bereitstellung auf explizite Compliance- und Sicherheitsrichtlinien festgelegt haben. AWS Weitere Informationen finden Sie unter [Encrypting container persistent volumes on AWS with a KMS key](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#aws-container-persistent-volumes-encrypt_persistent-storage-aws) in der Red Hat-Dokumentation.

Die folgenden Punkte sollten beachtet werden, wenn Sie persistente Volumes mit Ihren eigenen verschlüsseln: KMS keys
+ Wenn Sie die KMS-Verschlüsselung mit Ihrer eigenen Verschlüsselung verwenden KMS key, muss sich der Schlüssel in demselben AWS-Region Cluster befinden.
+ Die Erstellung und Verwendung Ihres eigenen Systems ist mit Kosten verbunden KMS keys. Weitere Informationen finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).