AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK

Deskripsi

AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMKRunbook mengenkripsi, pada saat lain, variabel lingkungan untuk fungsi ( AWS Lambda Lambda) yang Anda tentukan menggunakan kunci yang dikelola pelanggan AWS Key Management Service (AWS KMS). Runbook ini hanya boleh digunakan sebagai baseline untuk memastikan bahwa variabel lingkungan fungsi Lambda Anda dienkripsi sesuai dengan praktik terbaik keamanan minimum yang direkomendasikan. Kami merekomendasikan mengenkripsi beberapa fungsi dengan kunci terkelola pelanggan yang berbeda.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Diperlukan) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda.

  • FunctionName

    Tipe: String

    Deskripsi: (Wajib) Nama atau ARN fungsi Lambda yang variabel lingkungannya ingin Anda enkripsi.

  • KMSKeyArn

    Tipe: String

    Deskripsi: (Wajib) Kunci terkelola AWS KMS pelanggan yang ingin Anda gunakan untuk mengenkripsi variabel lingkungan fungsi Lambda Anda. ARN

IAMIzin yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • lambda:GetFunctionConfiguration

  • lambda:UpdateFunctionConfiguration

Langkah Dokumen

  • aws:waitForAwsResourceProperty- Menunggu LastUpdateStatus properti menjadiSuccessful.

  • aws:executeAwsApi- Mengenkripsi variabel lingkungan untuk fungsi Lambda yang Anda tentukan dalam FunctionName parameter menggunakan kunci terkelola AWS KMS pelanggan yang Anda tentukan dalam parameter. KMSKeyArn

  • aws:assertAwsResourceProperty- Mengonfirmasi enkripsi diaktifkan pada variabel lingkungan untuk fungsi Lambda Anda.