Verschlüsseln von Canary-Artefakten - Amazon CloudWatch
Aktualisieren des Artefaktspeicherortes und der Verschlüsselung bei Verwendung der visuellen Überwachung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Canary-Artefakten

CloudWatch Synthetics speichert kanarische Artefakte wie Screenshots, HAR Dateien und Berichte in Ihrem Amazon S3 S3-Bucket. Standardmäßig werden diese Artefakte im Ruhezustand mit einem AWS verwalteten Schlüssel verschlüsselt. Weitere Informationen finden Sie unter Kundenschlüssel und AWS Schlüssel.

Sie können wählen, ob Sie eine andere Verschlüsselungsoption verwenden möchten. CloudWatch Synthetics unterstützt Folgendes:

  • SSE-S3 — Serverseitige Verschlüsselung (SSE) mit einem von Amazon S3 verwalteten Schlüssel.

  • SSE- KMS — Serverseitige Verschlüsselung (SSE) mit einem vom Kunden verwalteten Schlüssel. AWS KMS

Wenn Sie die Standardverschlüsselungsoption mit einem AWS verwalteten Schlüssel verwenden möchten, benötigen Sie keine zusätzlichen Berechtigungen.

Um die SSE -S3-Verschlüsselung zu verwenden, geben Sie SSE_S3 als Verschlüsselungsmodus an, wenn Sie Ihren Canary erstellen oder aktualisieren. Um diesen Verschlüsselungsmodus zu verwenden, benötigen Sie keine zusätzlichen Berechtigungen. Weitere Informationen finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3).

Um einen vom AWS KMS Kunden verwalteten Schlüssel zu verwenden, geben Sie SSE- KMS als Verschlüsselungsmodus an, wenn Sie Ihren Canary erstellen oder aktualisieren, und Sie geben auch den Amazon-Ressourcennamen (ARN) Ihres Schlüssels an. Sie können auch einen kontoübergreifenden KMS Schlüssel verwenden.

Um einen vom Kunden verwalteten Schlüssel verwenden zu können, benötigen Sie folgende Einstellungen:

  • Die IAM Rolle für deinen Canary muss berechtigt sein, deine Artefakte mit deinem Schlüssel zu verschlüsseln. Wenn Sie eine visuelle Überwachung verwenden, müssen Sie ihr auch die Berechtigung zum Entschlüsseln von Artefakten erteilen.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Anstatt deiner IAM Rolle Berechtigungen hinzuzufügen, kannst du deine IAM Rolle zu deiner wichtigsten Richtlinie hinzufügen. Wenn Sie dieselbe Rolle für mehrere Canarys verwenden, sollten Sie diesen Ansatz in Betracht ziehen.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Wenn Sie einen kontoübergreifenden KMS Schlüssel verwenden, finden Sie weitere Informationen unter Zulassen, dass Benutzer in anderen Konten einen KMS Schlüssel verwenden.

Anzeigen verschlüsselter Canary-Artefakte bei Verwendung eines vom Kunden verwalteten Schlüssels

Um Canary-Artefakte anzusehen, aktualisieren Sie Ihren vom Kunden verwalteten Schlüssel, sodass der Benutzer, AWS KMS der sich die Artefakte ansieht, die Entschlüsselungsberechtigung erhält. Sie können auch dem Benutzer oder der IAM Rolle, der bzw. die die Artefakte ansieht, Entschlüsselungsberechtigungen zuweisen.

Die AWS KMS Standardrichtlinie aktiviert IAM Richtlinien im Konto, um den Zugriff auf die KMS Schlüssel zu ermöglichen. Wenn Sie einen kontoübergreifenden KMS Schlüssel verwenden, finden Sie weitere Informationen unter Warum erhalten kontoübergreifende Benutzer die Fehlermeldung „Zugriff verweigert“, wenn sie versuchen, auf Amazon S3 S3-Objekte zuzugreifen, die mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt wurden? .

Weitere Informationen zur Behebung von Problemen, die aufgrund eines KMS Schlüssels verweigert wurden, finden Sie unter Problembehandlung beim Schlüsselzugriff.

Aktualisieren des Artefaktspeicherortes und der Verschlüsselung bei Verwendung der visuellen Überwachung

Um eine visuelle Überwachung durchzuführen, vergleicht CloudWatch Synthetics Ihre Screenshots mit Basis-Screenshots, die in dem als Baseline ausgewählten Lauf aufgenommen wurden. Wenn Sie Ihren Artefaktspeicherort oder Ihre Verschlüsselungsoption aktualisieren, müssen Sie einen der folgenden Schritte ausführen:

  • Stellen Sie sicher, dass Ihre IAM Rolle über ausreichende Berechtigungen sowohl für den vorherigen Amazon S3 S3-Standort als auch für den neuen Amazon S3 S3-Standort für Artefakte verfügt. Stellen Sie außerdem sicher, dass sie sowohl für die vorherigen als auch für die neuen Verschlüsselungsmethoden und KMS Schlüssel berechtigt ist.

  • Erstellen Sie eine neue Baseline, indem Sie die nächste Canary-Ausführung als neue Baseline auswählen. Wenn Sie diese Option verwenden, müssen Sie nur sicherstellen, dass Ihre IAM Rolle über ausreichende Berechtigungen für den neuen Speicherort und die neue Verschlüsselungsoption für Artefakte verfügt.

Wir empfehlen die zweite Möglichkeit, die nächste Ausführung als neue Baseline auszuwählen. Dies vermeidet eine Abhängigkeit von einem Artefaktspeicherort oder einer Verschlüsselungsoption, die Sie nicht mehr für den Canary verwenden.

Nehmen wir zum Beispiel an, dass dein Canary Artefaktstandort A und KMS Schlüssel K für das Hochladen von Artefakten verwendet. Wenn du deinen Canary auf Artefaktstandort B und KMS Schlüssel L aktualisierst, kannst du sicherstellen, dass deine IAM Rolle über Berechtigungen für beide Artefaktstandorte (A und B) und beide KMS Schlüssel (K und L) verfügt. Alternativ kannst du den nächsten Run als neue Baseline auswählen und sicherstellen, dass deine IAM Canary-Rolle über Berechtigungen für Artefaktstandort B und Schlüssel L verfügt. KMS