AWS-EnableS3BucketKeys - AWS Systems Manager 自動化手冊參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS-EnableS3BucketKeys

Description

AWS-EnableS3BucketKeysRunbook 在您指定的亞馬遜簡單存儲服務(Amazon S3)存儲桶上啟用存儲桶密鑰。此儲存貯體層級金鑰會在新物件的生命週期中建立資料金鑰。如果您未指定KmsKeyId參數值,則使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密將用於預設加密組態。

注意

使用 AWS Key Management Service (AWS KMS) 金鑰 (DSSE-KMS) 的雙層伺服器端加密不支援 Amazon S3 儲存貯體金鑰。

運行此自動化(控制台)

文件類型

 自動化

擁有者

Amazon

平台

LinuxmacOS, Windows

參數

  • AutomationAssumeRole

    類型:字串

    描述:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 ()。ARN如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

  • BucketName

    類型:字串

    說明:(必要) 您要啟用儲存貯體金鑰的 S3 儲存貯體名稱。

  • KMSKeyId

    類型:字串

    說明:(選用) 您要用於伺服器端加密之 (ARN) 客戶受管金鑰的 Amazon 資源名稱 AWS Key Management Service (AWS KMS)、金鑰 ID 或金鑰別名。

必要的IAM權限

AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • s3:GetEncryptionConfiguration

  • s3:PutEncryptionConfiguration

文件步驟

  • ChooseEncryptionType (aws: 分支)-評估為KmsKeyId參數提供的值,以確定是否要使用 SSE-S3 (AES256) 或 SSE-KMS。

  • PutBucketKeysKMS(aws:executeAwsApi)-使用指定的指定 S3 儲存貯體將BucketKeyEnabled屬性設定trueKmsKeyId

  • PutBucketKeysAES256(aws:executeAwsApi)-使用AES256加密將指定 S3 存儲桶的BucketKeyEnabled屬性設置true為。

  • 驗證 3BucketKeysEnabled (aws:assertAwsResource屬性)-驗證目標 S3 儲存貯體上已啟用儲存貯體金鑰。