Chiffrement des artefacts de script Canary - Amazon CloudWatch
Mise à jour de l'emplacement et du chiffrement des artefacts en utilisant la surveillance visuelle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des artefacts de script Canary

CloudWatch Synthetics stocke les artefacts Canary tels que les captures d'écran, les fichiers HAR et les rapports dans votre compartiment Amazon S3. Par défaut, ces artefacts sont chiffrés au repos à l'aide d'une clé AWS gérée. Pour plus d'informations, consultez la section Clés et AWS clés du client.

Vous pouvez choisir d'utiliser une autre option de chiffrement. CloudWatch Synthetics prend en charge les éléments suivants :

  • SSE-S3 : chiffrement côté serveur (SSE) avec une clé gérée par Amazon S3.

  • SSE-KMS : chiffrement côté serveur (SSE) avec une clé gérée par le client AWS KMS .

Si vous souhaitez utiliser l'option de chiffrement par défaut avec une clé AWS gérée, vous n'avez pas besoin d'autorisations supplémentaires.

Pour utiliser le chiffrement SSE-S3, vous devez spécifier SSE_S3 comme mode de chiffrement lorsque vous créez ou mettez à jour votre script Canary. Vous n'avez pas besoin d'autorisations supplémentaires pour utiliser ce mode de chiffrement. Pour plus d'informations, consultez Protection des données à l'aide du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3).

Pour utiliser une clé gérée par le AWS KMS client, vous spécifiez SSE-KMS comme mode de chiffrement lorsque vous créez ou mettez à jour votre Canary, et vous fournissez également le nom de ressource Amazon (ARN) de votre clé. Vous pouvez également utiliser une clé KMS entre comptes.

Pour utiliser une clé gérée par le client, vous devez disposer des paramètres suivants :

  • Le rôle IAM de votre script Canary doit être autorisé à chiffrer vos artefacts à l'aide de votre clé. Si vous utilisez la surveillance visuelle, vous devez également lui accorder l'autorisation de déchiffrer des artefacts.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Au lieu d'ajouter des autorisations à votre rôle IAM, vous pouvez ajouter votre rôle IAM à votre politique de clé. Si vous utilisez le même rôle pour plusieurs scripts canarys, vous devez envisager cette approche.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Si vous utilisez une clé KMS entre comptes, consultez Allowing users in other accounts to use a KMS key.

Affichage des artefacts de script Canary chiffrés en utilisant une clé gérée par le client

Pour afficher les artefacts Canary, mettez à jour votre clé gérée par le client pour autoriser AWS KMS le déchiffrement à l'utilisateur qui consulte les artefacts. Vous pouvez également ajouter des autorisations de déchiffrement à l'utilisateur ou au rôle IAM qui affiche les artefacts.

La AWS KMS politique par défaut active les politiques IAM du compte pour autoriser l'accès aux clés KMS. Si vous utilisez une clé KMS entre comptes, consultez Pourquoi les utilisateurs intercomptes reçoivent-ils des erreurs d'accès refusé lorsqu'ils tentent d'accéder à des objets Amazon S3 chiffrés par une clé personnalisée AWS KMS ? .

Pour plus d'informations sur le dépannage des problèmes d'accès rejeté en raison d'une clé KMS, consultez Troubleshooting key access (Résolution des problèmes de clé d'accès).

Mise à jour de l'emplacement et du chiffrement des artefacts en utilisant la surveillance visuelle

Pour effectuer une surveillance visuelle, CloudWatch Synthetics compare vos captures d'écran avec les captures d'écran de référence acquises lors de l'exécution sélectionnée comme référence. Si vous mettez à jour l'emplacement de votre artefact ou l'option de chiffrement, vous devez effectuer l'une des actions suivantes :

  • Assurez-vous que votre rôle IAM dispose d'autorisations suffisantes pour l'ancien emplacement Amazon S3 et le nouvel emplacement Amazon S3 pour les artefacts. Assurez-vous également qu'il dispose d'une autorisation pour les méthodes de chiffrement précédentes, les nouvelles méthodes de chiffrement et les clés KMS.

  • Créez une nouvelle référence en sélectionnant la prochaine exécution de script Canary comme nouvelle référence. Si vous utilisez cette option, il vous suffit de vous assurer que votre rôle IAM dispose des autorisations suffisantes pour la nouvelle option d'emplacement et de chiffrement des artefacts.

Nous recommandons la deuxième option de sélection de la prochaine exécution comme nouvelle référence. Cela évite de dépendre d'un emplacement d'artefact ou d'une option de chiffrement que vous n'utilisez plus pour le script Canary.

Par exemple, supposons que votre script Canary utilise l'emplacement de l'artefact A et la clé KMS K pour charger des artefacts. Si vous mettez à jour votre script Canary vers l'emplacement de l'artefact B et la clé KMS L, vous pouvez vous assurer que votre rôle IAM dispose d'autorisations sur les deux emplacements d'artefact (A et B) et les deux clés KMS (K et L). Vous pouvez également sélectionner la prochaine exécution comme nouvelle référence et vous assurer que votre rôle IAM de script Canary dispose des autorisations sur l'emplacement d'artefact B et la clé KMS L.