Crittografa automaticamente i volumi Amazon EBS esistenti e nuovi - Prontuario AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografa automaticamente i volumi Amazon EBS esistenti e nuovi

Creato da Tony DeMarco (AWS) e Josh Joy () AWS

Archivio di codice: https://github.com/aws-samples/ aws-system-manager-automation-/unencrypted-to-encrypted-resourcestree/main/ebs

Ambiente: produzione

Tecnologie: archiviazione e backup; sicurezza, identità, conformità; gestione e governance

AWSservizi: AWS ConfigEBS; Amazon; AWS KMS AWS Organizations; Systems Manager AWS

Riepilogo

La crittografia dei volumi di Amazon Elastic Block Store (AmazonEBS) è importante per la strategia di protezione dei dati di un'organizzazione. È un passo importante nella creazione di un ambiente ben architettato. Sebbene non esista un modo diretto per crittografare EBS volumi o istantanee non crittografati esistenti, è possibile crittografarli creando un nuovo volume o un'istantanea. Per ulteriori informazioni, consulta EBS le risorse Encrypt nella EC2 documentazione di Amazon. Questo modello fornisce controlli preventivi e investigativi per crittografare i EBS volumi, sia nuovi che esistenti. In questo modello, si configurano le impostazioni dell'account, si creano processi di riparazione automatizzati e si implementano i controlli di accesso.

Prerequisiti e limitazioni

Prerequisiti

  • Un account Amazon Web Services (AWS) attivo

  • AWSCommand Line Interface (AWSCLI), installata e configurata su macOS, Linux o Windows

  • jq, installato e configurato su macOS, Linux o Windows

  • AWSLe autorizzazioni Identity and Access Management (IAM) sono fornite per avere accesso in lettura e scrittura ad AWS CloudFormation Amazon Elastic Compute Cloud (AmazonEC2), AWS Systems Manager, AWS Config e AWS Key Management Service () AWS KMS

  • AWSOrganizations è configurato con tutte le funzionalità abilitate, un requisito per le politiche di controllo del servizio

  • AWSConfig è abilitato negli account di destinazione

Limitazioni

  • Nel tuo AWS account di destinazione, non devono esserci regole di AWS Config denominate encrypted-volumes. Questa soluzione implementa una regola con questo nome. Le regole preesistenti con questo nome possono causare il fallimento della distribuzione e comportare costi inutili relativi all'elaborazione della stessa regola più di una volta.

  • Questa soluzione crittografa tutti i EBS volumi con la stessa AWS KMS chiave.

  • Se si abilita la crittografia dei EBS volumi per l'account, questa impostazione è specifica della regione. Se la abiliti per una AWS regione, non puoi disabilitarla per singoli volumi o istantanee in quella regione. Per ulteriori informazioni, consulta Encryption by default nella EC2 documentazione di Amazon.

  • Quando ripristini EBS volumi esistenti non crittografati, assicurati che l'EC2istanza non sia in uso. Questa automazione spegne l'istanza per scollegare il volume non crittografato e collegare quello crittografato. Si verificano tempi di inattività durante la riparazione. Se si tratta di un'infrastruttura fondamentale per la tua organizzazione, assicurati che siano presenti configurazioni manuali o automatiche ad alta disponibilità in modo da non influire sulla disponibilità delle applicazioni in esecuzione sull'istanza. Si consiglia di ripristinare le risorse critiche solo durante le finestre di manutenzione standard.

Architettura

Workflow di automazione

Diagramma di architettura di alto livello che mostra il processo e i servizi di automazione
  1. AWSConfig rileva un volume non crittografato. EBS

  2. Un amministratore utilizza AWS Config per inviare un comando di riparazione a Systems Manager.

  3. L'automazione Systems Manager scatta un'istantanea del volume non crittografatoEBS.

  4. L'automazione Systems Manager utilizza AWS KMS per creare una copia crittografata dell'istantanea.

  5. L'automazione Systems Manager esegue le seguenti operazioni:

    1. Arresta l'EC2istanza interessata se è in esecuzione

    2. Allega la nuova copia crittografata del volume all'istanza EC2

    3. Riporta l'EC2istanza allo stato originale

Strumenti

AWSservizi

  • AWSCLI— L'interfaccia a riga di AWS comando (AWSCLI) fornisce l'accesso diretto alle interfacce di programmazione delle applicazioni pubbliche (APIs) dei AWS servizi. È possibile esplorare le funzionalità di un servizio con AWS CLI e sviluppare script di shell per gestire le risorse. Oltre ai comandi API equivalenti a basso livello, diversi AWS servizi forniscono personalizzazioni per. AWS CLI Le personalizzazioni possono includere comandi di livello superiore che semplificano l'utilizzo di un servizio con un complesso. API

  • AWS CloudFormation— AWS CloudFormation è un servizio che consente di modellare e configurare le risorse. AWS Crei un modello che descrive tutte le AWS risorse che desideri (come EC2 le istanze Amazon) e fornisce e CloudFormation configura tali risorse per te.

  • AWSConfig: AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse nel tuo account. AWS Questo include le relazioni tra le risorse e la maniera in cui sono state configurate in passato, in modo che tu possa vedere come le configurazioni e le relazioni cambiano nel corso del tempo.

  • Amazon EC2 — Amazon Elastic Compute Cloud (AmazonEC2) è un servizio Web che fornisce una capacità di calcolo ridimensionabile da utilizzare per creare e ospitare i sistemi software.

  • AWSKMS— AWS Key Management Service (AWSKMS) è un servizio di crittografia e gestione delle chiavi scalato per il cloud. AWSKMSle chiavi e le funzionalità vengono utilizzate da altri AWS servizi ed è possibile utilizzarle per proteggere i dati nel proprio AWS ambiente.

  • AWSAWSOrganizations — Organizations è un servizio di gestione degli account che consente di consolidare più AWS account in un'organizzazione creata e gestita centralmente.

  • AWSSystems Manager Automation: Systems Manager Automation semplifica le attività comuni di manutenzione e distribuzione per EC2 le istanze Amazon e altre AWS risorse.

Altri servizi

  • jq — jq è un processore a riga di comando JSON leggero e flessibile. Questo strumento viene utilizzato per estrarre le informazioni chiave dall'output. AWS CLI

Codice

Epiche

AttivitàDescrizioneCompetenze richieste

Scarica script e CloudFormation modelli.

Scarica lo script di shell, il JSON file e i CloudFormation modelli dall'archivio Correggi GitHub automaticamente i EBS volumi non crittografati utilizzando le chiavi del cliente KMS.

AWSamministratore, Generale AWS

Identifica l'amministratore della AWS KMS chiave.

  1. Accedi alla console di AWS gestione e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Identifica un utente o un ruolo che sarà l'amministratore AWS KMS chiave. Se è necessario creare un nuovo utente o ruolo per questo scopo, crealo subito. Per ulteriori informazioni, consulta IAMIdentità nella IAM documentazione. Questa automazione crea una nuova AWS KMS chiave.

  3. Una volta identificato, copia l'Amazon Resource Name (ARN) dell'utente o del ruolo. Per ulteriori informazioni, IAMARNsconsulta la IAM documentazione. Lo utilizzerai ARN nel passaggio successivo.

AWSamministratore, generale AWS

Implementa il modello Stack1 CloudFormation .

  1. Apri la console all'AWS CloudFormation indirizzo. https://console.aws.amazon.com/cloudformation/

  2. In CloudFormation, distribuisci il Stack1.yaml modello. Tieni presente i seguenti dettagli di distribuzione:

    • Assegna allo stack un nome chiaro e descrittivo. Annota il nome dello stack perché avrai bisogno di questo valore nel passaggio successivo.

    • Incolla l'ARNindirizzo dell'amministratore chiave nell'unico campo del parametro in Stack1. Questo utente o ruolo diventa l'amministratore della AWS KMS chiave creata dallo stack.

Per ulteriori informazioni sulla distribuzione di un CloudFormation modello, consulta Lavorare con i AWS CloudFormation modelli nella CloudFormation documentazione.

AWSamministratore, Generale AWS

Implementa il modello Stack2 CloudFormation .

In CloudFormation, distribuisci il modello. Stack2.yaml Tieni presente i seguenti dettagli di distribuzione:

  • Assegna allo stack un nome chiaro e descrittivo.

  • Per l'unico parametro di Stack2, inserisci il nome dello stack che hai creato nel passaggio precedente. Ciò consente a Stack2 di fare riferimento alla nuova AWS KMS chiave e al nuovo ruolo implementati dallo stack nel passaggio precedente.

AWSamministratore, Generale AWS

Crea un volume non crittografato per il test.

Crea un'EC2istanza con un volume non crittografatoEBS. Per istruzioni, consulta Creare un EBS volume Amazon nella EC2 documentazione di Amazon. Il tipo di istanza non ha importanza e l'accesso all'istanza non è necessario. Puoi creare un'istanza t2.micro per rimanere nel livello gratuito e non è necessario creare una key pair.

AWSamministratore, Generale AWS

Prova la regola AWS Config.

  1. Apri la console AWS Config all'indirizzo. https://console.aws.amazon.com/config/ Nella pagina Regole, scegli la regola dei volumi crittografati.

  2. Verifica che la tua nuova istanza di test non crittografata compaia nell'elenco delle risorse non conformi. Se il volume non viene visualizzato immediatamente, attendi qualche minuto e aggiorna i risultati. La regola AWS Config rileva le modifiche alle risorse poco dopo la creazione dell'istanza e del volume.

  3. Seleziona la risorsa, quindi scegli Ripara.

È possibile visualizzare l'avanzamento e lo stato della riparazione in Systems Manager come segue:

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Automazione.

  3. Scegli il link Execution ID per visualizzare i passaggi e lo stato. 

AWSamministratore, Generale AWS

Configura account o AWS regioni aggiuntivi.

Se necessario per il tuo caso d'uso, ripeti questa epopea per eventuali account o AWS regioni aggiuntivi.

AWSamministratore, Generale AWS
AttivitàDescrizioneCompetenze richieste

Esegui lo script di abilitazione.

  1. In una shell bash, usa il cd comando per navigare nel repository clonato.

  2. Inserisci il comando seguente per eseguire lo script enable-ebs-encryption-for-account.

    ./Bash/enable-ebs-encryption-for-account.sh
AWSamministratore, Generale, bash AWS

Conferma che le impostazioni siano aggiornate.

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Sul lato destro dello schermo, in Impostazioni, scegli Protezione e sicurezza dei dati.

  3. Nella sezione EBSCrittografia, conferma che l'opzione Crittografa sempre EBS i nuovi volumi sia attivata e che la chiave di crittografia predefinita sia impostata su ARN quella specificata in precedenza.

    Nota: se l'impostazione Crittografa sempre EBS i nuovi volumi è disattivata o la chiave è ancora impostata su alias/aws/ebs, conferma di aver effettuato l'accesso allo stesso account e alla stessa AWS regione in cui hai eseguito lo script della shell e controlla la presenza di messaggi di errore nella shell.

AWSamministratore, Generale AWS

Configura account o AWS regioni aggiuntivi.

Se necessario per il tuo caso d'uso, ripeti questa epopea per eventuali account o AWS regioni aggiuntivi.

AWSamministratore, Generale AWS
AttivitàDescrizioneCompetenze richieste

Crea una politica di controllo del servizio.

  1. Apri la console AWS Organizations nella versione https://console.aws.amazon.com/organizations/v2/.

  2. Crea una nuova politica di controllo del servizio. Per ulteriori informazioni, vedere Creazione di una politica di controllo del servizio nella documentazione AWS Organizations.

  3. Aggiungi il contenuto di DenyUnencryptedEC2.json alla policy e salvala. Hai scaricato questo JSON file dal GitHub repository nella prima epopea.

  4. Allega questa politica alla radice dell'organizzazione o a qualsiasi unità organizzativa necessaria ()OUs. Per ulteriori informazioni, vedere Allegare e scollegare le politiche di controllo del servizio nella documentazione AWS Organizations.

AWSamministratore, Generale AWS

Risorse correlate

AWSdocumentazione di servizio

Altre risorse