Verschlüsseln von Canary-Artefakten - Amazon CloudWatch
Aktualisieren des Artefaktspeicherortes und der Verschlüsselung bei Verwendung der visuellen Überwachung

Verschlüsseln von Canary-Artefakten

CloudWatch Synthetics speichert Canary-Artefakte wie Screenshots, HAR-Dateien und Berichte in Ihrem Amazon-S3-Bucket. Standardmäßig werden diese Artefakte im Ruhezustand mit einemAWS-verwalteten Schlüssel verschlüsselt. Weitere Informationen finden Sie unter Kundenschlüssel und AWS-Schlüssel.

Sie können eine andere Verschlüsselungsoption verwenden. CloudWatch Synthetics unterstützt Folgendes:

  • SSE S3 – Serverseitige Verschlüsselung (SSE) mit einem von Amazon S3 verwalteten Schlüssel.

  • SSE-KMS – Serverseitige Verschlüsselung (SSE) mit einem vom Kunden verwalteten AWS KMS-Schlüssel.

Wenn Sie die Standardverschlüsselungsoption mit einem AWS-verwalteten Schlüssel verwenden möchten, benötigen Sie keine weiteren Berechtigungen.

Um SSE-S3-Verschlüsselung zu verwenden, geben Sie SSE_S3 als Verschlüsselungsmodus an, wenn Sie einen Canary erstellen oder aktualisieren. Um diesen Verschlüsselungsmodus zu verwenden, benötigen Sie keine zusätzlichen Berechtigungen. Weitere Informationen finden Sie unter Protecting data using server-side encryption with Amazon S3-managed encryption keys (SSE-S3) (Schutz von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3).

Geben Sie für die Verwendung eines kundenverwalteten AWS KMS-Schlüssels SSE-KMS als Verschlüsselungsmodus an, wenn Sie einen Canary erstellen oder aktualisieren. Geben Sie zusätzlich den Amazon Resource Name (ARN) Ihres Schlüssels an. Sie können auch einen kontoübergreifenden KMS-Schlüssel verwenden.

Um einen vom Kunden verwalteten Schlüssel verwenden zu können, benötigen Sie folgende Einstellungen:

  • Die IAM-Rolle für den Canary muss die Berechtigung haben, Ihre Artefakte mit Ihrem Schlüssel zu verschlüsseln. Wenn Sie eine visuelle Überwachung verwenden, müssen Sie ihr auch die Berechtigung zum Entschlüsseln von Artefakten erteilen.

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowKMSKeyUsage",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

  • Anstatt Ihrer IAM-Rolle Berechtigungen hinzuzufügen, können Sie Ihre IAM-Rolle zu Ihrer Schlüsselrichtlinie hinzufügen. Wenn Sie dieselbe Rolle für mehrere Canarys verwenden, sollten Sie diesen Ansatz in Betracht ziehen.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Wenn Sie einen kontoübergreifenden KMS-Schlüssel verwenden, lesen Sie den Abschnitt Gestatten, dass Benutzer anderer Konten einen KMS-Schlüssel verwenden.

Anzeigen verschlüsselter Canary-Artefakte bei Verwendung eines vom Kunden verwalteten Schlüssels

Um Canary-Artefakte anzuzeigen, aktualisieren Sie Ihren vom Kunden verwalteten Schlüssel, um AWS KMS die Entschlüsselungsberechtigung für den Benutzer zu erteilen, der die Artefakte ansieht. Alternativ können Sie dem Benutzer oder der IAM-Rolle, die die Artefakte anzeigt, Entschlüsselungsberechtigungen hinzufügen.

Die AWS KMS-Standardrichtlinie ermöglicht es IAM-Richtlinien im Konto, den Zugriff auf die KMS-Schlüssel zu erlauben. Wenn Sie einen kontoübergreifenden KMS-Schlüssel verwenden, finden Sie unter Why are cross-account users getting Access Denied errors when tehy try to access Amazon S3 objects encrypted by a custom AWS KMS key? (Warum erhalten kontoübergreifende Benutzer den Fehler „Zugriff verweigert“, wenn sie versuchen, auf Amazon-S3-Objekte zuzugreifen, die von einem benutzerdefinierten KMS-Schlüssel verschlüsselt sind?)

Weitere Informationen zum Beheben von Problemen mit Zugriffsverweigerung aufgrund eines KMS-Schlüssels finden Sie unter Troubleshooting key access (Fehlerbehebung beim Zugriff mit einem Schlüssel).

Aktualisieren des Artefaktspeicherortes und der Verschlüsselung bei Verwendung der visuellen Überwachung

Um eine visuelle Überwachung durchzuführen, vergleicht CloudWatch Synthetics Ihre Screenshots mit Baseline-Screenshots, die in der als Baseline ausgewählten Ausführung aufgenommen wurden. Wenn Sie Ihren Artefaktspeicherort oder Ihre Verschlüsselungsoption aktualisieren, müssen Sie einen der folgenden Schritte ausführen:

  • Stellen Sie sicher, dass Ihre IAM-Rolle sowohl für den vorherigen Amazon-S3-Standort als auch für den neuen Amazon-S3-Standort für Artefakte über ausreichende Berechtigungen verfügt. Stellen Sie außerdem sicher, dass sie sowohl für die vorherigen als auch für die neuen Verschlüsselungsmethoden und KMS-Schlüssel berechtigt ist.

  • Erstellen Sie eine neue Baseline, indem Sie die nächste Canary-Ausführung als neue Baseline auswählen. Wenn Sie diese Option verwenden, müssen Sie nur sicherstellen, dass Ihre IAM-Rolle über ausreichende Berechtigungen für den neuen Artefaktspeicherort und die Verschlüsselungsoption verfügt.

Wir empfehlen die zweite Möglichkeit, die nächste Ausführung als neue Baseline auszuwählen. Dies vermeidet eine Abhängigkeit von einem Artefaktspeicherort oder einer Verschlüsselungsoption, die Sie nicht mehr für den Canary verwenden.

Angenommen, Ihr Canary verwendet Artefaktposition A und KMS-Schlüssel K zum Hochladen von Artefakten. Wenn Sie Ihren Canary auf den Artefaktstandort B und KMS-Schlüssel L aktualisieren, können Sie sicherstellen, dass Ihre IAM-Rolle Berechtigungen sowohl für die Artefaktpositionen (A und B) als auch für beide KMS-Schlüssel (K und L) hat. Alternativ können Sie die nächste Ausführung als neue Baseline auswählen und sicherstellen, dass Ihre Canary-IAM-Rolle Berechtigungen für den Artefaktspeicherort B und KMS-Schlüssel L hat.