AWS-EnableS3BucketKeys - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS-EnableS3BucketKeys

Descripción

El AWS-EnableS3BucketKeys runbook habilita las claves de bucket en el bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Esta clave de nivel de depósito crea claves de datos para nuevos objetos durante su ciclo de vida. Si no especifica un valor para el KmsKeyId parámetro, se utiliza el cifrado del lado del servidor mediante claves gestionadas de Amazon S3 (SSE-S3) como configuración de cifrado predeterminada.

nota

Las claves de bucket de Amazon S3 no son compatibles con el cifrado de doble capa del lado del servidor con claves AWS Key Management Service (AWS KMS) (-). DSSE KMS

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • BucketName

    Tipo: cadena

    Descripción: (obligatorio) El nombre del bucket de S3 para el que desea habilitar las claves de bucket.

  • KMSKeyId

    Tipo: cadena

    Descripción: (opcional) El nombre del recurso de Amazon (ARN), el ID de la clave o el alias de la clave gestionada por el cliente AWS Key Management Service (AWS KMS) que desea utilizar para el cifrado del lado del servidor.

Permisos necesarios IAM

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • s3:GetEncryptionConfiguration

  • s3:PutEncryptionConfiguration

Pasos de documentos

  • ChooseEncryptionType (aws:branch): evalúa el valor proporcionado para el KmsKeyId parámetro para determinar si se utilizará SSE -S3 (AES256) o SSE -KMS.

  • PutBucketKeysKMS(aws:executeAwsApi) - Establece la BucketKeyEnabled propiedad en el valor true correspondiente al bucket S3 especificado utilizando el valor especificado. KmsKeyId

  • PutBucketKeysAES256(aws:executeAwsApi) - Establece la BucketKeyEnabled propiedad en true el bucket de S3 especificado con AES256 cifrado.

  • VerifyS3 BucketKeysEnabled (aws: assertAwsResource Property): verifica que las claves de bucket estén habilitadas en el bucket S3 de destino.