Activación del cifrado de datos de sesión con claves de KMS (consola)
Utilice AWS Key Management Service (AWS KMS) para crear y administrar las claves de cifrado. Con AWS KMS, puede controlar el uso del cifrado en una amplia gama de Servicios de AWS y en sus aplicaciones. Puede especificar que los datos de la sesión transmitidos entre los nodos administrados y los equipos locales de los usuarios en la Cuenta de AWS se cifren con cifrado de claves de KMS. (Esto se suma al cifrado TLS 1.2/1.3 que AWS ya proporciona de forma predeterminada). Para cifrar los datos de la sesión Session Manager, cree una clave KMS simétrica mediante AWS KMS.
El cifrado de AWS KMS está disponible para Standard_Stream
, InteractiveCommands
y los tipos de sesión de NonInteractiveCommands
. Para utilizar la opción de cifrar los datos de la sesión con una clave creada en AWS KMS, el nodo administrado debe tener instalada la versión 2.3.539.0 de AWS Systems Manager SSM Agent o una posterior.
nota
Debe permitir el cifrado de AWS KMS con el fin de restablecer las contraseñas en los nodos administrados desde la consola de AWS Systems Manager. Para obtener más información, consulte Restablecer una contraseña en un nodo administrado.
Puede utilizar una clave que haya creado en su Cuenta de AWS. También puede utilizar una clave que se haya creado en una Cuenta de AWS diferente. El creador de la clave de una Cuenta de AWS diferente debe proporcionarle los permisos necesarios para usar la clave.
Después de activar el cifrado con clave de KMS para los datos de la sesión, tanto los usuarios que inicien sesiones como los nodos administrados a los que se conecten deberán tener permiso para utilizar la clave. Usted proporciona el permiso para utilizar la clave de KMS con Session Manager a través de las políticas de AWS Identity and Access Management (IAM). Para obtener información, consulte los siguientes temas:
-
Agregar permisos de AWS KMS para los usuarios de su cuenta: Ejemplos de políticas de IAM para Session Manager.
-
Agregar permisos de AWS KMS para los nodos administrados de la cuenta: Paso 2: verificación o agregación de permisos de instancia para Session Manager.
Para obtener más información acerca de cómo crear y administrar las claves de KMS, consulte la Guía para desarrolladores de AWS Key Management Service.
Para obtener más información acerca de cómo utilizar la AWS CLI para activar el cifrado de datos de sesión en su cuenta con claves de KMS, consulte Creación de un documento de preferencias de Session Manager (línea de comandos) o Actualizar preferencias de Session Manager (línea de comandos).
nota
Se aplica un cargo por utilizar claves de KMS. Para obtener información, consulte Precios de AWS Key Management Service
Para activar el cifrado de datos de sesión con claves de KMS (consola)
Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/
. -
En el panel de navegación, elija Session Manager.
-
Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).
-
Seleccione la casilla de verificación situada junto a Enable KMS encryption (Habilitar cifrado de KMS).
-
Realice una de las siguientes acciones siguientes:
-
Elija el botón que se encuentra junto a Select a KMS key in my current account (Seleccione una clave de KMS en la cuenta actual) y, a continuación, seleccione una de las claves de la lista.
-o bien-
Elija el botón junto a Enter a KMS key alias or KMS key ARN (Introducir un alias de clave de KMS o un ARN de clave de KMS). Ingrese de forma manual un alias de clave de KMS para una clave creada en su cuenta actual o ingrese el nombre de recurso de Amazon (ARN) de la clave perteneciente a otra cuenta. A continuación se muestran algunos ejemplos:
-
Alias de clave:
alias/my-kms-key-alias
-
ARN de clave:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE
-o bien-
Elija Create new key (Crear nueva clave) para crear una nueva clave de KMS en su cuenta. Después de crear la clave nueva, vuelva a la pestaña Preferences (Preferencias) y seleccione la clave para el cifrado de los datos de la sesión en su cuenta.
-
Para obtener más información acerca de cómo compartir claves, consulte Permiso para que las Cuentas de AWS externas accedan a una clave en la Guía para desarrolladores de AWS Key Management Service.
-
-
Seleccione Guardar.