AWS-EnableS3BucketKeys - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS-EnableS3BucketKeys

Descrizione

Il AWS-EnableS3BucketKeys runbook abilita Bucket Keys sul bucket Amazon Simple Storage Service (Amazon S3) specificato dall'utente. Questa chiave a livello di bucket crea chiavi dati per nuovi oggetti durante il suo ciclo di vita. Se non specifichi un valore per il KmsKeyId parametro, la crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3) viene utilizzata per la configurazione di crittografia predefinita.

Nota

Le chiavi Bucket di Amazon S3 non sono supportate per la crittografia lato server a doppio livello con AWS Key Management Service () chiavi (-).AWS KMS DSSE KMS

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • BucketName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome del bucket S3 per il quale desideri abilitare Bucket Keys.

  • KMSKeyId

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN), l'ID della chiave o l'alias chiave della chiave gestita dal cliente AWS Key Management Service (AWS KMS) che desideri utilizzare per la crittografia lato server.

Autorizzazioni richieste IAM

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • s3:GetEncryptionConfiguration

  • s3:PutEncryptionConfiguration

Fasi del documento

  • ChooseEncryptionType (aws:branch) - Valuta il valore fornito per il KmsKeyId parametro per determinare se verranno utilizzati SSE -S3 (AES256) o -. SSE KMS

  • PutBucketKeysKMS(aws:executeAwsApi) - Imposta la BucketKeyEnabled proprietà su true per il bucket S3 specificato utilizzando lo specificato. KmsKeyId

  • PutBucketKeysAES256(aws:executeAwsApi) - Imposta la BucketKeyEnabled proprietà su true per il bucket S3 specificato con crittografia. AES256

  • verifyS3 BucketKeysEnabled (aws: assertAwsResource Property): verifica che le Bucket Keys siano abilitate sul bucket S3 di destinazione.