Mengenkripsi artefak canary - Amazon CloudWatch
Memperbarui lokasi artefak dan enkripsi saat menggunakan pemantauan visual

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi artefak canary

CloudWatch Synthetics menyimpan artefak kenari seperti tangkapan layar, HAR file, dan laporan di bucket Amazon S3 Anda. Secara default, artefak ini dienkripsi saat istirahat menggunakan AWS kunci yang dikelola. Untuk informasi selengkapnya, lihat Kunci pelanggan dan AWS kunci.

Anda dapat memilih untuk menggunakan opsi enkripsi yang berbeda. CloudWatch Synthetics mendukung hal-hal berikut:

  • SSE-S3 - Enkripsi sisi server (SSE) dengan kunci yang dikelola Amazon S3.

  • SSE- KMS - Enkripsi sisi server () SSE dengan AWS KMS kunci yang dikelola pelanggan.

Jika Anda ingin menggunakan opsi enkripsi default dengan AWS kunci terkelola, Anda tidak memerlukan izin tambahan apa pun.

Untuk menggunakan enkripsi SSE -S3, Anda menentukan SSE_S3 sebagai mode enkripsi saat Anda membuat atau memperbarui kenari Anda. Anda tidak memerlukan izin tambahan untuk menggunakan mode enkripsi ini. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (-S3). SSE

Untuk menggunakan AWS KMS kunci terkelola pelanggan, Anda tentukan SSE- KMS sebagai mode enkripsi saat Anda membuat atau memperbarui kenari Anda, dan Anda juga memberikan Nama Sumber Daya Amazon (ARN) kunci Anda. Anda juga dapat menggunakan KMS kunci lintas akun.

Untuk menggunakan kunci yang dikelola pelanggan, Anda memerlukan pengaturan berikut ini:

  • IAMPeran kenari Anda harus memiliki izin untuk mengenkripsi artefak Anda menggunakan kunci Anda. Jika Anda menggunakan pemantauan visual, Anda juga harus memberikan izin untuk mendekripsi artefak.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Alih-alih menambahkan izin ke IAM peran Anda, Anda dapat menambahkan IAM peran Anda ke kebijakan utama Anda. Jika Anda menggunakan peran yang sama untuk beberapa canary, Anda harus mempertimbangkan pendekatan ini.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Jika Anda menggunakan KMS kunci lintas akun, lihat Mengizinkan pengguna di akun lain menggunakan KMS kunci.

Melihat artefak canary terenkripsi saat menggunakan kunci yang dikelola pelanggan

Untuk melihat artefak kenari, perbarui kunci terkelola pelanggan Anda untuk diberikan AWS KMS izin dekripsi kepada pengguna yang melihat artefak. Atau, tambahkan izin dekripsi ke pengguna atau IAM peran yang melihat artefak.

Default AWS KMS kebijakan memungkinkan IAM kebijakan di akun untuk mengizinkan akses ke KMS kunci. Jika Anda menggunakan KMS kunci lintas akun, lihat Mengapa pengguna lintas akun mendapatkan kesalahan Akses Ditolak saat mereka mencoba mengakses objek Amazon S3 yang dienkripsi oleh kustom AWS KMS kunci? .

Untuk informasi selengkapnya tentang pemecahan masalah akses yang ditolak karena KMS kunci, lihat Memecahkan masalah akses kunci.

Memperbarui lokasi artefak dan enkripsi saat menggunakan pemantauan visual

Untuk melakukan pemantauan visual, CloudWatch Synthetics membandingkan tangkapan layar Anda dengan tangkapan layar dasar yang diperoleh dalam proses yang dipilih sebagai baseline. Jika Anda memperbarui lokasi artefak atau opsi enkripsi, Anda harus melakukan salah satu hal berikut:

  • Pastikan IAM peran Anda memiliki izin yang cukup untuk lokasi Amazon S3 sebelumnya dan lokasi Amazon S3 baru untuk artefak. Juga pastikan bahwa ia memiliki izin untuk metode dan KMS kunci enkripsi sebelumnya dan baru.

  • Buat baseline baru dengan memilih run canary berikutnya sebagai baseline baru. Jika Anda menggunakan opsi ini, Anda hanya perlu memastikan bahwa IAM peran Anda memiliki izin yang cukup untuk lokasi artefak dan opsi enkripsi baru.

Kami merekomendasikan opsi kedua untuk memilih run berikutnya sebagai baseline baru. Ini menghindari dependensi pada lokasi artefak atau opsi enkripsi yang tidak Anda gunakan lagi untuk canary.

Misalnya, kenari Anda menggunakan lokasi artefak A dan KMS kunci K untuk mengunggah artefak. Jika Anda memperbarui kenari ke lokasi artefak B dan KMS kunci L, Anda dapat memastikan bahwa IAM peran Anda memiliki izin untuk kedua lokasi artefak (A dan B) dan kedua KMS kunci (K dan L). Atau, Anda dapat memilih proses berikutnya sebagai baseline baru dan memastikan bahwa IAM peran kenari Anda memiliki izin untuk artefak lokasi B dan kunci L. KMS