AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK

Descrição

O AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK runbook criptografa, em repouso, as variáveis de ambiente para a função ( AWS Lambda Lambda) que você especifica usando uma chave gerenciada pelo cliente AWS Key Management Service (AWS KMS). Esse runbook só deve ser usado como uma linha de base para garantir que as variáveis de ambiente da sua função do Lambda sejam criptografadas de acordo com as melhores práticas de segurança mínimas recomendadas. Recomendamos criptografar várias funções com diferentes chaves gerenciadas pelo cliente.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: string

    Descrição: (Obrigatório) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome.

  • FunctionName

    Tipo: string

    Descrição: (Obrigatório) O nome ou ARN a função Lambda cujas variáveis de ambiente você deseja criptografar.

  • KMSKeyArn

    Tipo: string

    Descrição: (Obrigatório) A ARN chave gerenciada pelo AWS KMS cliente que você deseja usar para criptografar as variáveis de ambiente da função Lambda.

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • lambda:GetFunctionConfiguration

  • lambda:UpdateFunctionConfiguration

Etapas do documento

  • aws:waitForAwsResourceProperty :Espera que a propriedade LastUpdateStatus fique Successful.

  • aws:executeAwsApi- Criptografa as variáveis de ambiente da função Lambda que você especifica FunctionName no parâmetro usando AWS KMS a chave gerenciada pelo cliente especificada no KMSKeyArn parâmetro.

  • aws:assertAwsResourceProperty :Confirma que a criptografia está habilitada nas variáveis de ambiente da sua função do Lambda.