Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)

Usa AWS Key Management Service (AWS KMS) per creare e gestire le chiavi di crittografia. Con AWS KMS, puoi controllare l'utilizzo della crittografia su un'ampia gamma di Servizi AWS e nelle applicazioni. Puoi specificare che i dati della sessione trasmessi tra i nodi gestiti e i computer locali degli utenti nel tuo Account AWS sono crittografati utilizzando la crittografia delle chiavi KMS. (Questo è in aggiunta alla crittografia TLS 1.2 che AWS fornisce già per impostazione predefinita.) Per crittografare i dati Session Manager della sessione, crea una chiave KMS simmetrica utilizzando. AWS KMS

AWS KMSla crittografia è disponibile perStandard_Stream, InteractiveCommands e tipi di sessione. NonInteractiveCommands Per utilizzare l'opzione per crittografare i dati della sessione utilizzando un chiave creata in AWS KMS, la versione 2.3.539.0 o successiva di AWS Systems Manager SSM Agent deve essere installata su un nodo gestito.

Nota

Abilitare la crittografia AWS KMS per ripristinare le password sui nodi gestiti dalla console AWS Systems Manager. Per ulteriori informazioni, consulta Reimpostazione di una password su un nodo gestito.

Puoi utilizzare una chiave creata nell'account Account AWS. Inoltre, puoi utilizzare una chiave che è stata creata in un account Account AWS diverso. Il creatore della chiave in un account Account AWS diverso deve fornire le autorizzazioni necessarie per utilizzare la chiave.

Dopo aver abilitato la crittografia delle chiavi KMS per i dati delle sessioni, gli utenti che avviano le sessioni e i nodi gestiti a cui si connettono devono entrambi disporre dell'autorizzazione per utilizzare la chiave. L'autorizzazione a utilizzare la chiave KMS con Session Manager tramite le policy IAM AWS Identity and Access Management. Per informazioni, consultare gli argomenti seguenti:

• Aggiungi autorizzazioni AWS KMS per gli utenti nell'account: Policy IAM di esempio per Session Manager.

• Aggiungi autorizzazioni AWS KMS per i nodi gestiti nell'account: Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager.

Per ulteriori informazioni sulla creazione di una chiave KMS, consulta la Guida per gli sviluppatori di AWS Key Management Service.

Per informazioni su come utilizzare AWS CLI per abilitare la crittografia delle chiavi KMS per i dati delle sessioni nell'account, consulta Creare un documento di preferenze di Session Manager (riga di comando) or Aggiornamento delle preferenze Session Manager (riga di comando).

Nota

C'è un addebito per l'utilizzo delle chiavi KMS. Per informazioni, consulta Prezzi di AWS Key Management Service.

Attivare la crittografia delle chiavi KMS per i dati delle sessioni (console)

1. Apri la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel riquadro di navigazione, scegli Session Manager.

3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

4. Selezionare la casella di controllo accanto ad Abilita la crittografia KMS.

5. Esegui una di queste operazioni:

   • Scegliere il pulsante accanto a Seleziona una chiave KMS nel mio account corrente, quindi seleziona una chiave dall'elenco.

     oppure

     Scegliere il pulsante accanto a Enter a KMS key alias or KMS key ARN (Immetti un alias della chiave o un ARN della chiave KMS). Immettere manualmente un alias della chiave KMS per una chiave creata nell'account corrente o immettere l'Amazon Resource Name (ARN) della chiave per una chiave in un altro account. Di seguito vengono mostrati gli esempi:

     • Alias della chiave: alias/my-kms-key-alias

     • ARN della chiave: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

     oppure

     Scegliere Create new key (Crea nuova chiave) per creare una nuova KMS nel proprio account. Una volta creata la nuova chiave, tornare alla scheda Preferences (Preferenze) e selezionare la chiave per crittografare i dati della sessione nel proprio account.

   Per ulteriori informazioni sulla condivisione di chiavi, consultare Consentire ad account Account AWS esterni di accedere a una chiave nella Guida per sviluppatori di AWS Key Management Service.

6. Selezionare Salva.