View a markdown version of this page

Criptografia em repouso para AWS DevOps Agent - AWS DevOps Agente
Chaves gerenciadas pelo clienteAWS DevOps Contexto de criptografia do agenteGerenciamento de chavesMonitorar suas chaves de criptografia

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso para AWS DevOps Agent

AWS DevOps O agente criptografa todos os dados do cliente em repouso. Por padrão, o AWS DevOps Agente usa chaves AWS próprias para criptografar automaticamente seus dados sem custo adicional. Você não pode visualizar, gerenciar ou auditar o uso de chaves AWS próprias. No entanto, você não precisa realizar nenhuma ação para proteger essas chaves. Seus dados são protegidos automaticamente.

Você pode optar por criptografar seus dados usando uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia no AWS Key Management Service (AWS KMS). Como você tem controle total dessa camada de criptografia, você pode executar tarefas como as seguintes:

  • Estabelecer e manter as políticas de chave

  • Habilitar e desabilitar políticas de chaves

  • Alternar os materiais de criptografia de chave

  • Adicionar etiquetas

  • Criar réplicas de chaves

  • Chaves de agendamento para exclusão

Para obter mais informações, consulte Chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

nota

AWS DevOps O agente ativa automaticamente a criptografia em repouso usando chaves AWS próprias para proteger os dados do cliente sem nenhum custo. As cobranças padrão do AWS KMS se aplicam quando você usa uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte Preços do AWS Key Management Service.

Chaves gerenciadas pelo cliente

As chaves gerenciadas pelo cliente são chaves KMS em sua AWS conta que você cria, possui e gerencia. Você tem controle total sobre essas chaves do KMS, incluindo o estabelecimento e a manutenção de suas principais políticas.

Quando você configura uma chave gerenciada pelo cliente, o AWS DevOps Agente a usa para proteger dados confidenciais de recursos. AWS DevOps O agente usa criptografia de envelope com o chaveiro hierárquico do AWS Encryption SDK. Sua chave KMS é usada para gerar chaves de ramificação, que por sua vez protegem seus dados.

Você pode especificar uma chave gerenciada pelo cliente ao criar os seguintes recursos:

  • Espaço do Agente — Criptografa os detalhes e o conteúdo do Agent Space criados a partir do DevOps Agent Web App relacionados a investigações, habilidades e bate-papo.

  • Serviço — Criptografa as credenciais de serviços de terceiros em repouso.

Para configurar uma chave gerenciada pelo cliente no AWS DevOps Agent, siga estas etapas.

Etapa 1: criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o console do AWS KMS ou a API do AWS KMS. A chave deve atender aos seguintes requisitos:

Propriedade Requisito
Tipo de chave Simétrica
Especificação da chave SYMMETRIC_DEFAULT
Uso da chave ENCRYPT_DECRYPT
nota

AWS DevOps O agente só oferece suporte a chaves KMS de criptografia simétrica com a especificação da SYMMETRIC_DEFAULT chave e o uso da ENCRYPT_DECRYPT chave. Atualmente, não há suporte para chaves multirregionais e chaves assimétricas.

Para obter mais informações, consulte Criação de uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

Etapa 2: definir a política de chaves

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chave, que contém declarações que determinam quem pode usar a chave e como pode usá-la.

Sua política de chaves deve conceder permissões tanto para o responsável pela chamada (sua identidade do IAM) quanto para o serviço do AWS DevOps agente. AWS DevOps O agente acessa sua chave usando dois conjuntos de credenciais:

  1. Suas credenciais de chamador — usadas para todas as operações síncronas, incluindo validação de chave, criptografia no momento da criação do recurso e qualquer chamada de API que retorne uma resposta direta ao chamador.

  2. AWS DevOps Agent Service Principal — Usado para operações assíncronas executadas em segundo plano, como investigações operacionais, análise de incidentes, correlação de eventos e geração de análise de causa raiz.

A tabela a seguir lista as ações necessárias do KMS:

Ação KMS Description
kms:DescribeKey Valide a configuração da chave no momento da criação do recurso
kms:GenerateDataKey Gere chaves de criptografia de dados para criptografia de envelope
kms:Decrypt Descriptografar dados
kms:Encrypt Criptografar dados
kms:ReEncrypt Criptografe novamente os dados com a mesma chave ou com uma chave diferente

AWS DevOps O agente valida todas essas permissões no momento da configuração usando operações de execução a seco. Se alguma permissão estiver ausente, a solicitação falhará com uma exceção.

Veja a seguir um exemplo de política de chave. Substitua os valores do espaço reservado pelos seus.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCallerAccessViaService",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/DevOpsAgentUserRole"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aidevops.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowDevOpsAgentServiceDescribeKeyAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowDevOpsAgentAccessForAgentSpace",
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:us-east-1:111122223333:agentspace/*"
        },
        "StringLike": {
          "kms:EncryptionContext:aws-crypto-ec:aws:aidevops:arn": "arn:aws:aidevops:us-east-1:111122223333:agentspace/*"
        }
      }
    },
    {
      "Sid": "AllowDevOpsAgentAccessForService",
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:us-east-1:111122223333:service/*"
        },
        "StringLike": {
          "kms:EncryptionContext:aws-crypto-ec:aws:aidevops:arn": "arn:aws:aidevops:us-east-1:111122223333:service/*"
        }
      }
    }
  ]
}

A política contém as seguintes declarações:

  • AllowKeyAdministration— Concede à raiz da conta acesso administrativo total à chave. 111122223333Substitua pelo ID AWS da sua conta.

  • AllowCallerAccessViaService— Concede aos seus diretores do IAM as permissões KMS necessárias para todas as operações AWS DevOps síncronas do agente. Isso inclui a validação da chave no momento da criação do recurso, bem como operações de criptografia e descriptografia para qualquer chamada de API que retorne uma resposta direta ao chamador. A kms:ViaService condição garante que você possa usar a chave somente por meio do serviço de AWS DevOps agente. 111122223333Substitua pelo ID AWS da sua conta e us-east-1 pela sua AWS região.

  • AllowDevOpsAgentServiceAccessForAgentSpace/AllowDevOpsAgentServiceAccessForService— Concede ao responsável pelo aidevops.amazonaws.com serviço as permissões KMS necessárias para operações assíncronas. AWS DevOps O agente usa esse princípio de serviço para criptografar e descriptografar seus dados ao realizar operações em segundo plano, como investigações operacionais, analisar incidentes, correlacionar eventos entre serviços e gerar análises de causa raiz. Sem esse acesso, o AWS DevOps Agente não pode ler os dados criptografados necessários para realizar investigações em seu nome. A aws:SourceArn condição restringe o acesso às solicitações provenientes dos recursos do seu AWS DevOps Agente e garante que o kms:EncryptionContext contexto de criptografia corresponda ao seu recurso. ARNs 111122223333Substitua pelo ID AWS da sua conta e us-east-1 pela sua AWS região.

Para obter mais informações sobre políticas principais, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Etapa 3: especificar a chave ao criar um recurso

Depois de criar sua chave e configurar a política de chaves, você pode especificar a chave ao criar recursos do AWS DevOps Agente.

Console

Para configurar uma chave gerenciada pelo cliente ao criar um Espaço do Agente no console:

  1. Abra o console do AWS DevOps agente.

  2. Escolha Criar espaço de agente ou Registrar serviço.

  3. Insira os detalhes do espaço do agente (nome, descrição e função do IAM).

  4. Expanda a seção Configuração avançada.

  5. Em Tipo de chave de criptografia, selecione Chave gerenciada pelo cliente.

  6. Escolha uma chave KMS na lista suspensa ou insira um ARN da chave KMS.

  7. Revise a política de chaves exibida na seção Política de chaves expansível. Certifique-se de ter anexado essa política à sua chave KMS. Você pode usar o botão copiar para copiar a política.

  8. Conclua a configuração restante e escolha Criar.

nota

Se você não vê sua chave KMS na lista suspensa, verifique se a chave atende aos requisitos da Etapa 1 e se você tem kms:ListKeys permissões. kms:DescribeKey

solicitações de

Criação de um espaço de agente com uma chave gerenciada pelo cliente

Especifique o kmsKeyArn parâmetro ao criar um espaço de agente. O valor deve ser o ARN completo da chave KMS.

{
  "name": "my-agent-space",
  "description": "An encrypted agent space",
  "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
Registrando um serviço com uma chave gerenciada pelo cliente

Especifique o kmsKeyArn parâmetro ao registrar um serviço. O valor deve ser o ARN completo da chave KMS. Esse parâmetro é suportado em todos os tipos de serviço, incluindo servidores Dynatrace ServiceNow,, PagerDuty, GitLab GitHub, e MCP.

{
  "service": "dynatrace",
  "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "serviceDetails": { ... }
}
nota

Você deve especificar a chave gerenciada pelo cliente no momento da criação do recurso. Você não pode adicionar ou alterar a chave gerenciada pelo cliente para um recurso existente.

AWS DevOps Contexto de criptografia do agente

Um contexto de criptografia é um conjunto de pares de valores-chave não secretos que contêm informações contextuais adicionais sobre os dados. AWS O KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar dados, você deve incluir o mesmo contexto de criptografia na solicitação.

AWS DevOps O agente usa o seguinte contexto de criptografia em todas as operações criptográficas:

{
  "aws-crypto-ec:aws:aidevops:arn": "arn:aws:aidevops:{region}:{accountId}:{resourceType}/{resourceId}"
}

O valor do contexto de criptografia é o ARN do recurso do AWS DevOps agente que está sendo criptografado. Você pode usar esse contexto de criptografia em suas principais condições de política e em AWS CloudTrail registros para auditar como sua chave está sendo usada.

Gerenciamento de chaves

Se você desativar ou programar a exclusão da sua chave KMS, o AWS DevOps Agente não poderá descriptografar seus dados. Isso resulta em AccessDeniedException erros nas operações que lêem dados criptografados.

Importante

Se você optar por usar uma chave gerenciada pelo cliente, será responsável por gerenciar a chave e suas permissões. Se a chave for desativada ou excluída, ou se o AWS DevOps Agente perder a permissão para usar a chave, você perderá o acesso aos dados criptografados.

A tabela a seguir descreve cenários de falha comuns:

Ação Impacto
Principais permissões de política revogadas AccessDeniedExceptionem operações de criptografia e descriptografia
A chave KMS está desativada DisabledExceptionem operações de criptografia e descriptografia
A chave KMS está programada para exclusão KMSInvalidStateExceptionem operações de criptografia e descriptografia
A chave KMS é excluída Perda permanente de dados — dados criptografados não podem ser recuperados

Antes de desativar ou excluir uma chave:

  1. Verifique se nenhum recurso ativo do AWS DevOps Agente depende da chave.

  2. Considere desativar a chave primeiro para testar o impacto antes de programar a exclusão.

  3. AWS O KMS impõe um período mínimo de espera antes da exclusão da chave, dando a você tempo para cancelar, se necessário.

Monitorar suas chaves de criptografia

Ao usar uma chave gerenciada pelo cliente com o AWS DevOps Agent, você pode usar AWS CloudTrailpara rastrear as solicitações que o AWS DevOps Agente envia ao AWS KMS.

Você pode filtrar CloudTrail eventos por:

  • Fonte do eventokms.amazonaws.com

  • Chave de contexto de criptografiaaws-crypto-ec:aws:aidevops:arn

  • ARN da chave — Seu cliente gerenciou o ARN da chave nos parâmetros da solicitação

Para obter mais informações, consulte Registrar chamadas da API AWS KMS com AWS CloudTrail o AWS Key Management Service Developer Guide.