Cifrado de artefactos de un valor controlado - Amazon CloudWatch
Actualización de la ubicación y el cifrado de artefactos al utilizar supervisión visual

Cifrado de artefactos de un valor controlado

CloudWatch Synthetics almacena artefactos de un valor controlado como capturas de pantalla, archivos HAR e informes en su bucket de Amazon S3. De forma predeterminada, estos artefactos se cifran en reposo mediante una clave administrada por AWS. Para obtener más información sobre los tipos de claves, consulte Claves de cliente y claves de AWS.

Puede elegir usar una opción de cifrado diferente. CloudWatch Synthetics es compatible con lo siguiente:

  • SSE-S3: cifrado de lado del servidor (SSE) con una clave administrada por Amazon S3.

  • SSE-KMS: cifrado de lado de servidor (SSE) con una clave administrada por el cliente de AWS KMS.

Si desea utilizar la opción de cifrado predeterminada con una clave administrada por AWS, no necesita permisos adicionales.

Para utilizar el cifrado SSE-S3, debe especificar SE_S3 como modo de cifrado cuando crea o actualiza el valor controlado. No necesita permisos adicionales para utilizar este modo de cifrado. Para obtener más información, consulte Protecting data using server-side encryption with Amazon S3-managed encryption keys (SSE-S3) (Proteger los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 [SSE-S3]).

Para utilizar una clave administrada por el cliente de AWS KMS, debe especificar SSE-KMS como el modo de cifrado al crear o actualizar el valor controlado y también proporcionar el nombre de recurso de Amazon (ARN) de la clave. También puede utilizar una clave de KMS entre cuentas.

Para utilizar una clave administrada por el cliente, necesita la siguiente configuración:

  • El rol de IAM para el valor controlado debe tener permiso para cifrar los artefactos a través de la clave. Si utiliza la supervisión visual, también debe otorgarle permiso para descifrar artefactos.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • En lugar de agregarle permisos a su rol de IAM, puede agregar su rol de IAM a la política de clave. Si utiliza el mismo rol para varios canaries, debería considerar este enfoque.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Si utiliza una clave KMS entre cuentas, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

Visualización de artefactos de valores controlados cifrados al utilizar una clave administrada por el cliente

Para ver artefactos de valores controlados, actualice la clave administrada por el cliente para otorgarle a AWS KMS el permiso de descifrado para el usuario que ve los artefactos. Como alternativa, agregue permisos de descifrado al usuario o rol de IAM que esté viendo los artefactos.

La política de AWS KMS predeterminada permite que las políticas de IAM de la cuenta permitan el acceso a las claves KMS. Si utiliza una clave de KMS de entre varias cuentas, consulte ¿Por qué los usuarios de varias cuentas reciben errores de acceso denegado cuando intentan acceder a objetos de Amazon S3 cifrados por una clave de AWS KMS personalizada?.

Para obtener más información acerca de la solución de problemas de acceso denegado por una clave KMS, consulte Solución de problemas de acceso a las claves.

Actualización de la ubicación y el cifrado de artefactos al utilizar supervisión visual

Para llevar a cabo una supervisión visual, CloudWatch Synthetics compara las capturas de pantalla con las capturas de pantalla de referencia adquiridas en la ejecución seleccionada como punto de referencia. Si actualiza la ubicación de artefacto o la opción de cifrado, debe realizar una de estas acciones:

  • Asegúrese de que el rol de IAM tenga permisos suficientes tanto para la ubicación anterior de Amazon S3 como para la nueva ubicación de Amazon S3 para artefactos. Asegúrese también de que tenga permiso para los métodos de cifrado previos y nuevos y las claves KMS.

  • Cree una nueva base de referencia al seleccionar la siguiente ejecución de un valor controlado como nueva base de referencia. Si utiliza esta opción, solo tiene que asegurarse de que su rol de IAM tenga permisos suficientes para la nueva ubicación de artefactos y la opción de cifrado.

Recomendamos la segunda opción de seleccionar la siguiente ejecución como nueva base de referencia. Esto evita depender de una ubicación de artefacto o una opción de cifrado que ya no está usando para el valor controlado.

Por ejemplo, supongamos que el valor controlado utiliza la ubicación del artefacto A y la clave KMS K para cargar artefactos. Si actualiza el valor controlado a la ubicación del artefacto B y la clave KMS L, puede asegurarse de que su rol de IAM tenga permisos para las ubicaciones de artefactos (A y B) y ambas claves KMS (K y L). Como alternativa, puede seleccionar la siguiente ejecución como nueva base de referencia y asegurarse de que el rol de IAM del valor controlado tenga permisos para la ubicación del artefacto B y la clave KMS L.