Chiffrement des artefacts de script Canary - Amazon CloudWatch
Mise à jour de l'emplacement et du chiffrement des artefacts en utilisant la surveillance visuelle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des artefacts de script Canary

CloudWatch Synthetics stocke les artefacts Canary tels que les captures d'écranHAR, les fichiers et les rapports dans votre compartiment Amazon S3. Par défaut, ces artefacts sont chiffrés au repos à l'aide d'une clé AWS gérée. Pour plus d'informations, consultez la section Clés et AWS clés du client.

Vous pouvez choisir d'utiliser une autre option de chiffrement. CloudWatch Synthetics prend en charge les éléments suivants :

  • SSE-S3 — Chiffrement côté serveur (SSE) avec une clé gérée par Amazon S3.

  • SSE- KMS — Chiffrement côté serveur (SSE) avec une clé gérée par AWS KMS le client.

Si vous souhaitez utiliser l'option de chiffrement par défaut avec une clé AWS gérée, vous n'avez pas besoin d'autorisations supplémentaires.

Pour utiliser le chiffrement SSE -S3, vous devez spécifier SSE_S3 comme mode de chiffrement lorsque vous créez ou mettez à jour votre Canary. Vous n'avez pas besoin d'autorisations supplémentaires pour utiliser ce mode de chiffrement. Pour plus d'informations, consultez Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (-S3). SSE

Pour utiliser une clé gérée par le AWS KMS client, vous devez spécifier SSE KMS le mode de chiffrement lorsque vous créez ou mettez à jour votre Canary, et vous fournissez également le nom de ressource Amazon (ARN) de votre clé. Vous pouvez également utiliser une KMS clé multi-comptes.

Pour utiliser une clé gérée par le client, vous devez disposer des paramètres suivants :

  • Le IAM rôle de votre canari doit être autorisé à chiffrer vos artefacts à l'aide de votre clé. Si vous utilisez la surveillance visuelle, vous devez également lui accorder l'autorisation de déchiffrer des artefacts.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Au lieu d'ajouter des autorisations à votre IAM rôle, vous pouvez ajouter votre IAM rôle à votre politique clé. Si vous utilisez le même rôle pour plusieurs scripts canarys, vous devez envisager cette approche.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Si vous utilisez une KMS clé multi-comptes, consultez Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.

Affichage des artefacts de script Canary chiffrés en utilisant une clé gérée par le client

Pour afficher les artefacts Canary, mettez à jour votre clé gérée par le client pour autoriser AWS KMS le déchiffrement à l'utilisateur qui consulte les artefacts. Vous pouvez également ajouter des autorisations de déchiffrement à l'utilisateur ou au IAM rôle qui consulte les artefacts.

La AWS KMS politique par défaut active IAM les politiques du compte pour autoriser l'accès aux KMS clés. Si vous utilisez une KMS clé multi-comptes, consultez Pourquoi les utilisateurs multi-comptes reçoivent-ils des erreurs d'accès refusé lorsqu'ils essaient d'accéder à des objets Amazon S3 chiffrés par une clé personnalisée AWS KMS ? .

Pour plus d'informations sur la résolution des problèmes de refus d'accès liés à une KMS clé, consultez la section Résolution des problèmes d'accès par clé.

Mise à jour de l'emplacement et du chiffrement des artefacts en utilisant la surveillance visuelle

Pour effectuer une surveillance visuelle, CloudWatch Synthetics compare vos captures d'écran avec les captures d'écran de référence acquises lors de l'exécution sélectionnée comme référence. Si vous mettez à jour l'emplacement de votre artefact ou l'option de chiffrement, vous devez effectuer l'une des actions suivantes :

  • Assurez-vous que votre IAM rôle dispose des autorisations suffisantes à la fois pour l'ancien emplacement Amazon S3 et pour le nouvel emplacement Amazon S3 pour les artefacts. Assurez-vous également qu'il est autorisé à utiliser les méthodes et KMS clés de chiffrement précédentes et nouvelles.

  • Créez une nouvelle référence en sélectionnant la prochaine exécution de script Canary comme nouvelle référence. Si vous utilisez cette option, il vous suffit de vous assurer que votre IAM rôle dispose des autorisations suffisantes pour la nouvelle option de localisation et de chiffrement des artefacts.

Nous recommandons la deuxième option de sélection de la prochaine exécution comme nouvelle référence. Cela évite de dépendre d'un emplacement d'artefact ou d'une option de chiffrement que vous n'utilisez plus pour le script Canary.

Supposons, par exemple, que votre canari utilise l'emplacement A et la KMS clé K pour télécharger des artefacts. Si vous mettez à jour votre canari vers l'emplacement B et la KMS clé L de l'artefact, vous pouvez vous assurer que votre IAM rôle est autorisé à accéder aux deux emplacements des artefacts (A et B) et aux deux KMS clés (K et L). Vous pouvez également sélectionner la prochaine exécution comme nouvelle référence et vous assurer que votre IAM rôle Canary est autorisé à accéder à l'emplacement B et à la KMS clé L de l'artefact.