Ativar a criptografia de chaves do KMS de dados de sessão (console)
Use o AWS Key Management Service (AWS KMS) para criar e gerenciar chaves de criptografia. Com o AWS KMS, você pode controlar o uso da criptografia em uma grande variedade de Serviços da AWS e nos seus aplicativos. Você pode especificar que os dados da sessão transmitidos entre os nós gerenciados e os computadores locais dos usuários na sua Conta da AWS sejam criptografados usando a criptografia de chaves do KMS. (Isso é um complemento à criptografia TLS 1.2/1.3 que já é fornecida pela AWS por padrão.) Para criptografar os dados da sessão do Session Manager, crie uma chave do KMS simétrica usando o AWS KMS.
A criptografia do AWS KMS está disponível para os tipos de sessão Standard_Stream
, InteractiveCommands
e NonInteractiveCommands
. Para usar a opção de criptografar dados da sessão usando uma chave criada no AWS KMS (AWS Systems Manager), a versão 2.3.539.0 ou posterior do SSM Agent deve ser instalada em seu nó gerenciado.
nota
Você deve permitir a criptografia do AWS KMS para redefinir senhas em seus nós gerenciados no console do AWS Systems Manager. Para ter mais informações, consulte Redefina uma senha em um nó gerenciado.
Você pode usar uma chave que criou na sua Conta da AWS. Também pode usar uma chave criada em uma Conta da AWS diferente. O criador da chave em uma Conta da AWS diferente deve fornecer as permissões necessárias para usar essa chave.
Depois que você habilitar a criptografia de chaves do KMS para dados de sessão, os usuários que iniciarem sessões e nós gerenciados, às quais eles estiverem conectados, deverão ter permissão para usar essa chave. Você fornece permissão para usar a chave KMS com o Session Manager por meio de políticas do IAM AWS Identity and Access Management. Para obter informações, consulte os seguintes tópicos:
-
Adicione permissões de AWS KMS para usuários na sua conta: Exemplo de políticas do IAM para Session Manager
-
Adicione permissões do AWS KMS para nós gerenciados na sua conta: Etapa 2: verificar ou adicionar permissões de instância para o Session Manager
Para obter mais informações sobre como criar e gerenciar chaves KMS, consulte o Guia do desenvolvedor do AWS Key Management Service.
Para obter informações sobre como usar a AWS CLI para ativar a criptografia de chaves do KMS de dados de sessão na sua conta, consulte Criar um documento de preferências (linha de comando) do Session Manager ou Atualizar preferências do Session Manager (linha de comando).
nota
Há cobrança para usar chaves do KMS. Para obter mais informações, consulte Definição de preço do AWS Key Management Service
Para ativar a criptografia de chaves do KMS de dados de sessão (console)
Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Session Manager.
-
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
-
Marque a caixa de seleção ao lado de Enable KMS encryption (Ativar criptografia KMS).
-
Execute um destes procedimentos:
-
Selecione o botão ao lado de Select an KMS key in my current account (Selecione uma chave KMS em minha conta atual) e escolha uma chave da lista.
- ou -
Escolha o botão ao lado de Enter a KMS key alias or KMS key ARN (Insira um alias de chave KMS ou um ARN de chave KMS). Insira manualmente um alias de chave do KMS para uma chave criada na sua conta atual ou insira o nome do recurso da Amazon (ARN) de uma chave em outra conta. Veja os exemplos a seguir:
-
Alias da chave:
alias/my-kms-key-alias
-
Nome de região da Amazon (ARN) do alias da chave:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE
- ou -
Escolha Create new key (Criar nova chave) para criar uma nova chave do KMS na sua conta. Depois de criar a nova chave, retorne à guia Preferences (Preferências) e selecione a chave para criptografar dados de sessão na sua conta.
-
Para obter mais informações sobre como compartilhar chaves, consulte Allowing External Contas da AWS to Access a key no Guia do desenvolvedor do AWS Key Management Service.
-
-
Escolha Salvar.