AWS-EnableSQSEncryption - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-EnableSQSEncryption

Beschreibung

Das AWS-EnableSQSEncryption Runbook ermöglicht die Verschlüsselung im Ruhezustand für eine Amazon Simple Queue Service (AmazonSQS) -Warteschlange. Eine SQS Amazon-Warteschlange kann mit von Amazon SQS verwalteten Schlüsseln (SSE-SQS) oder mit AWS Key Management Service (AWS KMS) verwalteten Schlüsseln (SSE-KMS) verschlüsselt werden. Für den Schlüssel, den Sie Ihrer Warteschlange zuweisen, muss eine Schlüsselrichtlinie gelten, die Berechtigungen für alle Principals beinhaltet, die berechtigt sind, die Warteschlange zu verwenden. Wenn die Verschlüsselung aktiviert ist, werden anonyme ReceiveMessage Anfragen SendMessage und Anfragen an die verschlüsselte Warteschlange abgewiesen.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • QueueUrl

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die URL SQS Amazon-Warteschlange, für die Sie die Verschlüsselung aktivieren möchten.

  • KmsKeyId

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der AWS KMS Schlüssel, der für die Verschlüsselung verwendet werden soll. Dieser Wert kann ein global eindeutiger Bezeichner sein, entweder ARN für einen Alias oder einen Schlüssel, oder ein Aliasname mit dem Präfix „alias/“. Sie können den AWS verwalteten Schlüssel auch verwenden, indem Sie den Alias aws/sqs angeben.

  • KmsDataKeyReusePeriodSeconds

    Typ: Zeichenfolge

    Gültige Werte: 60-86400

    Standard: 300

    Beschreibung: (Optional) Der Zeitraum in Sekunden, in dem eine SQS Amazon-Warteschlange einen Datenschlüssel wiederverwenden kann, um Nachrichten zu verschlüsseln oder zu entschlüsseln, bevor sie erneut anruft AWS KMS .

Erforderliche Berechtigungen IAM

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

  • sqs:GetQueueAttributes

  • sqs:SetQueueAttributes

Dokumentschritte

  • SelectKeyType (aws:branch): Verzweigungen, die auf dem angegebenen Schlüssel basieren.

  • PutAttributeSseKms (aws:executeAwsApi) - Aktualisiert die SQS Amazon-Warteschlange, sodass sie den für die Verschlüsselung angegebenen AWS KMS Schlüssel verwendet.

  • PutAttributeSseSqs (aws:executeAwsApi) - Aktualisiert die SQS Amazon-Warteschlange, sodass sie den Standardschlüssel für die Verschlüsselung verwendet.

  • VerifySqsEncryptionKms (aws:assertAwsResourceProperty) — Überprüft, ob die Verschlüsselung in der SQS Amazon-Warteschlange aktiviert ist.

  • VerifySqsEncryptionDefault (aws:assertAwsResourceProperty) — Überprüft, ob die Verschlüsselung in der SQS Amazon-Warteschlange aktiviert ist.