Verschlüsseln Sie einen Anomaliedetektor und seine Ergebnisse mit AWS KMS

Die Daten des Anomaliedetektors werden in den Protokollen immer verschlüsselt. CloudWatch Standardmäßig verwendet CloudWatch Logs serverseitige Verschlüsselung für die ruhenden Daten. Als Alternative können Sie AWS Key Management Service für diese Verschlüsselung verwenden. Wenn Sie dies tun, erfolgt die Verschlüsselung mithilfe eines AWS KMS Schlüssels. Die Verschlüsselung AWS KMS wird auf der Ebene des Anomaliedetektors aktiviert, indem ein KMS Schlüssel einem Anomaliedetektor zugeordnet wird.

Wichtig

CloudWatch Logs unterstützt nur symmetrische Schlüssel. KMS Verwenden Sie keinen asymmetrischen Schlüssel, um die Daten in Ihren Protokollgruppen zu verschlüsseln. Weitere Informationen finden Sie unter Verwenden von symmetrischen und asymmetrischen Schlüsseln.

Einschränkungen

Um die folgenden Schritte ausführen zu können, benötigen Sie die folgenden Berechtigungen: kms:CreateKey, kms:GetKeyPolicy und kms:PutKeyPolicy.
Nachdem Sie einen Schlüssel einem Anomaliedetektor zugeordnet oder die Zuordnung aufgehoben haben, kann es bis zu fünf Minuten dauern, bis der Vorgang wirksam wird.
Wenn Sie CloudWatch Logs den Zugriff auf einen zugehörigen Schlüssel entziehen oder einen zugehörigen KMS Schlüssel löschen, können Ihre verschlüsselten Daten in CloudWatch Logs nicht mehr abgerufen werden.

Schritt 1: Erstellen Sie einen AWS KMS Schlüssel

Verwenden Sie den folgenden Befehl KMS create-key, um einen Schlüssel zu erstellen:


aws kms create-key

Die Ausgabe enthält die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) des Schlüssels. Das Folgende ist Ausgabebeispiel:


{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "key-default-1",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:123456789012:key/key-default-1",
        "AWSAccountId": "123456789012",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Schritt 2: Legen Sie die Berechtigungen für den KMS Schlüssel fest

Standardmäßig sind alle AWS KMS Schlüssel privat. Nur der Ressourcenbesitzer kann mit ihnen Daten verschlüsseln und entschlüsseln. Der Ressourcenbesitzer kann jedoch anderen Benutzern und Ressourcen Berechtigungen für den Zugriff auf den KMS Schlüssel gewähren. Mit diesem Schritt erteilen Sie dem Prinzipal des CloudWatch Logs-Dienstes die Erlaubnis, den Schlüssel zu verwenden. Dieser Dienstprinzipal muss sich in derselben AWS Region befinden, in der der KMS Schlüssel gespeichert ist.

Als bewährte Methode empfehlen wir, die Verwendung des KMS Schlüssels nur auf die von Ihnen angegebenen AWS Konten oder Anomaliedetektoren zu beschränken.

Speichern Sie zunächst die Standardrichtlinie für Ihren KMS Schlüssel policy.json mit dem folgenden get-key-policyBefehl:


aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Öffnen Sie die Datei policy.json in einem Texteditor und fügen Sie den in Fettschrift angezeigten Abschnitt aus einer der folgenden Anweisungen hinzu. Sie trennen die vorhandene Anweisung von der neuen Anweisung durch ein Komma. In diesen Anweisungen Condition werden Abschnitte verwendet, um die Sicherheit des AWS KMS Schlüssels zu erhöhen. Weitere Informationen finden Sie unter AWS KMS Schlüssel und Verschlüsselungskontext.

Der Condition Abschnitt in diesem Beispiel beschränkt die Verwendung des AWS KMS Schlüssels auf das angegebene Konto, er kann jedoch für jeden beliebigen Anomaliedetektor verwendet werden.


{
  "Version": "2012-10-17",
  "Id": "key-default-1",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Your_account_ID:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.REGION.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:REGION:Your_account_ID:anomaly-detector:*"
        }
      }
    },
    {
        "Effect": "Allow",
        "Principal": {
            "Service": "logs.REGION.amazonaws.com"
        },
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
            "ArnLike": {
                "kms:EncryptionContext:aws-crypto-ec:aws:logs:arn": "arn:aws:logs:REGION:Your_account_ID:anomaly-detector:*"
            }
        }
    }
  ]
}

Fügen Sie abschließend die aktualisierte Richtlinie mit dem folgenden put-key-policyBefehl hinzu:


aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Schritt 3: Ordnen Sie einem Anomaliedetektor einen KMS Schlüssel zu

Sie können einen KMS Schlüssel einem Anomaliedetektor zuordnen, wenn Sie ihn in der Konsole erstellen oder die Taste oder verwenden. AWS CLI APIs

Schritt 4: Trennen Sie die Zuordnung des Schlüssels zu einem Anomaliedetektor

Nachdem ein Schlüssel einem Anomaliedetektor zugeordnet wurde, können Sie den Schlüssel nicht mehr aktualisieren. Die einzige Möglichkeit, den Schlüssel zu entfernen, besteht darin, den Anomaliedetektor zu löschen und ihn anschließend neu zu erstellen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Von Protokollanomaliedetektoren veröffentlichte Metriken

Problembehandlung mit CloudWatch Logs Live Tail