As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografe automaticamente volumes novos e existentes do Amazon EBS
Criado por Tony DeMarco (AWS) e Josh Joy (AWS)
Repositório de código: https://github.com/aws-samples/ aws-system-manager-automation - unencrypted-to-encrypted-resources | Ambiente: produção | Tecnologias: armazenamento e backup; segurança, identidade, conformidade; gerenciamento e governança |
Serviços da AWS: AWS Config; Amazon EBS; AWS KMS; AWS Organizations; AWS Systems Manager |
Resumo
A criptografia de volumes do Amazon Elastic Block Store (Amazon EBS) é importante para a estratégia de proteção de dados de uma organização. É uma etapa importante no estabelecimento de um ambiente bem arquitetado. Embora não haja uma maneira direta de criptografar um volume ou um snapshot não criptografado existente, é possível criptografá-los criando um volume ou um snapshot. Para obter mais informações, consulte Criptografar recursos do EBS na documentação do Amazon EC2. Esse padrão fornece controles preventivos e de detecção para criptografar seus volumes do EBS, tanto novos quanto existentes. Nesse padrão, você define as configurações da conta, cria processos automatizados de remediação e implementa controles de acesso.
Pré-requisitos e limitações
Pré-requisitos
Uma conta ativa da Amazon Web Services (AWS)
AWS Command Line Interface (AWS CLI) instalado e configurado em macOS, Linux ou Windows
jq
, instalado e configurado em macOS, Linux ou Windows As permissões do AWS Identity and Access Management (IAM) são provisionadas para ter acesso de leitura e gravação à AWS, CloudFormation Amazon Elastic Compute Cloud (Amazon EC2), AWS Systems Manager, AWS Config e AWS Key Management Service (AWS KMS)
O AWS Organizations está configurado com todos os atributos habilitados, um requisito para políticas de controle de serviços
O AWS Config está habilitado nas contas de destino
Limitações
Não deve haver regras do AWS Config denominadas encrypted-volumes em sua conta de destino da AWS. Essa solução implanta uma regra com esse nome. Regras preexistentes com esse nome podem causar falhas na implantação e resultar em cobranças desnecessárias relacionadas ao processamento da mesma regra mais de uma vez.
Essa solução criptografa todos os volumes do EBS com a mesma chave do AWS KMS.
Se você habilitar a criptografia de volumes do EBS para a conta, essa configuração será específica da região. Se você habilitá-lo para uma região da AWS, não poderá desabilitá-lo para volumes ou snapshots individuais nessa região. Para obter mais informações, consulte Criptografia por padrão na documentação do Amazon EC2.
Ao corrigir volumes do EBS existentes e não criptografados, certifique-se de que a instância do EC2 não esteja em uso. Essa automação desativa a instância para separar o volume não criptografado e anexar o volume criptografado. Um tempo de inatividade ocorre enquanto a remediação está em andamento. Se essa for uma parte essencial da infraestrutura da sua organização, certifique-se de que as configurações manuais ou automáticas de alta disponibilidade estejam em vigor para não afetar a disponibilidade de nenhum aplicativo em execução na instância. Recomendamos que você corrija os recursos essenciais somente durante as janelas de manutenção padrão.
Arquitetura
Fluxo de trabalho de automação
O AWS Config detecta um volume não criptografado do EBS.
Um administrador usa o AWS Config para enviar um comando de remediação ao Systems Manager.
A automação do Systems Manager cria um snapshot (instantâneo) do volume EBS não criptografado.
A automação do Systems Manager usa o AWS KMS para criar uma cópia criptografada do snapshot.
A automação do Systems Manager faz o seguinte:
Interrompe a instância do EC2 afetada se ela estiver em execução
Anexa a nova cópia criptografada do volume à instância do EC2
Retorna a instância do EC2 ao seu estado original
Ferramentas
Serviços da AWS
AWS CLI: a AWS Command Line Interface (AWS CLI) fornece acesso direto às interfaces públicas de programação de aplicações (APIS) dos serviços da AWS. Você pode explorar os recursos de um serviço com a AWS CLI e desenvolver scripts de shell para gerenciar seus recursos. Além dos comandos equivalentes à API de baixo nível, vários serviços da AWS fornecem personalizações para a AWS CLI. As personalizações podem incluir comandos de nível mais elevado que simplificam o uso de um serviço com uma API complexa.
AWS CloudFormation — CloudFormation A AWS é um serviço que ajuda você a modelar e configurar seus recursos da AWS. Você cria um modelo que descreve todos os recursos da AWS que você deseja (como instâncias do Amazon EC2) e CloudFormation provisiona e configura esses recursos para você.
AWS Config: o AWS Config oferece uma exibição detalhada da configuração dos recursos da AWS em sua conta da AWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e as configurações foram alterados ao longo do tempo.
Amazon EC2: o Amazon Elastic Compute Cloud (Amazon EC2) é um serviço web que fornece capacidade de computação redimensionável que você usa para criar e host seus sistemas de software.
AWS KMS: o AWS Key Management Service (AWS KMS) é um serviço de criptografia e gerenciamento de chave com escalabilidade para a nuvem. As chaves e funcionalidades do AWS KMS são usadas por outros serviços da AWS e você pode usá-las para proteger dados em seu ambiente da AWS.
AWS Organizations: o AWS Organizations é um serviço de gerenciamento de contas que permite consolidar várias contas da AWS em uma organização que você cria e gerencia centralmente.
AWS Systems Manager Automation: o Systems Manager Automation simplifica tarefas comuns de manutenção e implantação para instâncias do Amazon EC2 e outros recursos da AWS.
Outros serviços
jq
: o jq é um processador JSON de linha de comando leve e flexível. Você usa essa ferramenta para extrair informações importantes da saída da AWS CLI.
Código
O código desse padrão está disponível no repositório de chaves GitHub KMS do cliente para corrigir automaticamente volumes do EBS não criptografados
.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Baixe scripts e CloudFormation modelos. | Baixe o script de shell, o arquivo JSON e os CloudFormation modelos do repositório de chaves KMS do cliente para corrigir GitHub automaticamente volumes do EBS não criptografados | Administrador AWS, Geral AWS |
Identifique o administrador da chave do AWS KMS. |
| Administrador AWS, Geral AWS |
Implante o modelo Stack1 CloudFormation . |
Para obter mais informações sobre a implantação de um CloudFormation modelo, consulte Como trabalhar com CloudFormation modelos da AWS na CloudFormation documentação. | Administrador AWS, Geral AWS |
Implante o modelo Stack2 CloudFormation . | Em CloudFormation, implante o
| Administrador AWS, Geral AWS |
Crie um volume não criptografado para testes. | Crie uma instância do EC2 com um volume não criptografado do EBS. Para obter instruções, consulte Criar um volume do Amazon EBS na documentação do Amazon EC2. O tipo de instância não importa e o acesso à instância não é necessário. Você pode criar uma instância t2.micro para permanecer no nível gratuito e não precisa criar um par de chaves. | Administrador AWS, Geral AWS |
Teste a regra do AWS Config. |
Você pode visualizar o progresso e o status da remediação no Systems Manager da seguinte forma:
| Administrador AWS, Geral AWS |
Configure contas adicionais ou regiões da AWS. | Conforme necessário para seu caso de uso, repita esse épico para qualquer conta adicional ou região da AWS. | Administrador AWS, Geral AWS |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Execute o script de habilitação. |
| Administrador AWS, Geral AWS, bash |
Confirme se as configurações estão atualizadas. |
| Administrador AWS, Geral AWS |
Configure contas adicionais ou regiões da AWS. | Conforme necessário para seu caso de uso, repita esse épico para qualquer conta adicional ou região da AWS. | Administrador AWS, Geral AWS |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Crie uma política de controle de serviço. |
| Administrador AWS, Geral AWS |
Recursos relacionados
Documentação do serviço AWS
Outros recursos
manual do jq
(site jq) download jq
() GitHub