Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi diam
Secara default, Amazon Managed Service untuk Prometheus secara otomatis memberi Anda enkripsi saat istirahat dan melakukan ini menggunakan kunci enkripsi yang dimiliki. AWS
-
AWS kunci yang dimiliki — Amazon Managed Service untuk Prometheus menggunakan kunci ini untuk secara otomatis mengenkripsi data yang diunggah ke ruang kerja Anda. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan AWS Key Management Service Pengembang.
Enkripsi data saat istirahat membantu mengurangi overhead operasional dan kompleksitas yang digunakan untuk melindungi data pelanggan yang sensitif, seperti informasi yang dapat diidentifikasi secara pribadi. Ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.
Anda dapat memilih untuk menggunakan kunci terkelola pelanggan saat membuat ruang kerja:
-
Kunci terkelola pelanggan — Layanan Terkelola Amazon untuk Prometheus mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk mengenkripsi data di ruang kerja Anda. Karena Anda memiliki kontrol penuh atas enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
-
Menetapkan dan memelihara kebijakan utama
-
Menetapkan dan memelihara kebijakan dan hibah IAM
-
Mengaktifkan dan menonaktifkan kebijakan utama
-
Memutar bahan kriptografi kunci
-
Menambahkan tanda
-
Membuat alias kunci
-
Kunci penjadwalan untuk penghapusan
Untuk informasi selengkapnya, lihat kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.
-
Pilih apakah akan menggunakan kunci yang dikelola pelanggan atau kunci AWS yang dimiliki dengan hati-hati. Ruang kerja yang dibuat dengan kunci yang dikelola pelanggan tidak dapat dikonversi untuk menggunakan kunci yang AWS dimiliki nanti (dan sebaliknya).
catatan
Layanan Terkelola Amazon untuk Prometheus secara otomatis mengaktifkan enkripsi saat istirahat AWS menggunakan kunci yang dimiliki untuk melindungi data Anda tanpa biaya.
Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS Key Management Service
Untuk informasi lebih lanjut tentang AWS KMS, lihat Apa itu AWS Key Management Service?
catatan
Ruang kerja yang dibuat dengan kunci terkelola pelanggan tidak dapat menggunakan kolektor AWS terkelola untuk konsumsi.
Bagaimana Amazon Managed Service untuk Prometheus menggunakan hibah di AWS KMS
Amazon Managed Service untuk Prometheus memerlukan tiga hibah untuk menggunakan kunci terkelola pelanggan Anda.
Saat Anda membuat Layanan Terkelola Amazon untuk ruang kerja Prometheus yang dienkripsi dengan kunci yang dikelola pelanggan, Layanan Terkelola Amazon untuk Prometheus membuat tiga hibah atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah AWS KMS digunakan untuk memberikan Amazon Managed Service untuk Prometheus akses ke kunci KMS di akun Anda, bahkan ketika tidak dipanggil langsung atas nama Anda (misalnya, saat menyimpan data metrik yang telah dikikis dari kluster Amazon EKS.
Layanan Terkelola Amazon untuk Prometheus memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
-
Kirim DescribeKeypermintaan AWS KMS untuk memverifikasi bahwa kunci KMS terkelola pelanggan simetris yang diberikan saat membuat ruang kerja valid.
-
Kirim GenerateDataKeypermintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.
-
Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.
Layanan Terkelola Amazon untuk Prometheus membuat tiga hibah ke AWS KMS kunci yang memungkinkan Layanan Dikelola Amazon untuk Prometheus menggunakan kunci atas nama Anda. Anda dapat menghapus akses ke kunci dengan mengubah kebijakan kunci, dengan menonaktifkan kunci, atau dengan mencabut hibah. Anda harus memahami konsekuensi dari tindakan ini sebelum melakukannya. Hal ini dapat menyebabkan hilangnya data di ruang kerja Anda.
Jika Anda menghapus akses ke salah satu hibah dengan cara apa pun, Layanan Terkelola Amazon untuk Prometheus tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, atau menyimpan data baru yang dikirim ke ruang kerja, yang memengaruhi operasi yang bergantung pada data tersebut. Data baru yang dikirim ke ruang kerja tidak akan dapat diakses dan mungkin hilang secara permanen.
Awas
-
Jika Anda menonaktifkan kunci, atau menghapus Layanan Terkelola Amazon untuk akses Prometheus dalam kebijakan kunci, data ruang kerja tidak lagi dapat diakses. Data baru yang dikirim ke ruang kerja tidak akan dapat diakses dan mungkin hilang secara permanen.
Anda bisa mendapatkan akses ke data ruang kerja dan mulai menerima data baru lagi dengan memulihkan akses Amazon Managed Service untuk Prometheus ke kunci.
-
Jika Anda mencabut hibah, hibah tidak dapat dibuat ulang, dan data di ruang kerja akan hilang secara permanen.
Langkah 1: Buat kunci yang dikelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau AWS KMS API. Kuncinya tidak harus berada di akun yang sama dengan Layanan Terkelola Amazon untuk ruang kerja Prometheus, selama Anda memberikan akses yang benar melalui kebijakan, seperti yang dijelaskan di bawah ini.
Untuk membuat kunci terkelola pelanggan simetris
Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service Pengembang.
Kebijakan utama
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kunci terkelola pelanggan dengan Layanan Terkelola Amazon untuk ruang kerja Prometheus, operasi API berikut harus diizinkan dalam kebijakan kunci:
-
kms:CreateGrant
— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke kunci KMS tertentu, yang memungkinkan akses untuk memberikan operasi yang diperlukan Amazon Managed Service untuk Prometheus. Untuk informasi selengkapnya, lihat Menggunakan Hibah di Panduan AWS Key Management Service Pengembang.Hal ini memungkinkan Amazon Managed Service untuk Prometheus untuk melakukan hal berikut:
-
Panggilan
GenerateDataKey
untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi. -
Panggilan
Decrypt
untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.
-
-
kms:DescribeKey
— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Layanan Terkelola Amazon untuk Prometheus memvalidasi kunci.
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Amazon Managed Service for Prometheus:
"Statement" : [ { "Sid" : "Allow access to Amazon Managed Service for Prometheus principal within your account", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "aps.
region
.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, { "Sid": "Allow access for key administrators - not required for Amazon Managed Service for Prometheus", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region
:111122223333:key/key_ID
" },<other statements needed for other non-Amazon Managed Service for Prometheus scenarios>
]
-
Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan, lihat Panduan AWS Key Management Service Pengembang.
-
Untuk informasi selengkapnya tentang akses kunci pemecahan masalah, lihat Panduan AWS Key Management Service Pengembang.
Langkah 2: Menentukan kunci yang dikelola pelanggan untuk Amazon Managed Service untuk Prometheus
Saat membuat ruang kerja, Anda dapat menentukan kunci yang dikelola pelanggan dengan memasukkan ARN Kunci KMS, yang digunakan Amazon Managed Service for Prometheus untuk mengenkripsi data yang disimpan oleh ruang kerja.
Langkah 3: Mengakses data dari layanan lain, seperti Grafana yang Dikelola Amazon
Langkah ini opsional — hanya diperlukan jika Anda perlu mengakses Layanan Terkelola Amazon untuk data Prometheus dari layanan lain.
Data terenkripsi Anda tidak dapat diakses dari layanan lain, kecuali mereka juga memiliki akses untuk menggunakan kunci. AWS KMS Misalnya, jika Anda ingin menggunakan Grafana Terkelola Amazon untuk membuat dasbor atau peringatan pada data Anda, Anda harus memberi Amazon Managed Grafana akses ke kunci tersebut.
Untuk memberi Amazon Managed Grafana akses ke kunci terkelola pelanggan Anda
-
Di daftar ruang kerja Amazon Managed Grafana, pilih nama untuk ruang
kerja yang ingin Anda akses ke Amazon Managed Service for Prometheus. Ini menunjukkan kepada Anda informasi ringkasan tentang ruang kerja Grafana Terkelola Amazon Anda. -
Perhatikan nama peran IAM yang digunakan oleh ruang kerja Anda. Namanya ada dalam format
AmazonGrafanaServiceRole-<unique-id>
. Konsol menunjukkan ARN lengkap untuk peran tersebut. Anda akan menentukan nama ini di AWS KMS konsol di langkah selanjutnya. -
Dalam daftar kunci terkelola AWS KMS Pelanggan
, pilih kunci terkelola pelanggan yang Anda gunakan selama pembuatan Layanan Terkelola Amazon untuk ruang kerja Prometheus. Ini membuka halaman detail konfigurasi utama. -
Di sebelah Pengguna utama, pilih tombol Tambah.
-
Dari daftar nama, pilih peran IAM Grafana Terkelola Amazon yang Anda sebutkan di atas. Untuk membuatnya lebih mudah ditemukan, Anda dapat mencari berdasarkan nama, juga.
-
Pilih Tambah untuk menambahkan peran IAM ke daftar pengguna Kunci.
Ruang kerja Grafana Terkelola Amazon Anda sekarang dapat mengakses data di Layanan Terkelola Amazon untuk ruang kerja Prometheus. Anda dapat menambahkan pengguna atau peran lain ke pengguna utama untuk mengaktifkan layanan lain mengakses ruang kerja Anda.
Layanan Terkelola Amazon untuk konteks enkripsi Prometheus
Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.
AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.
Layanan Terkelola Amazon untuk konteks enkripsi Prometheus
Amazon Managed Service untuk Prometheus menggunakan konteks enkripsi yang sama di AWS KMS semua operasi kriptografi, di mana kuncinya aws:amp:arn
dan nilainya adalah Nama Sumber Daya Amazon (ARN) ruang kerja.
"encryptionContext": { "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef" }
Menggunakan konteks enkripsi untuk pemantauan
Bila Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi data ruang kerja Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs.
Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM conditions
untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.
Layanan Terkelola Amazon untuk Prometheus menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef" } } }
Memantau kunci enkripsi Anda untuk Amazon Managed Service untuk Prometheus
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan Layanan Terkelola Amazon untuk ruang kerja Prometheus, Anda dapat menggunakan AWS CloudTrailatau CloudWatch Log Amazon untuk melacak permintaan yang dikirimkan oleh Layanan Terkelola Amazon untuk Prometheus. AWS KMS
Contoh berikut adalah AWS CloudTrail peristiwa untukCreateGrant
,, GenerateDataKey
Decrypt
, dan DescribeKey
untuk memantau operasi KMS yang dipanggil oleh Amazon Managed Service untuk Prometheus untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:
Pelajari selengkapnya
Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.
-
Untuk informasi selengkapnya tentang konsep AWS Key Management Service dasar, lihat Panduan AWS Key Management Service Pengembang.
-
Untuk informasi selengkapnya tentang praktik terbaik Keamanan AWS Key Management Service, lihat Panduan AWS Key Management Service Pengembang.