View a markdown version of this page

Crittografia a riposo per AWS DevOps Agent - AWS DevOps Agente
Chiavi gestite dal clienteAWS DevOps Contesto di crittografia dell'agenteGestione delle chiaviMonitoraggio delle chiavi di crittografia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia a riposo per AWS DevOps Agent

AWS DevOps L'agente crittografa tutti i dati dei clienti inattivi. Per impostazione predefinita, AWS DevOps Agent utilizza chiavi AWS proprietarie per crittografare automaticamente i dati senza costi aggiuntivi. Non è possibile visualizzare, gestire o controllare l'uso delle chiavi di AWS proprietà. Tuttavia, non è necessario intraprendere alcuna azione per proteggere queste chiavi. I tuoi dati vengono protetti automaticamente.

Puoi scegliere di crittografare i tuoi dati utilizzando una chiave simmetrica gestita dal cliente che crei, possiedi e gestisci in AWS Key Management Service (KMS).AWS Poiché hai il pieno controllo di questo livello di crittografia, puoi eseguire attività come le seguenti:

  • Stabilire e mantenere le policy delle chiavi

  • Abilitare e disabilitare le policy delle chiavi

  • Ruotare i materiali crittografici delle chiavi

  • Aggiungere tag

  • Creare alias delle chiavi

  • Pianificare l’eliminazione delle chiavi

Per ulteriori informazioni, consulta Customer managed keys nella AWS Key Management Service Developer Guide.

Nota

AWS DevOps L'agente abilita automaticamente la crittografia dei dati AWS inattivi utilizzando chiavi proprietarie per proteggere gratuitamente i dati dei clienti. Le tariffe AWS KMS standard si applicano quando si utilizza una chiave gestita dal cliente. Per ulteriori informazioni sui prezzi, consulta i prezzi del servizio di gestione delle AWS chiavi.

Chiavi gestite dal cliente

Le chiavi gestite dal cliente sono chiavi KMS del tuo AWS account che crei, possiedi e gestisci. Hai il pieno controllo su queste chiavi KMS, inclusa la definizione e il mantenimento delle relative politiche chiave.

Quando configuri una chiave gestita dal cliente, AWS DevOps Agent la utilizza per proteggere i dati sensibili delle risorse. AWS DevOps Agent utilizza la crittografia a busta con il portachiavi gerarchico AWS Encryption SDK. La chiave KMS viene utilizzata per generare chiavi di filiale, che a loro volta proteggono i dati.

Puoi specificare una chiave gestita dal cliente quando crei le seguenti risorse:

  • Agent Space: crittografa i dettagli e i contenuti di Agent Space creati dall' DevOps Agent Web App relativi a indagini, competenze e chat.

  • Servizio: crittografa le credenziali di servizio di terze parti inutilizzate.

Per configurare una chiave gestita dal cliente in AWS DevOps Agent, segui questi passaggi.

Fase 1: creare una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando la console AWS KMS o l' AWS API KMS. La chiave deve soddisfare i seguenti requisiti:

Proprietà Requisito
Tipo di chiavi Simmetria
Specifica della chiave SYMMETRIC_DEFAULT
Utilizzo delle chiavi ENCRYPT_DECRYPT
Nota

AWS DevOps L'agente supporta solo chiavi KMS con crittografia simmetrica con le specifiche della SYMMETRIC_DEFAULT chiave e l'utilizzo della chiave. ENCRYPT_DECRYPT Le chiavi multiregionali e le chiavi asimmetriche non sono attualmente supportate.

Per ulteriori informazioni, consulta Creazione di una chiave simmetrica gestita dal cliente nella Key Management Service Developer Guide.AWS

Fase 2: Impostare la politica chiave

Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare.

La tua policy chiave deve concedere le autorizzazioni sia al principale chiamante (la tua identità IAM) che al servizio AWS DevOps Agent. AWS DevOps L'agente accede alla tua chiave utilizzando due set di credenziali:

  1. Le credenziali del chiamante: utilizzate per tutte le operazioni sincrone, tra cui la convalida delle chiavi, la crittografia al momento della creazione delle risorse e qualsiasi chiamata API che restituisca una risposta diretta al chiamante.

  2. AWS DevOps Agent Service Principal: utilizzato per operazioni asincrone eseguite in background, come indagini operative, analisi degli incidenti, correlazione degli eventi e generazione di analisi delle cause principali.

La tabella seguente elenca le azioni KMS richieste:

Azione KMS Description
kms:DescribeKey Convalida la configurazione delle chiavi al momento della creazione delle risorse
kms:GenerateDataKey Genera chiavi di crittografia dei dati per la crittografia delle buste
kms:Decrypt Decrittare i dati
kms:Encrypt Crittografare i dati
kms:ReEncrypt Crittografa nuovamente i dati con la stessa chiave o con una chiave diversa

AWS DevOps L'agente convalida tutte queste autorizzazioni al momento della configurazione utilizzando operazioni di esecuzione a secco. Se manca un'autorizzazione, la richiesta ha esito negativo con un'eccezione.

Di seguito è riportato un esempio di policy della chiave. Sostituisci i valori segnaposto con i tuoi.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCallerAccessViaService",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/DevOpsAgentUserRole"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aidevops.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowDevOpsAgentServiceDescribeKeyAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowDevOpsAgentAccessForAgentSpace",
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:us-east-1:111122223333:agentspace/*"
        },
        "StringLike": {
          "kms:EncryptionContext:aws-crypto-ec:aws:aidevops:arn": "arn:aws:aidevops:us-east-1:111122223333:agentspace/*"
        }
      }
    },
    {
      "Sid": "AllowDevOpsAgentAccessForService",
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:us-east-1:111122223333:service/*"
        },
        "StringLike": {
          "kms:EncryptionContext:aws-crypto-ec:aws:aidevops:arn": "arn:aws:aidevops:us-east-1:111122223333:service/*"
        }
      }
    }
  ]
}

La politica contiene le seguenti dichiarazioni:

  • AllowKeyAdministration— Concede alla radice dell'account l'accesso amministrativo completo alla chiave. 111122223333Sostituiscila con l'ID AWS del tuo account.

  • AllowCallerAccessViaService— Concede ai responsabili IAM le autorizzazioni KMS necessarie per tutte le operazioni sincrone degli agenti. AWS DevOps Ciò include la convalida delle chiavi al momento della creazione delle risorse, nonché le operazioni di crittografia e decrittografia per qualsiasi chiamata API che restituisca una risposta diretta al chiamante. La kms:ViaService condizione garantisce che sia possibile utilizzare la chiave solo tramite il servizio Agent. AWS DevOps 111122223333Sostituiscila con l'ID AWS del tuo account e us-east-1 con la tua AWS regione.

  • AllowDevOpsAgentServiceAccessForAgentSpace/AllowDevOpsAgentServiceAccessForService— Concede al responsabile del aidevops.amazonaws.com servizio le autorizzazioni KMS necessarie per le operazioni asincrone. AWS DevOps L'agente utilizza questo principio di servizio per crittografare e decrittografare i dati durante l'esecuzione di operazioni in background come indagini operative, analisi degli incidenti, correlazione di eventi tra i servizi e generazione di analisi delle cause principali. Senza questo accesso, l' AWS DevOps Agent non può leggere i dati crittografati necessari per svolgere indagini per conto dell'utente. La aws:SourceArn condizione limita l'accesso alle richieste provenienti dalle risorse AWS DevOps dell'agente e garantisce che il kms:EncryptionContext contesto di crittografia corrisponda alla risorsa. ARNs 111122223333Sostituiscilo con l'ID AWS del tuo account e us-east-1 con la tua AWS regione.

Per ulteriori informazioni sulle politiche chiave, consulta le politiche chiave in AWS KMS nella AWS Key Management Service Developer Guide.

Passaggio 3: Specificare la chiave durante la creazione di una risorsa

Dopo aver creato la chiave e configurato la politica chiave, è possibile specificare la chiave durante la creazione delle risorse AWS DevOps dell'agente.

Console

Per configurare una chiave gestita dal cliente durante la creazione di un Agent Space nella console:

  1. Apri la console AWS DevOps dell'agente.

  2. Scegli Create Agent Space o Register Service.

  3. Inserisci i dettagli dello spazio dell'agente (nome, descrizione e ruolo IAM).

  4. Espandi la sezione Configurazione avanzata.

  5. In Tipo di chiave di crittografia, seleziona Chiave gestita dal cliente.

  6. Scegli una chiave KMS dall'elenco a discesa o inserisci un ARN per la chiave KMS.

  7. Rivedi la politica chiave visualizzata nella sezione Politica chiave espandibile. Assicurati di aver allegato questa politica alla tua chiave KMS. Puoi utilizzare il pulsante Copia per copiare la politica.

  8. Completa la configurazione rimanente e scegli Crea.

Nota

Se non vedi la tua chiave KMS nell'elenco a discesa, verifica che la chiave soddisfi i requisiti del passaggio 1 e di disporre kms:ListKeys delle autorizzazioni necessarie. kms:DescribeKey

"Hello, World!"

Creazione di un Agent Space con una chiave gestita dal cliente

Specificate il kmsKeyArn parametro quando create uno spazio agente. Il valore deve essere l'ARN completo della chiave KMS.

{
  "name": "my-agent-space",
  "description": "An encrypted agent space",
  "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
Registrazione di un servizio con una chiave gestita dal cliente

Specificare il kmsKeyArn parametro al momento della registrazione di un servizio. Il valore deve essere l'ARN completo della chiave KMS. Questo parametro è supportato in tutti i tipi di servizio, inclusi i server Dynatrace,, ServiceNow PagerDuty GitLab GitHub, e MCP.

{
  "service": "dynatrace",
  "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "serviceDetails": { ... }
}
Nota

È necessario specificare la chiave gestita dal cliente al momento della creazione della risorsa. Non è possibile aggiungere o modificare la chiave gestita dal cliente per una risorsa esistente.

AWS DevOps Contesto di crittografia dell'agente

Un contesto di crittografia è un insieme di coppie chiave-valore non segrete che contengono informazioni contestuali aggiuntive sui dati. AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, è necessario includere lo stesso contesto di crittografia nella richiesta.

AWS DevOps L'agente utilizza il seguente contesto di crittografia in tutte le operazioni crittografiche:

{
  "aws-crypto-ec:aws:aidevops:arn": "arn:aws:aidevops:{region}:{accountId}:{resourceType}/{resourceId}"
}

Il valore del contesto di crittografia è l'ARN della risorsa AWS DevOps Agent da crittografare. È possibile utilizzare questo contesto di crittografia nelle condizioni della politica chiave e nei AWS CloudTrail registri per verificare come viene utilizzata la chiave.

Gestione delle chiavi

Se disabiliti o pianifichi l'eliminazione della tua chiave KMS, AWS DevOps Agent non può decrittografare i tuoi dati. Ciò comporta AccessDeniedException errori nelle operazioni di lettura dei dati crittografati.

Importante

Se scegli di utilizzare una chiave gestita dal cliente, sei responsabile della gestione della chiave e delle relative autorizzazioni. Se la chiave viene disabilitata o eliminata, o se AWS DevOps Agent perde l'autorizzazione a utilizzare la chiave, si perde l'accesso ai dati crittografati.

La tabella seguente descrive gli scenari di errore più comuni:

Azione Impatto
Autorizzazioni politiche chiave revocate AccessDeniedExceptionsulle operazioni di crittografia e decrittografia
La chiave KMS è disabilitata DisabledExceptionsulle operazioni di crittografia e decrittografia
La chiave KMS è pianificata per l'eliminazione KMSInvalidStateExceptionsulle operazioni di crittografia e decrittografia
La chiave KMS viene eliminata Perdita permanente dei dati: i dati crittografati non possono essere recuperati

Prima di disabilitare o eliminare una chiave:

  1. Verificate che nessuna risorsa attiva AWS DevOps dell'agente dipenda dalla chiave.

  2. Valuta la possibilità di disabilitare prima la chiave per testarne l'impatto prima di pianificare l'eliminazione.

  3. AWS KMS impone un periodo di attesa minimo prima dell'eliminazione della chiave, dandoti il tempo di annullare se necessario.

Monitoraggio delle chiavi di crittografia

Quando utilizzi una chiave gestita dal cliente con AWS DevOps Agent, puoi utilizzarla AWS CloudTrailper tenere traccia delle richieste che l' AWS DevOps agente invia a AWS KMS.

Puoi filtrare CloudTrail gli eventi per:

  • Fonte dell'evento: kms.amazonaws.com

  • Chiave contestuale di crittografia: aws-crypto-ec:aws:aidevops:arn

  • Key ARN: l'ARN chiave gestito dal cliente nei parametri della richiesta

Per ulteriori informazioni, consulta la sezione Registrazione delle chiamate all'API AWS KMS AWS CloudTrail nella AWS Key Management Service Developer Guide.