本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密 Canary 成品
CloudWatch Synthetics 將金絲雀文物(例如屏幕截圖,HAR 文件和報告)存儲在您的 Amazon S3 存儲桶中。依預設,這些成品會使用 AWS 受管理的金鑰進行靜態加密。如需詳細資訊,請參閱客戶金鑰和 AWS 金鑰。
您可以選擇使用不同的加密選項。 CloudWatch Synthetics 支持以下內容:
SSE-S3 – 使用 Simple Storage Service (Amazon S3) 受管金鑰的伺服器端加密。
SSE-KMS – 使用 AWS KMS 客戶受管金鑰的伺服器端加密 (SSE)。
如果您想要將預設加密選項與 AWS 受管理金鑰搭配使用,則不需要任何其他權限。
若要使用 SSE-S3 加密,建立或更新 Canary 時,您可以指定 SSE_S3 作為加密模式。您不需要任何其他許可,即可使用此加密模式。如需詳細資訊,請參閱使用伺服器端加密與 Simple Storage Service (Amazon S3) 受管加密金鑰 (SSE-S3) 保護資料。
若要使用 AWS KMS 客戶受管金鑰,請在建立或更新初期測試時將 SSE-KMS 指定為加密模式,並提供金鑰的 Amazon 資源名稱 (ARN)。您也可以使用跨帳戶 KMS 金鑰。
若要使用客戶受管金鑰,您需要以下設定:
您的 Canary IAM 角色必須有許可才能使用您的金鑰加密成品。如果正在使用視覺監控,則您也必須為其授予許可以解密成品。
{ "Version": "2012-10-17", "Statement": {"Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "Your KMS key ARN" } }您可以將 IAM 角色新增至金鑰政策,而不是將許可新增至 IAM 角色。如果對多個 Canary 使用相同的角色,則您應該考慮這種方法。
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "Your synthetics IAM role ARN" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }如果您使用的是跨帳戶 KMS 金鑰,請參閱允許其他帳戶中的使用者使用 KMS 金鑰。
使用客戶受管金鑰時檢視加密的 Canary 成品
若要檢視初期測試成品,請更新您的客戶管理金鑰,以將解密權限授與檢視成品的使用者。 AWS KMS 或者,將解密許可新增至正在檢視成品的使用者或 IAM 角色。
預設 AWS KMS 政策可讓帳戶中的 IAM 政策允許存取 KMS 金鑰。如果您使用跨帳戶 KMS 金鑰,請參閱為什麼跨帳戶使用者嘗試存取透過自訂 AWS KMS 金鑰加密的 Amazon S3 物件時,會收到拒絕存取錯誤
如需因 KMS 金鑰而存取遭拒之問題的疑難排解詳細資訊,請參閱對金鑰存取進行疑難排解。
使用視覺監控時更新成品位置和加密
為了執行視覺監控, CloudWatch Synthetics 將您的屏幕截圖與選定為基準的運行中獲取的基準屏幕截圖進行比較。如果更新成品位置或加密選項,則您必須執行以下其中一項:
確保您的 IAM 角色對成品的先前 Simple Storage Service (Amazon S3) 位置和新 Simple Storage Service (Amazon S3) 位置具有足夠的許可。同時請確保其具有先前和新加密方法以及 KMS 金鑰的許可。
-
透過選取下一個 Canary 執行作為新基準來建立新基準。如果使用此選項,則您只需確保您的 IAM 角色具有足夠的許可,可供新的成品位置和加密選項使用。
建議您選取下一次執行作為新基準的第二個選項。這避免了依賴於您不再為 Canary 使用的成品位置或加密選項。
例如,假設您的 Canary 使用成品位置 A 和 KMS 金鑰 K 來上傳成品。如果將 Canary 更新為成品位置 B 和 KMS 金鑰 L,則您可以確保 IAM 角色擁有兩個成品位置 (A 和 B) 和兩個 KMS 金鑰 (K 和 L) 的許可。或者,您可以選取下一次執行作為新基準,並確保您的 Canary IAM 角色擁有成品位置 B 和 KMS 金鑰 L 的許可。
