Mengenkripsi artefak canary - Amazon CloudWatch
Memperbarui lokasi artefak dan enkripsi saat menggunakan pemantauan visual

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi artefak canary

CloudWatch Synthetics menyimpan artefak kenari seperti tangkapan layar, file HAR, dan laporan di bucket Amazon S3 Anda. Secara default, artefak ini dienkripsi saat istirahat menggunakan kunci terkelola AWS . Untuk informasi selengkapnya, lihat Kunci dan AWS kunci pelanggan.

Anda dapat memilih untuk menggunakan opsi enkripsi yang berbeda. CloudWatch Synthetics mendukung hal-hal berikut:

  • SSE–S3 – Enkripsi di sisi server (SSE) dengan kunci yang dikelola Amazon S3.

  • SSE–KMS – Enkripsi di sisi server (SSE) dengan Kunci yang dikelola pelanggan AWS KMS .

Jika Anda ingin menggunakan opsi enkripsi default dengan kunci AWS terkelola, Anda tidak memerlukan izin tambahan.

Untuk menggunakan enkripsi SSE-S3, Anda menentukan SSE_S3 sebagai mode enkripsi saat Anda membuat atau memperbarui canary Anda. Anda tidak memerlukan izin tambahan untuk menggunakan mode enkripsi ini. Untuk informasi selengkapnya, silakan lihat Melindungi Data Menggunakan Enkripsi di Sisi Server dengan Kunci Enkripsi yang terkelola oleh Amazon S3 (SSE-S3).

Untuk menggunakan kunci yang dikelola AWS KMS pelanggan, Anda menentukan SSE-KMS sebagai mode enkripsi saat membuat atau memperbarui kenari, dan Anda juga memberikan Nama Sumber Daya Amazon (ARN) kunci Anda. Anda juga dapat menggunakan kunci KMS lintas akun.

Untuk menggunakan kunci yang dikelola pelanggan, Anda memerlukan pengaturan berikut ini:

  • Peran IAM untuk canary Anda harus memiliki izin untuk mengenkripsi artefak Anda menggunakan kunci Anda. Jika Anda menggunakan pemantauan visual, Anda juga harus memberikan izin untuk mendekripsi artefak.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Alih-alih menambahkan izin ke peran IAM, Anda dapat menambahkan peran IAM ke kebijakan kunci Anda. Jika Anda menggunakan peran yang sama untuk beberapa canary, Anda harus mempertimbangkan pendekatan ini.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Jika Anda menggunakan kunci KMS lintas akun, silakan lihat Mengizinkan pengguna di akun lain untuk menggunakan kunci KMS.

Melihat artefak canary terenkripsi saat menggunakan kunci yang dikelola pelanggan

Untuk melihat artefak kenari, perbarui kunci terkelola pelanggan Anda untuk memberikan AWS KMS izin dekripsi kepada pengguna yang melihat artefak. Atau, tambahkan izin dekripsi ke pengguna atau peran IAM yang melihat artefak tersebut.

AWS KMS Kebijakan default memungkinkan kebijakan IAM di akun untuk mengizinkan akses ke kunci KMS. Jika Anda menggunakan kunci KMS lintas akun, lihat Mengapa pengguna lintas akun mendapatkan kesalahan Akses Ditolak saat mereka mencoba mengakses objek Amazon S3 yang dienkripsi oleh kunci khusus? AWS KMS .

Untuk informasi selengkapnya tentang pemecahan masalah akses yang ditolak karena kunci KMS, silakan lihat Memecahkan masalah akses kunci.

Memperbarui lokasi artefak dan enkripsi saat menggunakan pemantauan visual

Untuk melakukan pemantauan visual, CloudWatch Synthetics membandingkan tangkapan layar Anda dengan tangkapan layar dasar yang diperoleh dalam proses yang dipilih sebagai baseline. Jika Anda memperbarui lokasi artefak atau opsi enkripsi, Anda harus melakukan salah satu hal berikut:

  • Pastikan bahwa peran IAM Anda memiliki izin yang cukup untuk lokasi Amazon S3 sebelumnya dan lokasi Amazon S3 baru untuk artefak. Juga pastikan bahwa ia memiliki izin untuk metode enkripsi sebelumnya dan metode enkripsi baru dan kunci KMS.

  • Buat baseline baru dengan memilih run canary berikutnya sebagai baseline baru. Jika Anda menggunakan opsi ini, Anda hanya perlu memastikan bahwa peran IAM Anda memiliki izin yang cukup untuk lokasi artefak dan opsi enkripsi baru.

Kami merekomendasikan opsi kedua untuk memilih run berikutnya sebagai baseline baru. Ini menghindari dependensi pada lokasi artefak atau opsi enkripsi yang tidak Anda gunakan lagi untuk canary.

Misalnya, canary Anda menggunakan lokasi artefak A dan kunci KMS K untuk mengunggah artefak. Jika Anda memperbarui canary ke lokasi artefak B dan kunci KMS L, Anda dapat memastikan bahwa peran IAM Anda memiliki izin untuk kedua lokasi artefak (A dan B) dan kedua kunci KMS (K dan L). Atau, Anda dapat memilih proses berikutnya sebagai baseline baru dan memastikan bahwa peran IAM canary Anda memiliki izin untuk artefak lokasi B dan kunci KMS L.