本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS-EnableS3BucketKeys
Description
AWS-EnableS3BucketKeys
Runbook 在您指定的亞馬遜簡單存儲服務(Amazon S3)存儲桶上啟用存儲桶密鑰。此儲存貯體層級金鑰會在新物件的生命週期中建立資料金鑰。如果您未指定KmsKeyId
參數值,則使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密將用於預設加密組態。
注意
使用 AWS Key Management Service (AWS KMS) 金鑰 (DSSE-KMS) 的雙層伺服器端加密不支援 Amazon S3 儲存貯體金鑰。
文件類型
自動化
擁有者
Amazon
平台
LinuxmacOS, Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 ()。ARN如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。
-
BucketName
類型:字串
說明:(必要) 您要啟用儲存貯體金鑰的 S3 儲存貯體名稱。
-
KMSKeyId
類型:字串
說明:(選用) 您要用於伺服器端加密之 (ARN) 客戶受管金鑰的 Amazon 資源名稱 AWS Key Management Service (AWS KMS)、金鑰 ID 或金鑰別名。
必要的IAM權限
此AutomationAssumeRole
參數需要執行下列動作,才能成功使用 Runbook。
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
s3:GetEncryptionConfiguration
-
s3:PutEncryptionConfiguration
文件步驟
-
ChooseEncryptionType (aws: 分支)-評估為
KmsKeyId
參數提供的值,以確定是否要使用 SSE-S3 (AES256) 或 SSE-KMS。 -
PutBucketKeysKMS(aws:executeAwsApi)-使用指定的指定 S3 儲存貯體將
BucketKeyEnabled
屬性設定true
為KmsKeyId
。 -
PutBucketKeysAES256(aws:executeAwsApi)-使用AES256加密將指定 S3 存儲桶的
BucketKeyEnabled
屬性設置true
為。 -
驗證 3BucketKeysEnabled (aws:assertAwsResource屬性)-驗證目標 S3 儲存貯體上已啟用儲存貯體金鑰。