Crittografia di artefatti canary - Amazon CloudWatch
Aggiornamento della posizione e della crittografia degli artifact quando si utilizza il monitoraggio visivo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia di artefatti canary

CloudWatch Synthetics archivia artefatti canarini come schermate, file HAR e report nel tuo bucket Amazon S3. Per impostazione predefinita, questi artefatti vengono crittografati quando sono inattivi utilizzando una chiave gestita. AWS Per ulteriori informazioni, consulta Customer keys and AWS keys.

Puoi scegliere di utilizzare un'opzione di crittografia diversa. CloudWatch Synthetics supporta quanto segue:

  • SSE-S3– Crittografia lato server (SSE) con una chiave gestita da Amazon S3.

  • SSE-KMS– Crittografia lato server (SSE) con una chiave AWS KMS gestita dal cliente.

Se desideri utilizzare l'opzione di crittografia predefinita con una chiave AWS gestita, non hai bisogno di autorizzazioni aggiuntive.

Per utilizzare la crittografia SSE-S3, devi specificare SSE_S3come modalità di crittografia quando si crea o si aggiorna il canary. Per utilizzare questa modalità di crittografia non sono necessarie autorizzazioni supplementari. Per ulteriori informazioni, consulta Protezione dei dati mediante la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).

Per utilizzare una chiave gestita AWS KMS dal cliente, devi specificare SSE-KMS come modalità di crittografia quando crei o aggiorni il tuo canary e fornisci anche l'Amazon Resource Name (ARN) della tua chiave. È inoltre possibile utilizzare una chiave KMS a più account.

Per utilizzare una chiave gestita dal cliente, sono necessarie le seguenti impostazioni:

  • Il ruolo IAM per il canary deve avere l'autorizzazione di crittografare gli artefatti utilizzando la chiave. Se utilizzi il monitoraggio visivo, è inoltre necessario concedergli l'autorizzazione a decrittare gli artefatti.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Invece di aggiungere autorizzazioni al ruolo IAM, è possibile aggiungere il proprio ruolo IAM alla policy chiave. Se si usa lo stesso ruolo per più canary, si dovrebbe considerare questo approccio.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Se utilizzi una chiave KMS tra account, consulta Permettere agli utenti in altri account di utilizzare una chiave KMS.

Visualizzazione di artefatti canary crittografati quando si utilizza una chiave gestita dal cliente

Per visualizzare gli artefatti di Canary, aggiorna la tua chiave gestita dal cliente per autorizzare la decrittografia all'utente che visualizza AWS KMS gli artefatti. In alternativa, aggiungi le autorizzazioni di decrittografia all'utente o al ruolo IAM che sta visualizzando gli artefatti.

La AWS KMS policy predefinita abilita le policy IAM nell'account per consentire l'accesso alle chiavi KMS. Se utilizzi una chiave KMS per più account, consulta Perché gli utenti con più account ricevono errori di accesso negato quando tentano di accedere a oggetti Amazon S3 crittografati da una chiave personalizzata? AWS KMS .

Per ulteriori informazioni sulla risoluzione dei problemi di accesso negato a causa di una chiave KMS, consulta Risoluzione dei problemi di accesso alla chiave.

Aggiornamento della posizione e della crittografia degli artifact quando si utilizza il monitoraggio visivo

Per eseguire il monitoraggio visivo, CloudWatch Synthetics confronta gli screenshot con gli screenshot di base acquisiti durante l'esecuzione selezionata come linea di base. Se si aggiorna la posizione dell'artifact o l'opzione di crittografia, è necessario procedere in uno dei seguenti modi:

  • Assicurarti che il ruolo IAM disponga di autorizzazioni sufficienti sia per la posizione precedente di Amazon S3 che per la nuova posizione Amazon S3 per gli artefatti. Assicurarti inoltre che disponga dell'autorizzazione per i metodi di crittografia precedenti e nuovi e le chiavi KMS.

  • Creare una nuova linea di base selezionando la prossima canary run come nuova baseline. Se si utilizza questa opzione, è solo necessario assicurarti che il ruolo IAM disponga di autorizzazioni sufficienti per la nuova posizione degli artifact e l'opzione di crittografia.

Consigliamo la seconda opzione per selezionare l'esecuzione successiva come nuova baseline. Ciò evita di avere una dipendenza da una posizione di artefatto o da un'opzione di crittografia che non stai più usando per il canary.

Ad esempio, supponiamo che il canary utilizzi la posizione dell'artefatto A e la chiave KMS K per caricare gli artefatti. Se si aggiorna il canary alla posizione dell'artifact B e alla chiave KMS L, ci si può assicurare che il ruolo IAM disponga delle autorizzazioni per entrambe le posizioni degli artifact (A e B) e entrambe le chiavi KMS (K e L). In alternativa, è possibile selezionare l'esecuzione successiva come nuova baseline e assicurarti che il ruolo IAM canary disponga delle autorizzazioni per la posizione dell'artifact B e la chiave KMS L.