AWS-EnableS3BucketKeys - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-EnableS3BucketKeys

Beschreibung

Das AWS-EnableS3BucketKeys Runbook aktiviert Bucket Keys auf dem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Bucket. Dieser Schlüssel auf Bucket-Ebene erstellt während seines Lebenszyklus Datenschlüssel für neue Objekte. Wenn Sie keinen Wert für den KmsKeyId Parameter angeben, wird die serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) für die Standardverschlüsselungskonfiguration verwendet.

Anmerkung

Amazon S3 Bucket Keys werden für die serverseitige Dual-Layer-Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (DSSE-KMS) nicht unterstützt.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • BucketName

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der Name des S3-Buckets, für den Sie Bucket Keys aktivieren möchten.

  • KMSKeyId

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN), die Schlüssel-ID oder der Schlüsselalias des kundenverwalteten Schlüssels AWS Key Management Service (AWS KMS), den Sie für die serverseitige Verschlüsselung verwenden möchten.

Erforderliche Berechtigungen IAM

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • s3:GetEncryptionConfiguration

  • s3:PutEncryptionConfiguration

Dokumentschritte

  • ChooseEncryptionType (aws:branch) — Wertet den für den KmsKeyId Parameter angegebenen Wert aus, um festzustellen, ob SSE -S3 (AES256) oder SSE - verwendet wird. KMS

  • PutBucketKeysKMS(aws:executeAwsApi) — Setzt die BucketKeyEnabled Eigenschaft true für den angegebenen S3-Bucket unter Verwendung des angegebenen Werts auf. KmsKeyId

  • PutBucketKeysAES256(aws:executeAwsApi) — Setzt die BucketKeyEnabled Eigenschaft true für den angegebenen S3-Bucket mit AES256 Verschlüsselung auf.

  • verifyS3 BucketKeysEnabled (aws: assertAwsResource Property) — Überprüft, ob die Bucket Keys auf dem Ziel-S3-Bucket aktiviert sind.