Verschlüsseln von Canary-Artefakten - Amazon CloudWatch
Aktualisieren des Artefaktspeicherortes und der Verschlüsselung bei Verwendung der visuellen Überwachung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Canary-Artefakten

CloudWatch Synthetics speichert kanarische Artefakte wie Screenshots, HAR-Dateien und Berichte in Ihrem Amazon S3 S3-Bucket. Standardmäßig werden diese Artefakte im Ruhezustand mit einem AWS verwalteten Schlüssel verschlüsselt. Weitere Informationen finden Sie unter Kundenschlüssel und AWS Schlüssel.

Sie können wählen, ob Sie eine andere Verschlüsselungsoption verwenden möchten. CloudWatch Synthetics unterstützt Folgendes:

  • SSE S3 – Serverseitige Verschlüsselung (SSE) mit einem von Amazon S3 verwalteten Schlüssel.

  • SSE-KMS – Serverseitige Verschlüsselung (SSE) mit einem vom Kunden verwalteten AWS KMS -Schlüssel.

Wenn Sie die Standardverschlüsselungsoption mit einem AWS verwalteten Schlüssel verwenden möchten, benötigen Sie keine zusätzlichen Berechtigungen.

Um SSE-S3-Verschlüsselung zu verwenden, geben Sie SSE_S3 als Verschlüsselungsmodus an, wenn Sie einen Canary erstellen oder aktualisieren. Um diesen Verschlüsselungsmodus zu verwenden, benötigen Sie keine zusätzlichen Berechtigungen. Weitere Informationen finden Sie unter Protecting data using server-side encryption with Amazon S3-managed encryption keys (SSE-S3) (Schutz von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3).

Um einen vom AWS KMS Kunden verwalteten Schlüssel zu verwenden, geben Sie SSE-KMS als Verschlüsselungsmodus an, wenn Sie Ihren Canary erstellen oder aktualisieren, und Sie geben auch den Amazon-Ressourcennamen (ARN) Ihres Schlüssels an. Sie können auch einen kontoübergreifenden KMS-Schlüssel verwenden.

Um einen vom Kunden verwalteten Schlüssel verwenden zu können, benötigen Sie folgende Einstellungen:

  • Die IAM-Rolle für den Canary muss die Berechtigung haben, Ihre Artefakte mit Ihrem Schlüssel zu verschlüsseln. Wenn Sie eine visuelle Überwachung verwenden, müssen Sie ihr auch die Berechtigung zum Entschlüsseln von Artefakten erteilen.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Anstatt Ihrer IAM-Rolle Berechtigungen hinzuzufügen, können Sie Ihre IAM-Rolle zu Ihrer Schlüsselrichtlinie hinzufügen. Wenn Sie dieselbe Rolle für mehrere Canarys verwenden, sollten Sie diesen Ansatz in Betracht ziehen.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Wenn Sie einen kontoübergreifenden KMS-Schlüssel verwenden, lesen Sie den Abschnitt Gestatten, dass Benutzer anderer Konten einen KMS-Schlüssel verwenden.

Anzeigen verschlüsselter Canary-Artefakte bei Verwendung eines vom Kunden verwalteten Schlüssels

Um Canary-Artefakte anzuzeigen, aktualisieren Sie Ihren vom Kunden verwalteten Schlüssel, sodass der Benutzer, der sich AWS KMS die Artefakte ansieht, die Entschlüsselungsberechtigung erhält. Alternativ können Sie dem Benutzer oder der IAM-Rolle, die die Artefakte anzeigt, Entschlüsselungsberechtigungen hinzufügen.

Die AWS KMS Standardrichtlinie aktiviert IAM-Richtlinien im Konto, um den Zugriff auf die KMS-Schlüssel zu ermöglichen. Wenn Sie einen kontoübergreifenden KMS-Schlüssel verwenden, finden Sie weitere Informationen unter Warum erhalten kontoübergreifende Benutzer die Fehlermeldung „Zugriff verweigert“, wenn sie versuchen, auf Amazon S3 S3-Objekte zuzugreifen, die mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt wurden? .

Weitere Informationen zum Beheben von Problemen mit Zugriffsverweigerung aufgrund eines KMS-Schlüssels finden Sie unter Troubleshooting key access (Fehlerbehebung beim Zugriff mit einem Schlüssel).

Aktualisieren des Artefaktspeicherortes und der Verschlüsselung bei Verwendung der visuellen Überwachung

Um eine visuelle Überwachung durchzuführen, vergleicht CloudWatch Synthetics Ihre Screenshots mit Basis-Screenshots, die in dem als Baseline ausgewählten Lauf aufgenommen wurden. Wenn Sie Ihren Artefaktspeicherort oder Ihre Verschlüsselungsoption aktualisieren, müssen Sie einen der folgenden Schritte ausführen:

  • Stellen Sie sicher, dass Ihre IAM-Rolle sowohl für den vorherigen Amazon-S3-Standort als auch für den neuen Amazon-S3-Standort für Artefakte über ausreichende Berechtigungen verfügt. Stellen Sie außerdem sicher, dass sie sowohl für die vorherigen als auch für die neuen Verschlüsselungsmethoden und KMS-Schlüssel berechtigt ist.

  • Erstellen Sie eine neue Baseline, indem Sie die nächste Canary-Ausführung als neue Baseline auswählen. Wenn Sie diese Option verwenden, müssen Sie nur sicherstellen, dass Ihre IAM-Rolle über ausreichende Berechtigungen für den neuen Artefaktspeicherort und die Verschlüsselungsoption verfügt.

Wir empfehlen die zweite Möglichkeit, die nächste Ausführung als neue Baseline auszuwählen. Dies vermeidet eine Abhängigkeit von einem Artefaktspeicherort oder einer Verschlüsselungsoption, die Sie nicht mehr für den Canary verwenden.

Angenommen, Ihr Canary verwendet Artefaktposition A und KMS-Schlüssel K zum Hochladen von Artefakten. Wenn Sie Ihren Canary auf den Artefaktstandort B und KMS-Schlüssel L aktualisieren, können Sie sicherstellen, dass Ihre IAM-Rolle Berechtigungen sowohl für die Artefaktpositionen (A und B) als auch für beide KMS-Schlüssel (K und L) hat. Alternativ können Sie die nächste Ausführung als neue Baseline auswählen und sicherstellen, dass Ihre Canary-IAM-Rolle Berechtigungen für den Artefaktspeicherort B und KMS-Schlüssel L hat.