Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate Informazioni aggiuntive

Crea un IDE AWS Cloud9 che utilizza volumi Amazon EBS con crittografia predefinita

Creato da Janardhan Malyala (AWS) e Dhrubajyoti Mukherjee (AWS)

Ambiente: produzione	Tecnologie: operazioni	Carico di lavoro: tutti gli altri carichi di lavoro
Servizi AWS: AWS Cloud9; AWS KMS

Riepilogo

Puoi utilizzare la crittografia di default per applicare la crittografia dei tuoi volumi Amazon Elastic Block Store (Amazon EBS) e delle copie degli snapshot sul cloud Amazon Web Services (AWS).

Puoi creare un ambiente di sviluppo integrato (IDE) AWS Cloud9 che utilizza volumi EBS crittografati per impostazione predefinita. Tuttavia, il ruolo collegato al servizio AWS Identity and Access Management (IAM) per AWS Cloud9 richiede l'accesso alla chiave AWS Key Management Service (AWS KMS) per questi volumi EBS. Se l'accesso non viene fornito, l'IDE AWS Cloud9 potrebbe non riuscire ad avviarsi e il debug potrebbe essere difficile.

Questo modello fornisce i passaggi per aggiungere il ruolo collegato ai servizi per AWS Cloud9 alla chiave AWS KMS utilizzata dai volumi EBS. La configurazione descritta da questo modello ti aiuta a creare e avviare con successo un IDE che utilizza volumi EBS con crittografia per impostazione predefinita.

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo.
La crittografia predefinita è attivata per i volumi EBS. Per ulteriori informazioni sulla crittografia predefinita, consulta la crittografia di Amazon EBS nella documentazione di Amazon Elastic Compute Cloud (Amazon EC2).
Una chiave KMS esistente gestita dal cliente per crittografare i volumi EBS.

Nota: non è necessario creare il ruolo collegato ai servizi per AWS Cloud9. Quando crei un ambiente di sviluppo AWS Cloud9, AWS Cloud9 crea il ruolo collegato al servizio per te.

Architettura

Stack tecnologico

AWS Cloud9
IAM
AWS KMS

Strumenti

AWS Cloud9 è un ambiente di sviluppo integrato (IDE) che ti aiuta a codificare, creare, eseguire, testare ed eseguire il debug del software. Ti aiuta anche a rilasciare software nel cloud AWS.
Amazon Elastic Block Store (Amazon EBS) fornisce volumi di storage a livello di blocco da utilizzare con le istanze Amazon Elastic Compute Cloud (Amazon EC2).
AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.
AWS Key Management Service (AWS KMS) ti aiuta a creare e controllare chiavi crittografiche per proteggere i tuoi dati.

Epiche

Attività	Descrizione	Competenze richieste
Registra il valore della chiave di crittografia predefinita per i volumi EBS.	Accedi alla Console di gestione AWS e apri la console Amazon EC2. Scegli la dashboard EC2, quindi scegli Protezione e sicurezza dei dati negli attributi dell'account. Nella sezione Crittografia EBS, copia e registra il valore nella chiave di crittografia predefinita.	Architetto del cloud, DevOps ingegnere

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Fornisci ad AWS Cloud9 l'accesso alla chiave KMS per i volumi EBS.	Apri la console AWS KMS, quindi scegli Customer managed keys. Seleziona la chiave AWS KMS utilizzata per la crittografia Amazon EBS, quindi scegli Visualizza chiave. Nella scheda Key policy, conferma di poter visualizzare il formato testuale della policy chiave. Se non riesci a visualizzare il modulo di testo, scegli Passa alla visualizzazione delle norme. Scegli Modifica. Aggiungi il codice nella sezione Informazioni aggiuntive alla politica, quindi scegli Salva modifiche. Le modifiche alle policy consentono al ruolo collegato al servizio di AWS Cloud9`AWSServiceRoleForAWSCloud9`, di accedere alla chiave. Per ulteriori informazioni sull'aggiornamento di una policy chiave, consulta How to change a key policy (documentazione AWS KMS). Importante: il ruolo collegato ai servizi per AWS Cloud9 viene creato automaticamente all'avvio del primo IDE. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella documentazione di AWS Cloud9.	Architetto del cloud, ingegnere DevOps

Fornisci ad AWS Cloud9 l'accesso alla chiave KMS per i volumi EBS.

Apri la console AWS KMS, quindi scegli Customer managed keys. Seleziona la chiave AWS KMS utilizzata per la crittografia Amazon EBS, quindi scegli Visualizza chiave.
Nella scheda Key policy, conferma di poter visualizzare il formato testuale della policy chiave. Se non riesci a visualizzare il modulo di testo, scegli Passa alla visualizzazione delle norme.
Scegli Modifica. Aggiungi il codice nella sezione Informazioni aggiuntive alla politica, quindi scegli Salva modifiche. Le modifiche alle policy consentono al ruolo collegato al servizio di AWS Cloud9AWSServiceRoleForAWSCloud9, di accedere alla chiave.

Per ulteriori informazioni sull'aggiornamento di una policy chiave, consulta How to change a key policy (documentazione AWS KMS).

Importante: il ruolo collegato ai servizi per AWS Cloud9 viene creato automaticamente all'avvio del primo IDE. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella documentazione di AWS Cloud9.

Architetto del cloud, ingegnere DevOps

Attività	Descrizione	Competenze richieste
Crea e avvia l'IDE AWS Cloud9.	Apri la console AWS Cloud9 e scegli Crea ambiente. Configura l'IDE in base alle tue esigenze seguendo i passaggi descritti in Creazione di un ambiente EC2 nella documentazione di AWS Cloud9.	Architetto del cloud, ingegnere DevOps

Risorse correlate

Informazioni aggiuntive

Aggiornamenti delle policy chiave di AWS KMS

Sostituisci <aws_accountid> con il tuo ID account AWS.


{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }

Utilizzo di una chiave per più account

Se desideri utilizzare una chiave KMS per più account, devi utilizzare una concessione in combinazione con la politica delle chiavi KMS. Ciò consente l'accesso alla chiave da più account. Nello stesso account che hai usato per creare l'ambiente Cloud9, esegui il seguente comando nel terminale.


aws kms create-grant \
 --region <Region where Cloud9 environment is created> \
 --key-id <The cross-account KMS key ARN> \
 --grantee-principal arn:aws:iam::<The account where Cloud9 environment is created>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9 \
 --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"

Dopo aver eseguito questo comando, puoi creare ambienti Cloud9 utilizzando la crittografia EBS con una chiave in un account diverso.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crea una matrice RACI per le operazioni cloud

Crea dashboard basate su tag automaticamente CloudWatch