AWS-EnableS3BucketKeys - AWS Systems Manager Guide de référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS-EnableS3BucketKeys

Description

Le AWS-EnableS3BucketKeys runbook active les clés de compartiment sur le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Cette clé au niveau du compartiment crée des clés de données pour les nouveaux objets au cours de leur cycle de vie. Si vous ne spécifiez aucune valeur pour le KmsKeyId paramètre, le chiffrement côté serveur à l'aide de clés gérées Amazon S3 (SSE-S3) est utilisé pour la configuration de chiffrement par défaut.

Note

Les clés de compartiment Amazon S3 ne sont pas prises en charge pour le chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS).

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • BucketName

    Type : chaîne

    Description : (Obligatoire) Nom du compartiment S3 pour lequel vous souhaitez activer les clés de compartiment.

  • KMS KeyId

    Type : chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN), l'ID de clé ou l'alias de clé AWS Key Management Service (AWS KMS) gérée par le client que vous souhaitez utiliser pour le chiffrement côté serveur.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • s3:GetEncryptionConfiguration

  • s3:PutEncryptionConfiguration

Étapes de document

  • ChooseEncryptionType (aws:branch) - Évalue la valeur fournie pour le KmsKeyId paramètre afin de déterminer si le SSE-S3 (AES256) ou le SSE-KMS seront utilisés.

  • PutBucketKeysKMS (aws :executeAwsApi) - Définit la BucketKeyEnabled propriété sur true pour le compartiment S3 spécifié en utilisant le paramètre spécifiéKmsKeyId.

  • PutBucketKeysAES256 (aws :executeAwsApi) - Définit la BucketKeyEnabled propriété sur true pour le compartiment S3 spécifié avec un chiffrement AES256.

  • VerifyS3 BucketKeysEnabled (aws : assertAwsResource Property) : vérifie que les clés de compartiment sont activées sur le compartiment S3 cible.