本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS-EnableSQSEncryption
Description
R AWS-EnableSQSEncryption unbook 為 Amazon 簡單隊列服務(AmazonSQS)隊列啟用靜態加密。Amazon SQS 佇列可以使用 Amazon SQS 受管金鑰 (SSE-SQS) 或使用 AWS Key Management Service (AWS KMS) 受管金鑰 (SSE-KMS) 加密。您指派給佇列的金鑰必須具有金鑰原則,其中包含授權可使用佇列之所有主體的權限。啟用加密後,會拒絕匿名SendMessage和對加密佇列的ReceiveMessage要求。
文件類型
自動化
擁有者
Amazon
平台
Linux 系統macOS, Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 ()。ARN如果未指定任何角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。
-
QueueUrl
類型:字串
描述:(必填) 您要在URL其上啟用加密的 Amazon SQS 佇列。
-
KmsKeyId
類型:字串
說明:(選擇性) 用於加密的 AWS KMS 金鑰。這個值可以是一個全局唯一的標識符,一個別名或一個鍵,或者一個別名名稱前綴ARN為「alias/」。您也可以通過指定別名 aws/sqs 來使用 AWS 託管密鑰。
-
KmsDataKeyReusePeriodSeconds
類型:字串
有效值:
預設:300
說明:(選用) Amazon SQS 佇列可以重複使用資料金鑰加密或解密訊息的時間長度 (以秒為單位), AWS KMS 然後再次呼叫。
必要的IAM權限
此AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。
-
ssm:GetAutomationExecution -
ssm:StartAutomationExecution -
sqs:GetQueueAttributes -
sqs:SetQueueAttributes
文件步驟
-
SelectKeyType (
aws:branch):根據指定的密鑰進行分支。 -
PutAttributeSseKms (
aws:executeAwsApi)-更新 Amazon SQS 佇列以使用為加密指定的 AWS KMS 金鑰。 -
PutAttributeSseSqs (
aws:executeAwsApi)-更新 Amazon SQS 佇列以使用預設金鑰進行加密。 -
VerifySqsEncryptionKms (
aws:assertAwsResourceProperty)-驗證 Amazon SQS 佇列上已啟用加密功能。 -
VerifySqsEncryptionDefault (
aws:assertAwsResourceProperty)-驗證 Amazon SQS 佇列上已啟用加密功能。
