Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografa automaticamente i volumi Amazon EBS esistenti e nuovi
Creato da Tony DeMarco (AWS) e Josh Joy () AWS
Archivio di codice: https://github.com/aws-samples/ aws-system-manager-automation-/unencrypted-to-encrypted-resourcestree/main/ebs | Ambiente: produzione | Tecnologie: archiviazione e backup; sicurezza, identità, conformità; gestione e governance |
AWSservizi: AWS ConfigEBS; Amazon; AWS KMS AWS Organizations; Systems Manager AWS |
Riepilogo
La crittografia dei volumi di Amazon Elastic Block Store (AmazonEBS) è importante per la strategia di protezione dei dati di un'organizzazione. È un passo importante nella creazione di un ambiente ben architettato. Sebbene non esista un modo diretto per crittografare EBS volumi o istantanee non crittografati esistenti, è possibile crittografarli creando un nuovo volume o un'istantanea. Per ulteriori informazioni, consulta EBS le risorse Encrypt nella EC2 documentazione di Amazon. Questo modello fornisce controlli preventivi e investigativi per crittografare i EBS volumi, sia nuovi che esistenti. In questo modello, si configurano le impostazioni dell'account, si creano processi di riparazione automatizzati e si implementano i controlli di accesso.
Prerequisiti e limitazioni
Prerequisiti
Un account Amazon Web Services (AWS) attivo
AWSCommand Line Interface (AWSCLI), installata e configurata su macOS, Linux o Windows
jq
, installato e configurato su macOS, Linux o Windows AWSLe autorizzazioni Identity and Access Management (IAM) sono fornite per avere accesso in lettura e scrittura ad AWS CloudFormation Amazon Elastic Compute Cloud (AmazonEC2), AWS Systems Manager, AWS Config e AWS Key Management Service () AWS KMS
AWSOrganizations è configurato con tutte le funzionalità abilitate, un requisito per le politiche di controllo del servizio
AWSConfig è abilitato negli account di destinazione
Limitazioni
Nel tuo AWS account di destinazione, non devono esserci regole di AWS Config denominate encrypted-volumes. Questa soluzione implementa una regola con questo nome. Le regole preesistenti con questo nome possono causare il fallimento della distribuzione e comportare costi inutili relativi all'elaborazione della stessa regola più di una volta.
Questa soluzione crittografa tutti i EBS volumi con la stessa AWS KMS chiave.
Se si abilita la crittografia dei EBS volumi per l'account, questa impostazione è specifica della regione. Se la abiliti per una AWS regione, non puoi disabilitarla per singoli volumi o istantanee in quella regione. Per ulteriori informazioni, consulta Encryption by default nella EC2 documentazione di Amazon.
Quando ripristini EBS volumi esistenti non crittografati, assicurati che l'EC2istanza non sia in uso. Questa automazione spegne l'istanza per scollegare il volume non crittografato e collegare quello crittografato. Si verificano tempi di inattività durante la riparazione. Se si tratta di un'infrastruttura fondamentale per la tua organizzazione, assicurati che siano presenti configurazioni manuali o automatiche ad alta disponibilità in modo da non influire sulla disponibilità delle applicazioni in esecuzione sull'istanza. Si consiglia di ripristinare le risorse critiche solo durante le finestre di manutenzione standard.
Architettura
Workflow di automazione
AWSConfig rileva un volume non crittografato. EBS
Un amministratore utilizza AWS Config per inviare un comando di riparazione a Systems Manager.
L'automazione Systems Manager scatta un'istantanea del volume non crittografatoEBS.
L'automazione Systems Manager utilizza AWS KMS per creare una copia crittografata dell'istantanea.
L'automazione Systems Manager esegue le seguenti operazioni:
Arresta l'EC2istanza interessata se è in esecuzione
Allega la nuova copia crittografata del volume all'istanza EC2
Riporta l'EC2istanza allo stato originale
Strumenti
AWSservizi
AWSCLI— L'interfaccia a riga di AWS comando (AWSCLI) fornisce l'accesso diretto alle interfacce di programmazione delle applicazioni pubbliche (APIs) dei AWS servizi. È possibile esplorare le funzionalità di un servizio con AWS CLI e sviluppare script di shell per gestire le risorse. Oltre ai comandi API equivalenti a basso livello, diversi AWS servizi forniscono personalizzazioni per. AWS CLI Le personalizzazioni possono includere comandi di livello superiore che semplificano l'utilizzo di un servizio con un complesso. API
AWS CloudFormation— AWS CloudFormation è un servizio che consente di modellare e configurare le risorse. AWS Crei un modello che descrive tutte le AWS risorse che desideri (come EC2 le istanze Amazon) e fornisce e CloudFormation configura tali risorse per te.
AWSConfig: AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse nel tuo account. AWS Questo include le relazioni tra le risorse e la maniera in cui sono state configurate in passato, in modo che tu possa vedere come le configurazioni e le relazioni cambiano nel corso del tempo.
Amazon EC2 — Amazon Elastic Compute Cloud (AmazonEC2) è un servizio Web che fornisce una capacità di calcolo ridimensionabile da utilizzare per creare e ospitare i sistemi software.
AWSKMS— AWS Key Management Service (AWSKMS) è un servizio di crittografia e gestione delle chiavi scalato per il cloud. AWSKMSle chiavi e le funzionalità vengono utilizzate da altri AWS servizi ed è possibile utilizzarle per proteggere i dati nel proprio AWS ambiente.
AWSAWSOrganizations — Organizations è un servizio di gestione degli account che consente di consolidare più AWS account in un'organizzazione creata e gestita centralmente.
AWSSystems Manager Automation: Systems Manager Automation semplifica le attività comuni di manutenzione e distribuzione per EC2 le istanze Amazon e altre AWS risorse.
Altri servizi
jq
— jq è un processore a riga di comando JSON leggero e flessibile. Questo strumento viene utilizzato per estrarre le informazioni chiave dall'output. AWS CLI
Codice
Il codice per questo modello è disponibile nell'archivio Correggi GitHub automaticamente i EBS volumi non crittografati utilizzando KMS le chiavi del cliente
.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Scarica script e CloudFormation modelli. | Scarica lo script di shell, il JSON file e i CloudFormation modelli dall'archivio Correggi GitHub automaticamente i EBS volumi non crittografati utilizzando le chiavi del cliente KMS | AWSamministratore, Generale AWS |
Identifica l'amministratore della AWS KMS chiave. |
| AWSamministratore, generale AWS |
Implementa il modello Stack1 CloudFormation . |
Per ulteriori informazioni sulla distribuzione di un CloudFormation modello, consulta Lavorare con i AWS CloudFormation modelli nella CloudFormation documentazione. | AWSamministratore, Generale AWS |
Implementa il modello Stack2 CloudFormation . | In CloudFormation, distribuisci il modello.
| AWSamministratore, Generale AWS |
Crea un volume non crittografato per il test. | Crea un'EC2istanza con un volume non crittografatoEBS. Per istruzioni, consulta Creare un EBS volume Amazon nella EC2 documentazione di Amazon. Il tipo di istanza non ha importanza e l'accesso all'istanza non è necessario. Puoi creare un'istanza t2.micro per rimanere nel livello gratuito e non è necessario creare una key pair. | AWSamministratore, Generale AWS |
Prova la regola AWS Config. |
È possibile visualizzare l'avanzamento e lo stato della riparazione in Systems Manager come segue:
| AWSamministratore, Generale AWS |
Configura account o AWS regioni aggiuntivi. | Se necessario per il tuo caso d'uso, ripeti questa epopea per eventuali account o AWS regioni aggiuntivi. | AWSamministratore, Generale AWS |
Attività | Descrizione | Competenze richieste |
---|---|---|
Esegui lo script di abilitazione. |
| AWSamministratore, Generale, bash AWS |
Conferma che le impostazioni siano aggiornate. |
| AWSamministratore, Generale AWS |
Configura account o AWS regioni aggiuntivi. | Se necessario per il tuo caso d'uso, ripeti questa epopea per eventuali account o AWS regioni aggiuntivi. | AWSamministratore, Generale AWS |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea una politica di controllo del servizio. |
| AWSamministratore, Generale AWS |
Risorse correlate
AWSdocumentazione di servizio
Altre risorse
manuale jq (sito
web jq) scarica jq ()
GitHub