本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開啟工作階段資料的 KMS 金鑰加密 (主控台)
使用 AWS Key Management Service (AWS KMS) 建立和管理加密金鑰。使用 AWS KMS,您可以控制在應用程式的各種 AWS 服務 和 中使用加密。您可以指定在受管節點與 中使用者的本機機器之間傳輸的工作階段資料 AWS 帳戶 ,會使用 KMS 金鑰加密進行加密。(這是除了預設 AWS 已提供的 TLS 1.2/1.3 加密之外。) 若要加密 Session Manager 工作階段資料,使用 建立對稱 KMS 金鑰 AWS KMS。
AWS KMS 加密適用於 Standard_Stream
、 InteractiveCommands
和 NonInteractiveCommands
工作階段類型。若要使用 選項,使用在 2.3 AWS KMS.539.0 版或更新版本中建立的金鑰來加密工作階段資料 AWS Systems Manager SSM Agent 必須安裝在受管節點上。
注意
您必須允許 AWS KMS 加密,才能從 AWS Systems Manager 主控台重設受管節點上的密碼。如需詳細資訊,請參閱在受管節點上重設密碼。
您可以使用您在 中建立的金鑰 AWS 帳戶。您也可以使用在不同 AWS 帳戶中建立的金鑰。不同 中金鑰的建立者 AWS 帳戶 必須為您提供使用金鑰所需的許可。
開啟工作階段資料的 KMS 金鑰加密後,啟動工作階段的使用者及其連線的受管節點都必須具有使用金鑰的許可。您提供將 KMS 金鑰與 搭配使用的許可 Session Manager through AWS Identity and Access Management (IAM) 政策。如需詳細資訊,請參閱以下主題:
-
新增您帳戶中使用者的 AWS KMS 許可:的 IAM政策範例 Session Manager。
-
新增 帳戶中受管節點的 AWS KMS 許可:步驟 2:為 Session Manager 確認或新增執行個體許可。
如需建立和管理 KMS 金鑰的詳細資訊,請參閱 AWS Key Management Service 開發人員指南。
如需有關使用 AWS CLI 開啟帳戶中工作階段資料的 KMS 金鑰加密的資訊,請參閱 建立 Session Manager 偏好設定文件 (命令列)或 更新 Session Manager 偏好設定 (命令列)。
注意
使用 KMS 金鑰需要付費。如需相關資訊,請參閱 AWS Key Management Service 定價
若要開啟工作階段資料的 KMS 金鑰加密 (主控台)
在 https://console.aws.amazon.com/systems-manager/
開啟 AWS Systems Manager 主控台。 -
在導覽窗格中,選擇 Session Manager.
-
選擇 Preferences (偏好) 標籤,然後選擇 Edit (編輯)。
-
選取啟用 KMS 加密旁的核取方塊。
-
執行以下任意一項:
-
選擇目前帳戶中選取 KMS 金鑰旁的按鈕,然後從清單中選擇金鑰。
-或-
選擇輸入 KMS 金鑰別名或 KMS 金鑰 ARN 旁的按鈕。為目前帳戶中建立的金鑰手動輸入 KMS 金鑰別名,或為另一個帳戶中的金鑰輸入金鑰的 Amazon Resource Name (ARN)。範例如下:
-
金鑰別名:
alias/my-kms-key-alias
-
ARN:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE
-或-
選擇建立新金鑰,在帳戶中建立新的 KMS 金鑰。在建立新的金鑰後,返回 Preferences (偏好設定) 標籤,然後選取要用來在您帳戶中加密工作階段資料的金鑰。
-
如需共用金鑰的詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的允許外部 AWS 帳戶 存取金鑰。
-
-
選擇 Save (儲存)。