本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS-EnableS3BucketKeys
描述
AWS-EnableS3BucketKeys运行手册在您指定的亚马逊简单存储服务 (Amazon S3) 存储桶上启用存储桶密钥。此存储桶级密钥在新对象的生命周期中为其创建数据密钥。如果您未为KmsKeyId参数指定值,则默认加密配置将使用使用 Amazon S3 托管密钥 (SSE-S3) 的服务器端加密。
注意
使用 () 密钥 AWS Key Management Service (DSSE-AWS KMS KMS) 的双层服务器端加密不支持 Amazon S3 存储桶密钥。
文档类型
自动化
所有者
Amazon
平台
Linux、macOS、Windows
参数
-
AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems ARN Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的亚马逊资源名称 ()。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
-
BucketName
类型:字符串
描述:(必填)您要为其启用存储桶密钥的 S3 存储桶的名称。
-
KMSKeyId
类型:字符串
描述:(可选)您要用于服务器端加密的 Amazon 资源名称 (ARN)、密钥 ID 或 AWS Key Management Service (AWS KMS) 客户托管密钥的密钥别名。
所需IAM权限
AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
s3:GetEncryptionConfiguration -
s3:PutEncryptionConfiguration
文档步骤
-
ChooseEncryptionType (aws: branch)-评估为
KmsKeyId参数提供的值,以确定是否将使用 SSE-S3 (AES256) 还是 SSE-KMS。 -
PutBucketKeysKMS(aws:executeAwsApi)-使用指定的将
true指定 S3 存储桶的BucketKeyEnabled属性设置为KmsKeyId。 -
PutBucketKeysAES256(aws:executeAwsApi)-将带有AES256加密功能
true的指定 S3 存储桶的BucketKeyEnabled属性设置为。 -
VerifyS3 BucketKeysEnabled (aws: P assertAwsResource roperty)-验证目标 S3 存储桶上的存储桶密钥是否已启用。
