Sicherheit bei CloudWatch Ermittlungen - Amazon CloudWatch
BenutzerberechtigungenWie lässt sich kontrollieren, auf welche Daten CloudWatch Investigations bei Ermittlungen Zugriff habenVerschlüsselung von ErmittlungsdatenRegionsübergreifende Inferenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit bei CloudWatch Ermittlungen

Dieser Abschnitt enthält Themen zur Integration von CloudWatch Untersuchungen mit AWS Sicherheits- und Berechtigungsfunktionen.

Benutzerberechtigungen

AWS hat drei verwaltete IAM-Richtlinien erstellt, die Sie für Ihre Benutzer verwenden können, die mit CloudWatch Untersuchungen arbeiten werden.

  • AIOpsConsoleAdminPolicy— gewährt einem Administrator die Möglichkeit, CloudWatch Untersuchungen im Konto einzurichten, Zugriff auf Ermittlungsaktionen zu CloudWatch erhalten, die Weitergabe vertrauenswürdiger Identitäten zu verwalten und die Integration mit IAM Identity Center sowie den organisatorischen Zugriff zu verwalten.

  • AIOpsOperatorAccess— gewährt einem Benutzer Zugriff auf Ermittlungsaktionen, einschließlich der Einleitung einer Untersuchung. Es gewährt auch zusätzliche Berechtigungen, die für den Zugriff auf Ermittlungsereignisse erforderlich sind.

  • AIOpsReadOnlyAccess— gewährt nur Leseberechtigungen für CloudWatch Untersuchungen und andere damit verbundene Dienste.

Wir empfehlen, dass Sie drei IAM-Prinzipale verwenden und einem von ihnen die AIOpsConsoleAdminPolicyIAM-Richtlinie, einem anderen die Richtlinie und dem dritten die AIOpsOperatorAccessRichtlinie gewähren. AIOpsReadOnlyAccess Bei diesen Prinzipalen kann es sich entweder um IAM-Rollen (empfohlen) oder um IAM-Benutzer handeln. Dann würden sich Ihre Benutzer, die mit CloudWatch Untersuchungen arbeiten, bei einem dieser Principals anmelden.

Wie lässt sich kontrollieren, auf welche Daten CloudWatch Investigations bei Ermittlungen Zugriff haben

Wenn Sie die CloudWatch Ermittlungsfunktion aktivieren, geben Sie an, über welche Berechtigungen die CloudWatch Ermittlungen verfügen, um während der Ermittlungen auf Ihre Ressourcen zuzugreifen. Dazu weisen Sie dem Assistenten eine IAM-Rolle zu.

Damit CloudWatch Untersuchungen auf Ressourcen zugreifen und Vorschläge und Hypothesen aufstellen können, empfiehlt es sich, sie der Rolle des Assistenten AIOpsAssistantPolicyzuzuweisen. Dadurch erhält der Assistent die Erlaubnis, Ihre AWS Ressourcen während Ihrer Untersuchungen zu analysieren. Informationen zum vollständigen Inhalt dieser Richtlinie finden Sie unterIAM-Richtlinie für CloudWatch Ermittlungen () AIOps AssistantPolicy.

Sie können sich zusätzlich zum Anhängen auch dafür entscheiden, den allgemeinen AWS ReadOnlyAccessText der Rolle des Assistenten zuzuordnen. AIOpsAssistantPolicy Der Grund dafür ist, dass AWS Aktualisierungen ReadOnlyAccessimmer häufiger mit Berechtigungen für neue AWS Dienste und Aktionen aktualisiert werden, die veröffentlicht werden. AIOpsAssistantPolicySie werden auch für neue Aktionen aktualisiert, jedoch nicht so häufig.

Wenn Sie den Umfang der für CloudWatch Untersuchungen erteilten Berechtigungen einschränken möchten, können Sie der IAM-Rolle des Assistenten eine benutzerdefinierte IAM-Richtlinie hinzufügen, anstatt die Richtlinie anzuhängen. AIOpsAssistantPolicy Beginnen Sie dazu Ihre benutzerdefinierte Richtlinie mit dem Inhalt von AIOpsAssistantPolicyund entfernen Sie dann die Berechtigungen, die Sie für Untersuchungen nicht gewähren möchten. CloudWatch Dadurch wird verhindert, dass der Assistent Vorschläge auf der Grundlage der AWS Dienste oder Aktionen machen kann, für die Sie keinen Zugriff gewähren.

Anmerkung

Alles, auf das CloudWatch Ermittlungen zugreifen können, kann der Untersuchung hinzugefügt und von Ihren Ermittlungsmitarbeitern eingesehen werden. Wir empfehlen Ihnen, die CloudWatch Ermittlungsberechtigungen an die Berechtigungen anzupassen, über die die Betreiber Ihrer Ermittlungsgruppe verfügen.

CloudWatch Erlauben Sie den Ermittlungen, verschlüsselte Daten während der Ermittlungen zu entschlüsseln

Wenn Sie Ihre Daten in einem der folgenden Dienste mit einem vom Kunden verwalteten Schlüssel verschlüsseln und Sie möchten AWS KMS, dass CloudWatch Untersuchungen die Daten aus diesen Diensten entschlüsseln und in Untersuchungen einbeziehen können, müssen Sie der IAM-Rolle des Assistenten eine oder mehrere zusätzliche IAM-Richtlinien hinzufügen.

  • AWS Step Functions

Die Richtlinienerklärung sollte einen Kontextschlüssel für den Verschlüsselungskontext enthalten, um den Umfang der Berechtigungen zu vereinfachen. Die folgende Richtlinie würde es den CloudWatch Untersuchungen beispielsweise ermöglichen, Daten für eine Step Functions Functions-Zustandsmaschine zu entschlüsseln.

{
  "Version": "2012-10-17",
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Weitere Informationen zu diesen Richtlinientypen und zur Verwendung dieser Kontextschlüssel finden Sie unter kms: ViaService und kms:EncryptionContext: context-key im AWS Key Management Service Developer Guide und aws: SourceArn im IAM-Benutzerhandbuch.

Verschlüsselung von Ermittlungsdaten

Für die Verschlüsselung Ihrer Ermittlungsdaten AWS bietet es zwei Möglichkeiten:

  • AWS Eigene Schlüssel — Standardmäßig verschlüsselt CloudWatch Investigations inaktive Ermittlungsdaten mit einem AWS eigenen Schlüssel. Sie können AWS eigene Schlüssel nicht einsehen oder verwalten, und Sie können sie nicht für andere Zwecke verwenden oder ihre Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Einstellungen ändern, um diese Schlüssel verwenden zu können. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter AWS Eigene Schlüssel.

  • Vom Kunden verwaltete Schlüssel — Dies sind Schlüssel, die Sie selbst erstellen und verwalten. Sie können sich dafür entscheiden, einen vom Kunden verwalteten Schlüssel anstelle eines AWS eigenen Schlüssels für Ihre Ermittlungsdaten zu verwenden. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Vom Kunden verwaltete Schlüssel.

Anmerkung

CloudWatch Investigations ermöglicht automatisch und kostenlos die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zu Preisen finden Sie unter AWS Key Management Service Preise.

Weitere Informationen zu finden AWS KMS Sie unter AWS Key Management Service.

Verwenden Sie einen vom Kunden verwalteten Schlüssel für Ihre Ermittlungsgruppe

Sie können eine Ermittlungsgruppe mit einem vom Kunden verwalteten Schlüssel verknüpfen. Anschließend verwenden alle in dieser Gruppe erstellten Untersuchungen den vom Kunden verwalteten Schlüssel, um Ihre inaktiven Ermittlungsdaten zu verschlüsseln.

CloudWatch Für die Verwendung von kundenverwalteten Schlüsseln gelten die folgenden Bedingungen:

  • CloudWatch Investigations unterstützt nur symmetrische AWS KMS Verschlüsselungsschlüssel mit der Standardschlüsselspezifikation,SYMMETRIC_DEFAULT, für deren Verwendung definiert ist. ENCRYPT_DECRYPT

  • Damit ein Benutzer eine Untersuchungsgruppe mit einem vom Kunden verwalteten Schlüssel erstellen oder aktualisieren kann, muss dieser Benutzer über die Berechtigungen kms:DescribeKeykms:GenerateDataKey, und kms:Decrypt verfügen.

  • Damit ein Benutzer eine Untersuchung in einer Untersuchungsgruppe erstellen oder aktualisieren kann, die einen vom Kunden verwalteten Schlüssel verwendet, muss dieser Benutzer über die kms:Decrypt Berechtigungen kms:GenerateDataKey und verfügen.

  • Damit ein Benutzer Ermittlungsdaten in einer Ermittlungsgruppe einsehen kann, die einen vom Kunden verwalteten Schlüssel verwendet, muss dieser Benutzer über die kms:Decrypt entsprechende Berechtigung verfügen.

Einrichtung von Untersuchungen zur Verwendung eines vom AWS KMS Kunden verwalteten Schlüssels

Wenn Sie noch keinen symmetrischen Schlüssel haben, den Sie verwenden möchten, erstellen Sie zunächst einen neuen Schlüssel mit dem folgenden Befehl.

aws kms create-key

Die Befehlsausgabe enthält die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) des Schlüssels. Sie werden diese in späteren Schritten in diesem Abschnitt benötigen. Das Folgende ist ein Beispiel für diese Ausgabe.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Legen Sie die Berechtigungen für den Schlüssel fest

Als Nächstes legen Sie die Berechtigungen für den Schlüssel fest. Standardmäßig sind alle AWS KMS Schlüssel privat. Nur der Ressourcenbesitzer kann mit ihnen Daten verschlüsseln und entschlüsseln. Der Ressourceninhaber kann jedoch anderen Benutzern und Ressourcen Zugriffsberechtigungen für den Schlüssel erteilen. Mit diesem Schritt erteilen Sie dem Dienstprinzipal von AI Operations die Erlaubnis, den Schlüssel zu verwenden. Dieser Dienstprinzipal muss sich in derselben AWS Region befinden, in der der KMS-Schlüssel gespeichert ist.

Als bewährte Methode empfehlen wir, die Verwendung des KMS-Schlüssels auf die von Ihnen angegebenen AWS Konten oder Ressourcen zu beschränken.

Der erste Schritt zum Festlegen der Berechtigungen besteht darin, die Standardrichtlinie für Ihren Schlüssel unter zu speichernpolicy.json. Verwenden Sie dazu den folgenden Befehl. key-idErsetzen Sie es durch die ID Ihres Schlüssels.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Öffnen Sie die policy.json Datei in einem Texteditor und fügen Sie der Richtlinie die folgenden Richtlinienabschnitte hinzu. Trennen Sie die bestehende Aussage durch ein Komma von den neuen Abschnitten. In diesen neuen Abschnitten werden Condition Abschnitte verwendet, um die Sicherheit des AWS KMS Schlüssels zu erhöhen. Weitere Informationen finden Sie unter AWS KMS Schlüssel und Verschlüsselungskontext.

Diese Richtlinie gewährt Dienstprinzipalen aus den folgenden Gründen Berechtigungen:

  • Der aiops Dienst benötigt GenerateDataKey Berechtigungen, um den Datenschlüssel abzurufen und diesen Datenschlüssel zu verwenden, um Ihre Daten zu verschlüsseln, während sie im Ruhezustand gespeichert sind. Die Decrypt Erlaubnis ist erforderlich, um Ihre Daten beim Lesen aus dem Datenspeicher zu entschlüsseln. Die Entschlüsselung erfolgt, wenn Sie die Daten mithilfe der Untersuchung aiops APIs oder des Ermittlungsereignisses lesen oder wenn Sie sie aktualisieren. Beim Aktualisierungsvorgang werden die vorhandenen Daten nach dem Entschlüsseln abgerufen, die Daten aktualisiert und die aktualisierten Daten nach der Verschlüsselung im Datenspeicher gespeichert

  • Der CloudWatch Alarmdienst kann Untersuchungen oder Ermittlungsereignisse erstellen. Bei diesen Vorgängen wird überprüft, ob der Anrufer Zugriff auf den für die Ermittlungsgruppe definierten AWS KMS Schlüssel hat. Die Grundsatzerklärung erteilt dem GenerateDataKey CloudWatch Alarmdienst die Decrypt Erlaubnis, Untersuchungen in Ihrem Namen durchzuführen.

Anmerkung

Bei der folgenden Richtlinie wird davon ausgegangen, dass Sie der Empfehlung folgen, drei IAM-Prinzipale zu verwenden und einem von ihnen die AIOpsConsoleAdminPolicyIAM-Richtlinie, einem anderen die AIOpsOperatorAccessRichtlinie und dem dritten die Richtlinie zu gewähren. AIOpsReadOnlyAccess Bei diesen Prinzipalen kann es sich entweder um IAM-Rollen (empfohlen) oder um IAM-Benutzer handeln. Dann würden sich Ihre Benutzer, die mit CloudWatch Untersuchungen arbeiten, bei einem dieser Principals anmelden.

Für die folgende Richtlinie benötigen Sie einen ARNs dieser drei Principals.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Nachdem Sie die Richtlinie aktualisiert haben, weisen Sie sie dem Schlüssel zu, indem Sie den folgenden Befehl eingeben.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Ordnen Sie den Schlüssel der Ermittlungsgruppe zu

Wenn Sie die CloudWatch Konsole verwenden, um eine Ermittlungsgruppe zu erstellen, können Sie wählen, ob Sie den AWS KMS Schlüssel der Ermittlungsgruppe zuordnen möchten. Weitere Informationen finden Sie unter Richten Sie operative Untersuchungen ein.

Sie können einen vom Kunden verwalteten Schlüssel auch einer vorhandenen Ermittlungsgruppe zuordnen.

Ändern Sie Ihre Verschlüsselungskonfiguration

Sie können eine Untersuchungsgruppe aktualisieren, um zwischen der Verwendung eines vom Kunden verwalteten Schlüssels oder eines diensteigenen Schlüssels zu wechseln. Sie können auch von der Verwendung eines kundenverwalteten Schlüssels zur Verwendung eines anderen wechseln. Wenn Sie eine solche Änderung vornehmen, gilt die Änderung für neue Untersuchungen, die nach der Änderung erstellt wurden. Frühere Untersuchungen beziehen sich immer noch auf die alte Verschlüsselungskonfiguration. Aktuelle laufende Untersuchungen verwenden auch weiterhin den ursprünglichen Schlüssel für neue Daten.

Solange ein zuvor verwendeter Schlüssel aktiv ist und Amazon Q für Untersuchungen Zugriff darauf hat, können Sie ältere Untersuchungen, die mit dieser Methode verschlüsselt wurden, sowie Daten aus aktuellen Untersuchungen, die mit dem vorherigen Schlüssel verschlüsselt wurden, abrufen. Wenn Sie einen zuvor verwendeten Schlüssel löschen oder den Zugriff darauf widerrufen, können die mit diesem Schlüssel verschlüsselten Ermittlungsdaten nicht abgerufen werden.

Regionsübergreifende Inferenz

CloudWatch Bei Untersuchungen werden regionsübergreifende Inferenzen verwendet, um den Verkehr auf verschiedene Regionen zu verteilen. AWS Obwohl die Daten weiterhin nur in der primären Region gespeichert werden, können Ihre Ermittlungsdaten bei Verwendung der regionsübergreifenden Inferenz möglicherweise außerhalb Ihrer Hauptregion verschoben werden. Alle Daten werden verschlüsselt über das sichere Netzwerk von Amazon übertragen. Weitere Informationen finden Sie unter Regionsübergreifende Inferenz im Benutzerhandbuch für CloudWatch Untersuchungen.

Einzelheiten dazu, wo die regionsübergreifende Inferenzverteilung für die einzelnen Regionen erfolgt, finden Sie in der folgenden Tabelle.

Geografie unterstützter Untersuchungen CloudWatch Untersuchungsregion Mögliche Inferenzregionen
Vereinigte Staaten (US) USA Ost (Nord-Virginia) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
USA Ost (Ohio) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
USA West (Oregon) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Europa (EU) Europa (Frankfurt) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Europa (Irland) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Europa (Spain) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Europa (Stockholm) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Europa (Frankfurt), Europa (Irland), Europa (Paris), Europa (Stockholm)
Asien-Pazifik (AP) Asien-Pazifik (Hongkong) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Mumbai) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Singapur) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Sydney) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Tokio) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Malaysia) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Asien-Pazifik (Thailand) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)