Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen einer AWS Cloud9-IDE, die Amazon EBS-Volumes mit Standardverschlüsselung verwendet
Erstellt von Janardhan Malyala (AWS) und Dhr Boljioti Mukherjee (AWS)
Umgebung: Produktion | Technologien: Betrieb | Workload: Alle anderen Workloads |
AWS-Services: AWS Cloud9; AWS KMS |
Übersicht
Sie können die standardmäßige Verschlüsselung verwenden, um die Verschlüsselung Ihrer Amazon Elastic Block Store (Amazon EBS)-Volumes und Snapshot-Kopien in der Amazon Web Services (AWS) Cloud zu erzwingen.
Sie können eine integrierte AWS Cloud9-Entwicklungsumgebung (IDE) erstellen, die standardmäßig verschlüsselte EBS-Volumes verwendet. Die serviceverknüpfte Rolle AWS Identity and Access Management (IAM) für AWS Cloud9 benötigt jedoch Zugriff auf den AWS Key Management Service (AWS KMS)-Schlüssel für diese EBS-Volumes. Wenn kein Zugriff bereitgestellt wird, kann die AWS Cloud9-IDE möglicherweise nicht gestartet werden und das Debuggen kann schwierig sein.
Dieses Muster enthält die Schritte zum Hinzufügen der serviceverknüpften Rolle für AWS Cloud9 zum AWS KMS-Schlüssel, der von Ihren EBS-Volumes verwendet wird. Die in diesem Muster beschriebene Einrichtung hilft Ihnen, erfolgreich eine IDE zu erstellen und zu starten, die standardmäßig EBS-Volumes mit Verschlüsselung verwendet.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS-Konto.
Die Standardverschlüsselung ist für EBS-Volumes aktiviert. Weitere Informationen zur standardmäßigen Verschlüsselung finden Sie unter Amazon-EBS-Verschlüsselung in der Amazon Elastic Compute Cloud (Amazon EC2)-Dokumentation.
Ein vorhandener kundenverwalteter KMS-Schlüssel zum Verschlüsseln Ihrer EBS-Volumes.
Hinweis: Sie müssen die serviceverknüpfte Rolle für AWS Cloud9 nicht erstellen. Wenn Sie eine AWS Cloud9-Entwicklungsumgebung erstellen, erstellt AWS Cloud9 die serviceverknüpfte Rolle für Sie. |
Architektur
Technologie-Stack
AWS Cloud9
IAM
AWS KMS
Tools
AWS Cloud9 ist eine integrierte Entwicklungsumgebung (IDE), mit der Sie Software programmieren, erstellen, ausführen, testen und debuggen können. Es hilft Ihnen auch, Software in der AWS Cloud zu veröffentlichen.
Amazon Elastic Block Store (Amazon EBS) stellt Volumes für die Speicherung auf Blockebene für die Verwendung mit Amazon Elastic Compute Cloud (Amazon EC2)-Instances bereit.
Mit AWS Identity and Access Management (IAM) können Sie den Zugriff auf Ihre AWS-Ressourcen sicher verwalten, indem Sie steuern, wer authentifiziert und zur Nutzung autorisiert ist.
AWS Key Management Service (AWS KMS) hilft Ihnen beim Erstellen und Steuern kryptografischer Schlüssel, um Ihre Daten zu schützen.
Polen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Notieren Sie den Standard-Verschlüsselungsschlüsselwert für die EBS-Volumes. | Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon EC2-Konsole. Wählen Sie EC2-Dashboard und dann Datenschutz und Sicherheit in Kontoattribute aus. Kopieren Sie im Abschnitt EBS-Verschlüsselung den Wert im Standardverschlüsselungsschlüssel und notieren Sie ihn. | Cloud-Architekt, DevOps Techniker |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Stellen Sie AWS Cloud9 Zugriff auf den KMS-Schlüssel für EBS-Volumes bereit. |
Weitere Informationen zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter So ändern Sie eine Schlüsselrichtlinie (AWS-KMS-Dokumentation). Wichtig: Die serviceverknüpfte Rolle für AWS Cloud9 wird automatisch erstellt, wenn Sie Ihre erste IDE starten. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle in der AWS Cloud9-Dokumentation. | Cloud-Architekt, DevOps Techniker |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen und starten Sie die AWS Cloud9-IDE. | Öffnen Sie die AWS Cloud9-Konsole und wählen Sie Umgebung erstellen aus.Konfigurieren Sie die IDE entsprechend Ihren Anforderungen, indem Sie die Schritte unter Erstellen einer EC2-Umgebung in der AWS Cloud9-Dokumentation befolgen. | Cloud-Architekt, DevOps Techniker |
Zugehörige Ressourcen
Zusätzliche Informationen
AWS KMS-Schlüsselrichtlinienaktualisierungen
Ersetzen Sie <aws_accountid>
durch Ihre AWS-Konto-ID.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } }
Verwenden eines kontoübergreifenden Schlüssels
Wenn Sie einen kontoübergreifenden KMS-Schlüssel verwenden möchten, müssen Sie eine Erteilung in Kombination mit der KMS-Schlüsselrichtlinie verwenden. Dies ermöglicht den kontoübergreifenden Zugriff auf den Schlüssel. Führen Sie in demselben Konto, mit dem Sie die Cloud9-Umgebung erstellt haben, den folgenden Befehl im Terminal aus.
aws kms create-grant \ --region <Region where Cloud9 environment is created> \ --key-id <The cross-account KMS key ARN> \ --grantee-principal arn:aws:iam::<The account where Cloud9 environment is created>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9 \ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
Nachdem Sie diesen Befehl ausgeführt haben, können Sie Cloud9-Umgebungen erstellen, indem Sie die EBS-Verschlüsselung mit einem Schlüssel in einem anderen Konto verwenden.