Habilitar a criptografia de chaves do AWS KMS de dados de sessão (console) - AWS Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar a criptografia de chaves do AWS KMS de dados de sessão (console)

Use o AWS Key Management Service (AWS KMS) para criar e gerenciar chaves. Com o AWS KMS, você pode controlar o uso da criptografia em uma grande variedade de serviços da AWS e nos seus aplicativos. É possível especificar que os dados da sessão transmitidos entre as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e os computadores locais dos usuários na sua conta da AWS sejam criptografados usando a criptografia de chaves do AWS KMS. (Isso é uma adição à criptografia TLS 1.2 que o AWS já fornece por padrão.) A criptografia de chaves do AWS KMS para sessões é realizada usando uma chave mestra de cliente (CMK) criada no AWS KMS. Para usar a opção para criptografar dados de sessão usando uma CMK criada no AWS KMS, a versão 2.3.539.0 ou posterior do Agente do SSM deve ser instalada na instância gerenciada.

nota

Você deve habilitar a criptografia do AWS KMS para redefinir senhas em suas instâncias gerenciadas no console do Systems Manager. Para obter mais informações, consulte Redefinir uma senha em uma instância gerenciada.

Você pode usar uma chave que criou na sua conta da AWS. Também pode usar uma chave criada em uma conta da AWS diferente. O criador da chave em uma conta diferente da AWS deve fornecer as permissões necessárias para usar a chave.

Depois que você habilitar a criptografia de chaves do AWS KMS para dados de sessão, os usuários que iniciarem sessões e as instâncias às quais eles se conectarem deverão ter permissão para usar essa chave. Você fornece permissão para usar a CMK com o Session Manager por meio de políticas do IAM. Para obter informações, consulte os tópicos a seguir:

Para obter mais informações sobre a criação e o gerenciamento de chaves do AWS KMS, consulte o AWS Key Management Service Developer Guide.

Para obter informações sobre como usar a AWS CLI para habilitar a criptografia de chaves do AWS KMS de dados de sessão na sua conta, consulte Criar preferências do Session Manager (linha de comando) ou Atualizar preferências do Session Manager (linha de comando).

nota

Há uma cobrança pelo uso do CMKs. Para obter informações, consulte Definição de preço do AWS Key Management Service.

Para habilitar a criptografia de chaves do AWS KMS de dados de sessão (console)

  1. Abrir o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Session Manager.

  3. Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).

  4. Marque a caixa de seleção ao lado de Key Management Service (KMS).

  5. Faça uma das coisas a seguir:

    • Escolha o botão ao lado de Select an AWS KMS key in my current account (Selecione uma chave KMS em minha conta atual) e selecione uma chave na lista.

      -ou-

      Escolha o botão ao lado de Enter a KMS key alias or KMS key ARN (Insira um alias de chave KMS ou um ARN de chave KMS). Insira manualmente um alias de chave do AWS KMS para uma chave criada na sua conta atual ou insira o nome de recurso da Amazon (ARN) da chave para uma chave em outra conta. Veja os exemplos a seguir:

      • Alias da chave: alias/my-kms-key-alias

      • Nome de região da Amazon (ARN) do alias da chave: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

      -ou-

      Escolha Create new key (Criar nova chave) para criar uma nova CMK na sua conta. Depois de criar a nova chave, retorne à guia Preferences (Preferências) e selecione a chave para criptografar dados de sessão na sua conta.

    Para obter mais informações sobre como compartilhar chaves, consulte Permitir que contas externas da AWS acessem uma CMK no AWS Key Management Service Developer Guide.

  6. Escolha Save (Salvar).