Mudar para uma chave gerenciada pelo cliente do AWS KMS para fornecer criptografia para recursos do S3
Durante o processo de integração do console unificado do Systems Manager, a Quick Setup cria um bucket do Amazon Simple Storage Service (Amazon S3) na conta do administrador delegado. Esse bucket é usado para armazenar os dados de saída de diagnóstico gerados durante as execuções do runbook de correção. Por padrão, o bucket usa criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).
Você pode revisar o conteúdo dessas políticas em Políticas de bucket do S3 para o console unificado do Systems Manager.
No entanto, você pode usar a criptografia no lado do servidor com o AWS KMS keys (SSE-KMS) usando uma chave gerenciada pelo cliente (CMK) como alternativa a uma AWS KMS key.
Conclua as tarefas a seguir para configurar o Systems Manager para usar sua CMK.
Tarefa 1: adicionar uma tag a uma CMK existente
O AWS Systems Manager usará sua CMK somente se ela estiver marcada com o seguinte par de chave-valor:
-
Chave:
SystemsManagerManaged -
Valor:
true
Use o procedimento a seguir para fornecer acesso para criptografar o bucket do S3 com sua CMK.
Para adicionar uma tag à sua CMK existente
-
Abra o console do AWS KMS em https://console.aws.amazon.com/kms
. -
Na navegação esquerda, escolha Chaves gerenciadas pelo cliente.
-
Selecione o AWS KMS key para usar com o AWS Systems Manager.
-
Selecione a guia Etiquetas e escolha Editar.
-
Escolha Adicionar Tag.
-
Faça o seguinte:
-
Em Tag Key (Chave de tags), digite
SystemsManagerManaged. -
Em Valor da tag, insira
true.
-
-
Escolha Salvar.
Tarefa 2: modificar uma política de chave de CMK existente
Use o procedimento a seguir para atualizar a política de chave do KMS da sua CMK para permitir que os perfis do AWS Systems Manager criptografem o bucket do S3 em seu nome.
Para modificar uma política de chave de CMK existente
-
Abra o console do AWS KMS em https://console.aws.amazon.com/kms
. -
Na navegação esquerda, escolha Chaves gerenciadas pelo cliente.
-
Selecione o AWS KMS key para usar com o AWS Systems Manager.
-
Na guia Política de chave, escolha Editar.
-
Adicione a instrução JSON a seguir ao campo
Statemente substitua osvalores do espaço reservadopor suas próprias informações.Certifique-se de adicionar todas as IDs de Conta da AWS integradas em sua organização ao AWS Systems Manager no campo
Principal.Para localizar o nome correto do bucket no console do Amazon S3, na conta do administrador delegado, localize o bucket no formato
do-not-delete-ssm-.operational-account-id-home-region-disambiguator{ "Sid": "EncryptionForSystemsManagerS3Bucket", "Effect": "Allow", "Principal": { "AWS": [ "account-id-1", "account-id-2", ... ] }, "Action": ["kms:Decrypt", "kms:GenerateDataKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket-name" }, "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*" } } }
dica
Como alternativa, é possível atualizar a política de chave de CMK usando a chave de condição aws:PrincipalOrgID para conceder ao AWS Systems Manager acesso à sua CMK.
Tarefa 3: especificar a CMK nas configurações do Systems Manager
Após concluir as duas tarefas anteriores, use o procedimento a seguir para alterar a criptografia do bucket do S3. Essa alteração garante que o processo de configuração da Quick Setup associado possa adicionar permissões para que o Systems Manager aceite sua CMK.
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, selecione Configurações.
-
Na guia Diagnosticar e corrigir, na seção Atualizar criptografia do bucket S3, escolha Editar.
-
Marque a caixa de seleção Personalizar configurações de criptografia (avançadas).
-
Na caixa de pesquisa (
), escolha o ID de uma chave existente ou cole o ARN de uma chave existente. -
Escolha Salvar.
