Step Functions 中的静态数据加密

AWS Step Functions 始终使用透明的服务器端加密来加密您的静态数据。默认情况下，静态数据加密可减少保护敏感数据所涉及的操作开销和复杂性。您可以构建符合严格加密合规性和监管要求的安全敏感型应用程序。

尽管您无法禁用此加密层或选择其他加密类型，但您可以在创建状态机和活动资源时选择客户管理的密钥，从而在现有 AWS 拥有的加密密钥上添加第二层加密：

您可以使用客户管理的 AWS Step Functions 状态机和活动密钥对数据进行加密。在创建或更新状态机以及创建 Act ivit y 时，您可以配置对称 AWS KMS 密钥和数据密钥的重复使用周期。执行历史和状态机定义将使用应用于状态机的密钥进行加密。活动输入将使用应用于活动的密钥进行加密。

使用客户托管 AWS KMS 密钥，您可以保护包含受保护健康信息 (PHI) 的客户数据免遭未经授权的访问。Step Functions 与集成 CloudTrail，因此您可以在 CloudTrail 控制台中查看和审核事件历史记录中的最新事件。

有关信息 AWS KMS，请参阅什么是 AWS Key Management Service？

使用客户管理的密钥进行加密

Step Functions 使用您的客户托管 AWS KMS 密钥解密负载数据，然后将其传递给其他服务以执行任务。数据在传输过程中使用传输层安全 (TLS) 进行加密。

当从集成服务返回数据时，Step Functions 会使用您的客户托管 AWS KMS 密钥对数据进行加密。您可以使用相同的密钥对许多 AWS 服务进行一致的加密。

您可以将客户托管密钥与以下资源配合使用：

您可以通过输入密钥 ID 来指定数据密钥，St KMS e p Functions 使用该密钥来加密您的数据。

使用客户管理的密钥创建状态机

先决条件：在使用客户托管 AWS KMS 密钥创建状态机之前，您的用户或角色必须拥有DescribeKey和的 AWS KMS 权限GenerateDataKey。

您可以在 AWS 控制台中、通过或通过 AWS CloudFormation 资源配置基础架构来执行以下步骤。API（CloudFormation 示例将在本指南的后面部分介绍。）

步骤 1：创建 AWS KMS 密钥

您可以使用 AWS KMS 控制台或 AWS KMS APIs创建对称的客户托管密钥。

创建对称的客户托管密钥

按照《AWS Key Management Service 开发人员指南》中创建对称的客户托管密钥的步骤进行操作。

步骤 2：设置 AWS KMS 密钥策略

密钥策略控制对客户托管密钥的访问。每个客户托管式密钥必须只有一个密钥政策，其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时，可以指定密钥政策。有关信息，请参阅《AWS Key Management Service 开发人员指南》中的管理客户托管密钥的访问权限。

以下是控制台中的 AWS KMS 密钥策略示例，不包括密钥管理员或密钥用户：

{
      "Version": "2012-10-17",
      "Id": "key-consolepolicy-1",
      "Statement": [
        {
          "Sid": "Enable IAM User Permissions for the key",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
          },
          "Action": "kms:*",
          "Resource": "*"
        }
      ]
    }

有关在策略中指定权限和对密钥访问进行故障排除的信息，请参阅《AWS Key Management Service 开发人员指南》。

步骤 3：（可选）添加密钥策略以加密 CloudWatch 日志

Step Functions 与集成在一起， CloudWatch 用于记录和监控。您可以选择对发送到 Logs 的数据进行加 CloudWatch 密。要使用加密日志记录，您必须在状态机密钥策略中为 AWS KMS 操作提供对日志传输服务的访问权限。您可以使用状态机密钥加密日志组，也可以为日志组选择其他专用的密钥（例如，“日志组密钥”）。

要为状态机启用加密 CloudWatch 日志集成，您必须在 AWS KMS 密钥策略中添加以下内容：

{
    "Id": "key-consolepolicy-logging",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable log service for a single log group",
            "Effect": "Allow",
            "Principal": {
              "Service": "logs.region.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt*",
                "kms:Decrypt*",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:region:account-id:log-group:log-group-name"
                }
            }
        }
    ]
    }

您还必须启用日志服务交付才能与以下密钥策略集成：

{
      "Sid": "Enable log service delivery for integrations",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "kms:Decrypt*",
      "Resource": "*"
    }

步骤 4：创建状态机

创建密钥并设置策略后，您可以使用密钥创建新的状态机。

创建状态机时，选择其他配置，然后选择使用客户管理的密钥进行加密。然后，您可以选择密钥并将数据密钥的重复使用时间从 1 分钟设置为 15 分钟。

或者，您可以通过设置日志级别并选择使用您的密 AWS KMS 钥加密日志组来启用日志记录。

第 5 步：调用用您的 AWS KMS 密钥加密的状态机

您可以像往常一样调用加密状态机，您的数据将使用您的客户托管密钥进行加密。

要使用客户托管密钥开始执行标准工作流程和异步快递工作流程，您的执行角色需要kms:Decrypt和kms:GenerateDataKey权限。同步快速执行的执行角色需要kms:Decrypt。当您在控制台中创建状态机并选择创建新角色时，这些权限将自动包含在内。

使用客户管理的密钥创建活动

使用客户管理的密钥创建 Step Functions 活动与使用客户管理的密钥创建状态机类似。在使用客户托管 AWS KMS 密钥创建活动之前，您的用户或角色只需要 AWS KMS 权限DescribeKey。在创建活动期间，您可以选择密钥并设置加密配置参数。

请注意，Step Functions 活动资源保持不可变。您无法更新现有encryptionConfigurationARN活动的活动；必须创建新的活动资源。活动API端点的来电者必须拥有成功使用 AWS KMS 密钥创建活动的kms:DescribeKey权限。

在活动任务上启用客户托管密钥加密后，状态机执行角色将需要kms:GenerateDataKey活动密钥的kms:Decrypt权限。如果您是从 Step Functions 控制台创建此状态机，则自动角色创建功能将添加这些权限。

用条件缩小 AWS KMS 权限策略的范围

您可以使用密钥策略和IAM策略中的加密上下文conditions来控制对称客户托管密钥的访问权限。要将 AWS KMS 密钥的使用限制为代表特定角色从 Step Functions 发出的请求，您可以使用kms:ViaService条件。

使用加密上下文进行范围界定

加密上下文是一组可选的键值对，包含有关数据的其他上下文信息。

AWS KMS 使用加密上下文作为其他经过身份验证的数据来支持经过身份验证的加密。当您在加密数据的请求中包含加密上下文时，会将加密上下文 AWS KMS 绑定到加密数据。要解密数据，您必须在请求中包含相同的加密上下文。

Step Functions 提供了 AWS KMS 加密操作中的加密上下文，其中密钥aws:states:stateMachineArnaws:states:activityArn用于状态机或活动，值为资源 Amazon 资源名称 (ARN)。

"encryptionContext": {"aws:states:stateMachineArn": "arn:aws:states:region:123456789012:stateMachine:state_machine_name"}

"encryptionContext": {"aws:states:activityArn": "arn:aws:states:region:123456789012:activity:activity_name"}

以下示例说明如何使用aws:states:stateMachineArn上下文 AWS KMS 密钥将执行角色的密钥限制在特定的状态机上：kms:EncryptionContext

{
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "Allow KMS Permissions for StepFunctionsWorkflowExecutions",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
            ],
        "Resource": [
            "arn:aws:kms:aa-example-1:1234567890:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
            ],
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:aa-example-1:1234567890:stateMachine:MyStateMachine"
                }
            }
        }
    ]
}

使用 kms 进行范围界定：ViaService

kms:ViaService条件密钥将密 AWS Key Management Service 钥的使用限制为来自指定 AWS 服务的请求。

以下示例策略使用kms:ViaService条件，仅当请求来自该区域的 Step Functions 时，才允许将 AWS KMS 密钥用于特定操作，并代表该ca-central-1区域的 Step Functions： ExampleRole

{
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "Allow access for Key Administrators in a region",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::1234567890:role/ExampleRole"
            },
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
            ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "states.ca-central-1.amazonaws.com"
                }
            }
        }
    ]
}

来API电者所需的权限

要调用返回加密数据的 Step Functions API 操作，调用者需要 AWS KMS 权限。或者，某些API操作具有仅返回元数据的选项 (METADATA_ONLY)，从而取消了对 AWS KMS 权限的要求。有关信息，请参阅 Step Func API tions。

为了在使用客户托管密钥加密时成功完成执行，需要授予执行角色kms:GenerateDataKey以及状态机使用的 AWS KMS 密钥的kms:Decrypt权限。

下表显示了为Step Functions 状态机API调用者提供所需的 AWS KMS 权限。您可以在密钥策略或IAM策略中为角色提供权限。

下表显示了向 Step Functions Act ivity API 调用者提供所需的 AWS KMS 权限。您可以在密钥策略或IAM策略中为角色提供权限。

AWS CloudFormation 用于加密配置的资源

AWS CloudFormation Step Functions 的资源类型可以使用加密配置来配置状态机和活动资源。

默认情况下，Step Functions 提供透明的服务器端加密。两者都AWS::StepFunctions::ActivityAWS::StepFunctions::StateMachine接受一个可选EncryptionConfiguration属性，该属性可以为服务器端加密配置客户托管 AWS KMS 密钥。

先决条件：在使用客户托管 AWS KMS 密钥创建状态机之前，您的用户或角色必须拥有DescribeKey和的 AWS KMS 权限GenerateDataKey。

更新到 StateMachine 需要不中断。更新活动资源需要：替换。

要在 AWS CloudFormation 模板中声明EncryptionConfiguration属性，请使用以下语法：

JSON

{
  "KmsKeyId" : String,
  "KmsDataKeyReusePeriodSeconds" : Integer,
  "Type" : String
}

YAML

KmsKeyId: String
KmsDataKeyReusePeriodSeconds: Integer
Type: String

属性

AWS CloudFormation 例子

示例： StateMachine 使用客户托管密钥

AWSTemplateFormatVersion: '2010-09-09'
Description: An example template for a Step Functions State Machine.
Resources:
  MyStateMachine:
    Type: AWS::StepFunctions::StateMachine
    Properties:
      StateMachineName: HelloWorld-StateMachine
      Definition:
        StartAt: PassState
        States:
          PassState:
            Type: Pass
            End: true
      RoleArn: !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:role/example"
      EncryptionConfiguration:
        KmsKeyId: !Ref MyKmsKey
        KmsDataKeyReusePeriodSeconds: 100
        Type: CUSTOMER_MANAGED_KMS_KEY

  MyKmsKey:
    Type: AWS::KMS::Key
    Properties:
      Description: Symmetric KMS key used for encryption/decryption

示例：使用客户托管密钥的活动

AWSTemplateFormatVersion: '2010-09-09'
Description: An example template for a Step Functions Activity.
Resources:
  Activity:
    Type: AWS::StepFunctions::Activity
    Properties:
      Name: ActivityWithKmsEncryption
      EncryptionConfiguration:
        KmsKeyId: !Ref MyKmsKey
        KmsDataKeyReusePeriodSeconds: 100
        Type: CUSTOMER_MANAGED_KMS_KEY

  MyKmsKey:
    Type: AWS::KMS::Key
    Properties:
      Description: Symmetric KMS key used for encryption/decryption
                    

更新活动的加密需要创建新资源

活动配置是不可变的，资源名称必须是唯一的。要为加密设置客户管理的密钥，您必须创建新的活动。如果您尝试更改CFN模板中现有活动的配置，则会收到ActivityAlreadyExists异常消息。

要更新您的活动以包含客户管理的密钥，请在CFN模板中设置一个新的活动名称。以下示例显示了使用客户托管密钥配置创建新活动的示例：

现有活动定义

AWSTemplateFormatVersion: '2010-09-09'
    Description: An example template for a new Step Functions Activity.
    Resources:
        Activity:
        Type: AWS::StepFunctions::Activity
        Properties:
            Name: ActivityName
            EncryptionConfiguration:
                Type: AWS_OWNED_KEY

新的活动定义

AWSTemplateFormatVersion: '2010-09-09'
    Description: An example template for a Step Functions Activity.
    Resources:
      Activity:
        Type: AWS::StepFunctions::Activity
        Properties:
          Name: ActivityWithKmsEncryption
          EncryptionConfiguration:
            KmsKeyId: !Ref MyKmsKey
            KmsDataKeyReusePeriodSeconds: 100
            Type: CUSTOMER_MANAGED_KMS_KEY

      MyKmsKey:
        Type: AWS::KMS::Key
        Properties:
          Description: Symmetric KMS key used for encryption/decryption

监控您的加密密钥使用情况

当你使用 AWS KMS 客户管理的密钥来加密你的 Step Functions 资源时，你可以用它 CloudTrail来跟踪 Step Functions 发送到的请求 AWS KMS。

您还可以在审核记录和日志中使用加密上下文来确定客户托管密钥的使用情况。加密上下文还会显示在生成的日志中AWS CloudTrail。

以下示例是DecryptDescribeKey、和GenerateDataKey监控 Step Functions 为访问由客户托管密钥加密的数据而调用的 AWS KMS 操作 CloudTrail 的事件：

FAQs

如果我的密钥被标记为删除或删除，会发生 AWS KMS什么？

如果密钥在中被删除或标记为删除 AWS KMS，则任何相关的运行执行都将失败。在您移除或更改与工作流程关联的密钥之前，无法开始新的执行。删除 AWS KMS 密钥后，与工作流程执行相关的所有加密数据都将保持加密状态，无法再解密，从而使数据无法恢复。

如果 AWS KMS 密钥在中被禁用会 AWS KMS怎样？

如果在中禁用了 AWS KMS 密钥 AWS KMS，则任何相关的运行执行都将失败。无法开始新的处决。在重新启用该禁用密 AWS KMS 钥之前，您无法再解密使用该禁用密钥加密的数据。

发送到的执行状态变更事件会怎 EventBridge样？

使用您的客户托管 AWS KMS 密钥加密的工作流程的执行状态更改事件将不包括执行输入、输出、错误和原因。

了解更多

有关静态数据加密的信息，请参阅《AWS Key Management Service 开发人员指南》 AWS Key Management Service中的AWS Key Management Service 概念和安全最佳实践。