AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK

Descrizione

Il AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK runbook crittografa, a riposo, le variabili di ambiente per la funzione ( AWS Lambda Lambda) specificata utilizzando una chiave AWS Key Management Service (AWS KMS) gestita dal cliente. Questo runbook deve essere usato solo come base per garantire che le variabili di ambiente della funzione Lambda siano crittografate secondo le migliori pratiche di sicurezza minime consigliate. Consigliamo di crittografare più funzioni con diverse chiavi gestite dal cliente.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Obbligatorio) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto.

  • FunctionName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome o la funzione Lambda ARN di cui si desidera crittografare le variabili di ambiente.

  • KMSKeyArn

    Tipo: stringa

    Descrizione: (Obbligatorio) La ARN chiave gestita AWS KMS dal cliente che desideri utilizzare per crittografare le variabili di ambiente della funzione Lambda.

Autorizzazioni richieste IAM

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • lambda:GetFunctionConfiguration

  • lambda:UpdateFunctionConfiguration

Fasi del documento

  • aws:waitForAwsResourceProperty- Attende che la LastUpdateStatus proprietà sia. Successful

  • aws:executeAwsApi- Crittografa le variabili di ambiente per la funzione Lambda specificata nel parametro utilizzando FunctionName AWS KMS la chiave gestita dal cliente specificata nel KMSKeyArn parametro.

  • aws:assertAwsResourceProperty- Conferma che la crittografia è abilitata sulle variabili di ambiente per la funzione Lambda.