AWS-EnableSQSEncryption - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS-EnableSQSEncryption

Description

Le AWS-EnableSQSEncryption runbook active le chiffrement au repos pour une file d'attente Amazon Simple Queue Service (AmazonSQS). Une SQS file d'attente Amazon peut être chiffrée avec des clés SQS gérées par Amazon AWS Key Management Service (SSE- SQS AWS KMS) ou avec des clés gérées (SSE-KMS). La clé que vous attribuez à votre file d'attente doit avoir une politique clé qui inclut des autorisations pour tous les principaux autorisés à utiliser la file d'attente. Lorsque le chiffrement est activé, les demandes anonymes SendMessage et les ReceiveMessage demandes adressées à la file d'attente cryptée sont rejetées.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • QueueUrl

    Type : String

    Description : (Obligatoire) Le URL nom de la SQS file d'attente Amazon sur laquelle vous souhaitez activer le chiffrement.

  • KmsKeyId

    Type : String

    Description : (Facultatif) La AWS KMS clé à utiliser pour le chiffrement. Cette valeur peut être un identifiant unique global, associé ARN à un alias ou à une clé, ou un nom d'alias préfixé par « alias/ ». Vous pouvez également utiliser la clé AWS gérée en spécifiant l'alias aws/sqs.

  • KmsDataKeyReusePeriodSeconds

    Type : String

    Valeurs valides : 60-86400

    Valeur par défaut : 300

    Description : (Facultatif) Durée, en secondes, pendant laquelle une SQS file d'attente Amazon peut réutiliser une clé de données pour chiffrer ou déchiffrer des messages avant de réappeler AWS KMS .

IAMAutorisations requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

  • sqs:GetQueueAttributes

  • sqs:SetQueueAttributes

Étapes de document

  • SelectKeyType (aws:branch) : Branches basées sur la clé spécifiée.

  • PutAttributeSseKms (aws:executeAwsApi) - Met à jour la SQS file d'attente Amazon pour utiliser la AWS KMS clé spécifiée pour le chiffrement.

  • PutAttributeSseSqs (aws:executeAwsApi) - Met à jour la SQS file d'attente Amazon afin d'utiliser la clé par défaut pour le chiffrement.

  • VerifySqsEncryptionKms (aws:assertAwsResourceProperty) - Vérifie que le chiffrement est activé dans la SQS file d'attente Amazon.

  • VerifySqsEncryptionDefault (aws:assertAwsResourceProperty) - Vérifie que le chiffrement est activé dans la SQS file d'attente Amazon.