Crittografia di artefatti canary - Amazon CloudWatch
Aggiornamento della posizione e della crittografia degli artifact quando si utilizza il monitoraggio visivo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia di artefatti canary

CloudWatch Synthetics archivia artefatti canarini come schermateHAR, file e report nel tuo bucket Amazon S3. Per impostazione predefinita, questi artefatti vengono crittografati quando sono inattivi utilizzando una chiave gestita. AWS Per ulteriori informazioni, consulta Customer keys and AWS keys.

Puoi scegliere di utilizzare un'opzione di crittografia diversa. CloudWatch Synthetics supporta quanto segue:

  • SSE-S3 — Crittografia lato server (SSE) con una chiave gestita da Amazon S3.

  • SSE- KMS — Crittografia lato server () con chiave gestita dal cliente. SSE AWS KMS

Se desideri utilizzare l'opzione di crittografia predefinita con una chiave AWS gestita, non hai bisogno di autorizzazioni aggiuntive.

Per usare la crittografia SSE -S3, specifichi SSE_S3 come modalità di crittografia quando crei o aggiorni il tuo canarino. Per utilizzare questa modalità di crittografia non sono necessarie autorizzazioni supplementari. Per ulteriori informazioni, consulta Protezione dei dati utilizzando la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (-S3). SSE

Per utilizzare una chiave gestita AWS KMS dal cliente, devi specificare SSE KMS come modalità di crittografia quando crei o aggiorni il tuo canary e fornisci anche l'Amazon Resource Name (ARN) della tua chiave. Puoi anche utilizzare una chiave per più accountKMS.

Per utilizzare una chiave gestita dal cliente, sono necessarie le seguenti impostazioni:

  • Il IAM ruolo del tuo canarino deve avere il permesso di cifrare i tuoi artefatti usando la tua chiave. Se utilizzi il monitoraggio visivo, è inoltre necessario concedergli l'autorizzazione a decrittare gli artefatti.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Invece di aggiungere autorizzazioni al tuo IAM ruolo, puoi aggiungere il tuo ruolo alla tua politica IAM chiave. Se si usa lo stesso ruolo per più canary, si dovrebbe considerare questo approccio.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Se utilizzi una KMS chiave per più account, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.

Visualizzazione di artefatti canary crittografati quando si utilizza una chiave gestita dal cliente

Per visualizzare gli artefatti di Canary, aggiorna la chiave gestita dal cliente per autorizzare AWS KMS la decrittografia all'utente che visualizza gli artefatti. In alternativa, aggiungete le autorizzazioni di decrittografia all'utente o al ruolo che sta visualizzando gli artefatti. IAM

La AWS KMS politica predefinita abilita IAM le politiche dell'account per consentire l'accesso alle chiavi. KMS Se utilizzi una KMS chiave multiaccount, consulta Perché gli utenti con più account ricevono errori di accesso negato quando tentano di accedere a oggetti Amazon S3 crittografati da una chiave personalizzata? AWS KMS .

Per ulteriori informazioni sulla risoluzione dei problemi di accesso negato a causa di una KMS chiave, consulta Risoluzione dei problemi di accesso tramite chiave.

Aggiornamento della posizione e della crittografia degli artifact quando si utilizza il monitoraggio visivo

Per eseguire il monitoraggio visivo, CloudWatch Synthetics confronta gli screenshot con gli screenshot di base acquisiti durante l'esecuzione selezionata come linea di base. Se si aggiorna la posizione dell'artifact o l'opzione di crittografia, è necessario procedere in uno dei seguenti modi:

  • Assicurati che il tuo IAM ruolo disponga di autorizzazioni sufficienti sia per la precedente sede Amazon S3 che per la nuova sede Amazon S3 per gli artefatti. Assicurati inoltre che disponga dell'autorizzazione per i metodi e le chiavi di crittografia precedenti e nuovi. KMS

  • Creare una nuova linea di base selezionando la prossima canary run come nuova baseline. Se utilizzate questa opzione, dovete solo assicurarvi che il vostro IAM ruolo disponga di autorizzazioni sufficienti per la nuova opzione di localizzazione e crittografia degli artefatti.

Consigliamo la seconda opzione per selezionare l'esecuzione successiva come nuova baseline. Ciò evita di avere una dipendenza da una posizione di artefatto o da un'opzione di crittografia che non stai più usando per il canary.

Ad esempio, supponete che il canarino utilizzi la posizione A degli artefatti e la chiave K per caricare gli artefatti. KMS Se aggiorni il tuo canarino alla posizione degli artefatti B e alla KMS chiave L, puoi assicurarti che il tuo IAM ruolo disponga delle autorizzazioni per entrambe le posizioni degli artefatti (A e B) e per entrambe le chiavi (K e L). KMS In alternativa, puoi selezionare la corsa successiva come nuova linea di base e assicurarti che il tuo IAM ruolo canarino disponga delle autorizzazioni per la posizione B dell'artefatto e la chiave L. KMS