Criptografar artefatos do canário - Amazon CloudWatch
Atualizar a localização e a criptografia do artefato ao usar o monitoramento visual

Criptografar artefatos do canário

O CloudWatch Synthetics armazena artefatos do canário, como capturas de tela, arquivos HAR e relatórios no bucket do Amazon S3. Por padrão, esses artefatos são criptografados em repouso usando uma chave gerenciada pela AWS. Para obter mais informações, consulte Chaves do cliente e chaves da AWS.

Você pode escolher usar uma opção de criptografia diferente. O CloudWatch Synthetics oferece suporte ao seguinte:

  • SSE-S3: criptografia do lado do servidor (SSE) com uma chave gerenciada pelo Amazon S3.

  • SSE-KMS: SSE com uma chave do AWS KMS gerenciada pelo cliente.

Se você quiser usar a opção de criptografia padrão com uma chave gerenciada pela AWS, não precisa de permissões adicionais.

Para usar a criptografia SSE-S3, especifique SSE_S3 como o modo de criptografia ao criar ou atualizar seu canário. Não são necessárias permissões adicionais para usar esse modo de criptografia. Para obter mais informações, consulte Proteção de dados usando criptografia no lado do servidor com chaves de criptografia gerenciadas do Amazon S3 (SSE-S3).

Para usar uma chave do AWS KMS gerenciada pelo cliente, especifique SSE-KMS como o modo de criptografia quando você cria ou atualiza seu canário e também forneça o nome do recurso da Amazon (ARN) da sua chave. Você também pode usar uma chave do KMS entre contas.

Para usar uma chave gerenciada pelo cliente, são necessárias as seguintes configurações:

  • A função do IAM para seu canário deve ter permissão para criptografar seus artefatos usando sua chave. Se você estiver usando o monitoramento visual, também deverá dar permissão para descriptografar artefatos.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • Em vez de adicionar permissões à sua função do IAM, você pode adicionar sua função do IAM à política de chaves. Considere utilizar essa abordagem se você usar a mesma função para vários canaries.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Se você estiver usando uma chave do KMS entre contas, consulte Permitir que usuários de outras contas usem uma chave do KMS.

Visualização de artefatos do canário criptografados ao usar uma chave gerenciada pelo cliente

Para visualizar artefatos do canário, atualize sua chave gerenciada pelo cliente para dar ao AWS KMS a permissão de descriptografar para o usuário visualizar os artefatos. Como alternativa, adicione permissões de descriptografia ao usuário ou perfil do IAM que estiver exibindo os artefatos.

A política padrão AWS KMS habilita as políticas do IAM na conta para conceder acesso às chaves do KMS. Se você estiver usando uma chave do KMS entre contas, consulte Por que os usuários entre contas recebem erros de acesso negado quando tentam acessar objetos do Amazon S3 criptografados por uma chave personalizada do AWS KMS?.

Para obter mais informações sobre a solução de problemas de acesso negadas por causa de uma chave do KMS, consulte Solucionar problemas de acesso à chave.

Atualizar a localização e a criptografia do artefato ao usar o monitoramento visual

Para realizar o monitoramento visual, o CloudWatch Synthetics compara suas capturas de tela com capturas de tela de linha de base adquiridas na execução selecionada como linha de base. Se você atualizar a localização do artefato ou a opção de criptografia, faça o seguinte:

  • Certifique-se de que sua função do IAM tenha permissão suficiente para o local anterior do Amazon S3 e para o novo local do Amazon S3 para artefatos. Certifique-se também de que ele tenha permissão para os métodos de criptografia anteriores e novos e chaves do KMS.

  • Crie uma nova linha de base selecionando a próxima execução do canário como uma nova linha de base. Se você usar essa opção, você só precisa garantir que sua função do IAM tenha permissões suficientes para a nova opção de criptografia e localização do artefato.

Recomendamos a segunda opção de seleção da próxima execução como a nova linha de base. Isso evita ter uma dependência de um local de artefato ou opção de criptografia que você não está mais usando para o canário.

Por exemplo, suponha que seu canário use a localização do artefato A e a chave K do KMS para carregar artefatos. Se você atualizar seu canário para o local de artefato B e a chave L do KMS, você pode garantir que sua função do IAM tenha permissões para ambos os locais de artefatos (A e B) e ambas as chaves do KMS (K e L). Como alternativa, você pode selecionar a próxima execução como a nova linha de base e garantir que seu perfil do IAM do canário tenha permissões para o local do artefato B e a chave L do KMS.