Crea una chiave di crittografia per lo storage effimero Fargate per Amazon ECS

Crea una chiave gestita dal cliente per crittografare i dati archiviati nello storage temporaneo Fargate.

Nota

La crittografia dello storage temporaneo Fargate con chiavi gestite dal cliente non è disponibile per i cluster di attività di Windows.

La crittografia dello storage temporaneo Fargate con chiavi gestite dal cliente non era disponibile prima di. platformVersions 1.4.0

Fargate riserva spazio su uno spazio di archiviazione temporaneo utilizzato solo da Fargate e non ti viene addebitato alcun costo per lo spazio. L'allocazione potrebbe differire dalle attività chiave non gestite dal cliente, ma lo spazio totale rimane lo stesso. È possibile visualizzare questa modifica in strumenti come. df

Le chiavi multiregione non sono supportate per l'archiviazione temporanea di Fargate.

KMSgli alias chiave non sono supportati per l'archiviazione effimera di Fargate.

Per creare una chiave gestita dal cliente (CMK) per crittografare lo storage temporaneo per Fargate in, procedi nel seguente modo. AWS KMS

Passa a /kms. https://console.aws.amazon.com
Segui le istruzioni per la creazione di chiavi nella Guida per gli AWS Key Management Service sviluppatori.
Durante la creazione della AWS KMS chiave, assicuratevi di fornire al servizio Fargate le autorizzazioni AWS KMS operative pertinenti nelle politiche chiave. Le seguenti API operazioni devono essere consentite nella politica per utilizzare la chiave gestita dal cliente con le risorse ECS del cluster Amazon.
- kms:GenerateDataKeyWithoutPlainText‐ Chiama GenerateDataKeyWithoutPlainText per generare una chiave dati crittografata dalla AWS KMS chiave fornita.
- kms:CreateGrant‐ Aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una AWS KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon ECS Fargate. Per ulteriori informazioni sull'utilizzo di Grants, consulta la AWS Key Management Service Guida per gli sviluppatori. Ciò consente ad Amazon ECS Fargate di effettuare le seguenti operazioni:
  - Chiama Decrypt to per AWS KMS ottenere la chiave di crittografia per decrittografare i dati di archiviazione effimeri.
  - Configura un preside in pensione per consentire al servizio di farlo. RetireGrant
- kms:DescribeKey‐ Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon ECS di convalidare la chiave se è simmetrica e abilitata.
L'esempio seguente mostra una politica AWS KMS chiave da applicare alla chiave di destinazione per la crittografia. Per utilizzare le dichiarazioni politiche di esempio, user input placeholders sostituiscile con le tue informazioni. Come sempre, configura solo le autorizzazioni di cui hai bisogno, ma dovrai fornire AWS KMS le autorizzazioni ad almeno un utente per evitare errori.
```
{
      "Sid": "Allow generate data key access for Fargate tasks.",
      "Effect": "Allow",
      "Principal": { "Service":"fargate.amazonaws.com" },
      "Action": [
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:aws:ecs:clusterAccount": [
            "customerAccountId"
          ],
          "kms:EncryptionContext:aws:ecs:clusterName": [
             "clusterName"
          ]   
        }
      },
      "Resource": "*"
    },
    {
      "Sid": "Allow grant creation permission for Fargate tasks.",
      "Effect": "Allow",
      "Principal": { "Service":"fargate.amazonaws.com" },
      "Action": [
        "kms:CreateGrant"
      ],
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:aws:ecs:clusterAccount": [
            "customerAccountId"
          ],
          "kms:EncryptionContext:aws:ecs:clusterName": [
             "clusterName"
          ]   
        },
       "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
             "Decrypt"
          ]
       }
      },
      "Resource": "*"
    },
    {
      "Sid": "Allow describe key permission for cluster operator - CreateCluster and UpdateCluster.",
      "Effect": "Allow",
      "Principal": { "AWS":"arn:aws:iam::customerAccountId:role/customer-chosen-role" },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
```
Le attività Fargate utilizzano le aws:ecs:clusterAccount chiavi contestuali di aws:ecs:clusterName crittografia per le operazioni crittografiche con la chiave. I clienti devono aggiungere queste autorizzazioni per limitare l'accesso a un account e/o cluster specifico. Usa il nome del cluster e non il nome ARN quando specifichi il cluster.

Per ulteriori informazioni, consultare Contesto della crittografia nella Guida per gli sviluppatori di AWS KMS.

Quando si crea o si aggiorna un cluster, è possibile utilizzare la chiave di condizionefargateEphemeralStorageKmsKeyId. Questa chiave di condizione consente ai clienti di avere un controllo più granulare delle IAM politiche. Gli aggiornamenti alla fargateEphemeralStorageKmsKeyId configurazione hanno effetto solo sulle nuove implementazioni di servizi.

Di seguito è riportato un esempio di come consentire ai clienti di concedere le autorizzazioni solo a un set specifico di chiavi approvate. AWS KMS
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:UpdateCluster"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ecs:fargate-ephemeral-storage-kms-key": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
        }
      }
    }
  ]
}
```
Segue un esempio per negare i tentativi di rimuovere AWS KMS chiavi già associate a un cluster.
```
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": [
        "ecs:CreateCluster",
        "ecs:UpdateCluster"
    ],
    "Resource": "*",
    "Condition": {
      "Null": {
        "ecs:fargate-ephemeral-storage-kms-key": "true"
      }
    }
  }
}
```
I clienti possono verificare se le attività non gestite o le attività di servizio sono crittografate utilizzando la chiave utilizzando i AWS CLI describe-tasks comandidescribe-cluster, odescribe-services.

Per ulteriori informazioni, consulta Condition keys AWS KMS nella AWS KMS Developer Guide.

AWS Management Console

Apri la console alla https://console.aws.amazon.com/ecs/v2.
Scegli Cluster nella barra di navigazione a sinistra e Crea cluster in alto a destra oppure scegli un cluster esistente. Per un cluster esistente, scegli Aggiorna cluster in alto a destra.
Nella sezione Crittografia del flusso di lavoro, avrai la possibilità di selezionare la tua AWS KMS chiave in Archiviazione gestita e Archiviazione effimera Fargate. Puoi anche scegliere di creare una AWS KMS chiave da qui.
Scegli Crea una volta terminata la creazione del nuovo cluster o Aggiorna, se ne stavi aggiornando uno esistente.

AWS CLI

Di seguito è riportato un esempio di creazione di un cluster e configurazione dello storage temporaneo Fargate utilizzando (sostituisci AWS CLI red i valori con i tuoi):


aws ecs create-cluster --cluster clusterName \
--configuration '{"managedStorageConfiguration":{"fargateEphemeralStorageKmsKeyId":"arn:aws:kms:us-west-2:012345678901:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"}}'
{
    "cluster": {
        "clusterArn": "arn:aws:ecs:us-west-2:012345678901:cluster/clusterName",
        "clusterName": "clusterName",
        "configuration": {
            "managedStorageConfiguration": {
                "fargateEphemeralStorageKmsKeyId": "arn:aws:kms:us-west-2:012345678901:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            }
        },
        "status": "ACTIVE",
        "registeredContainerInstancesCount": 0,
        "runningTasksCount": 0,
        "pendingTasksCount": 0,
        "activeServicesCount": 0,
        "statistics": [],
        "tags": [],
        "settings": [],
        "capacityProviders": [],
        "defaultCapacityProviderStrategy": []
    },
    "clusterCount": 5
}

AWS CloudFormation

Di seguito è riportato un modello di esempio per la creazione di un cluster e la configurazione dello storage temporaneo Fargate utilizzando (sostituisci AWS CloudFormation red i valori con i tuoi):


AWSTemplateFormatVersion: 2010-09-09
Resources:
  MyCluster: 
    Type: AWS::ECS::Cluster
    Properties: 
      ClusterName: "clusterName" 
      Configuration:
        ManagedStorageConfiguration:
          FargateEphemeralStorageKmsKeyId: "arn:aws:kms:us-west-2:012345678901:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Chiavi gestite dal cliente per lo storage temporaneo AWS Fargate

Gestione delle AWS KMS chiavi per l'archiviazione effimera Fargate