Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen - AWS Systems Manager
Aufgabe 1: Fügen Sie einem vorhandenen CMK ein Tag hinzuAufgabe 2: Eine bestehende CMK-Schlüsselrichtlinie verändernAufgabe 3: Geben Sie den CMK in den Systems-Manager-Einstellungen an

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen

Während des Onboarding-Prozesses für die einheitliche Systems Manager Manager-Konsole Quick Setup erstellt einen Amazon Simple Storage Service (Amazon S3) -Bucket im delegierten Administratorkonto. In diesem Bucket werden die während der Ausführung des Reparatur-Runbooks generierten Diagnoseausgabedaten gespeichert. Standardmäßig verwendet der Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).

Den Inhalt dieser Richtlinien finden Sie unter S3-Bucket-Richtlinien für die einheitliche Systems Manager Manager-Konsole.

Sie können jedoch stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) verwenden, indem Sie einen vom Kunden verwalteten Schlüssel (CMK) als Alternative zu einem verwenden. AWS KMS key

Führen Sie die folgenden Aufgaben aus, um Systems Manager für die Verwendung Ihres CMK zu konfigurieren.

Aufgabe 1: Fügen Sie einem vorhandenen CMK ein Tag hinzu

AWS Systems Manager verwendet Ihr CMK nur, wenn es mit dem folgenden Schlüssel-Wert-Paar gekennzeichnet ist:

  • Schlüssel: SystemsManagerManaged

  • Wert: true

Gehen Sie wie folgt vor, um Zugriff auf die Verschlüsselung des S3-Buckets mit Ihrem CMK zu gewähren.

Hinzufügen eines Tags zu Ihrem vorhandenen CMK

  1. Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com

  2. Klicken Sie in linken Navigationsleiste auf Vom Kunden verwaltete Schlüssel.

  3. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.

  4. Wählen Sie die Registerkarte Tags und dann Bearbeiten aus.

  5. Wählen Sie Add tag.

  6. Gehen Sie wie folgt vor:

    1. Geben Sie für Tag-Schlüssel SystemsManagerManaged ein.

    2. Geben Sie für Tag-Wert true ein.

  7. Wählen Sie Speichern aus.

Aufgabe 2: Eine bestehende CMK-Schlüsselrichtlinie verändern

Gehen Sie wie folgt vor, um die KMS-Schlüsselrichtlinie Ihres CMK zu aktualisieren, sodass AWS Systems Manager Rollen den S3-Bucket in Ihrem Namen verschlüsseln können.

Um eine bestehende CMK-Schlüsselrichtlinie zu ändern

  1. Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com

  2. Klicken Sie in linken Navigationsleiste auf Vom Kunden verwaltete Schlüssel.

  3. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.

  4. Wählen Sie im Tab Schlüsselrichtlinie die Option Bearbeiten aus.

  5. Fügen Sie dem Statement Feld die folgende JSON-Anweisung hinzu und ersetzen Sie sie durch Ihre eigenen Informationen. placeholder values

    Stellen Sie sicher, dass Sie alle AWS-Konto IDs Daten, die in Ihrer Organisation integriert sind, zu dem AWS Systems Manager Principal Feld hinzufügen.

    Um den richtigen Bucket-Namen in der Amazon-S3-Konsole zu finden, suchen Sie im delegierten Administratorkonto den Bucket im Format do-not-delete-ssm-operational-account-id-home-region-disambiguator.

    {
     "Sid": "EncryptionForSystemsManagerS3Bucket",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
             "account-id-1",
             "account-id-2",
             ...
         ]
     },
     "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket-name"
         },
         "StringLike": {
             "kms:ViaService": "s3.*.amazonaws.com"
         },
         "ArnLike": {
             "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
         }
     }
 }
Tipp

Alternativ können Sie die CMK-Schlüsselrichtlinie mithilfe des Bedingungsschlüssels aws: PrincipalOrg ID aktualisieren, um AWS Systems Manager Zugriff auf Ihr CMK zu gewähren.

Aufgabe 3: Geben Sie den CMK in den Systems-Manager-Einstellungen an

Gehen Sie nach Abschluss der beiden vorherigen Aufgaben wie folgt vor, um die S3-Bucket-Verschlüsselung zu ändern. Diese Änderung stellt sicher, dass die zugehörigen Quick Setup Durch den Konfigurationsprozess können Berechtigungen für Systems Manager hinzugefügt werden, um Ihr CMK zu akzeptieren.

  1. Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie auf der Registerkarte Diagnose und Behebung im Abschnitt S3-Bucket-Verschlüsselung aktualisieren die Option Bearbeiten aus.

  4. Aktivieren Sie das Kontrollkästchen Verschlüsselungseinstellungen anpassen (erweitert).

  5. Wählen Sie im Suchfeld ( The search icon ) die ID eines vorhandenen Schlüssels aus, oder fügen Sie den ARN eines vorhandenen Schlüssels ein.

  6. Wählen Sie Save (Speichern) aus.