Sicherung der Anmeldeinformationen für den Speicherort - AWS DataSync
Es wird ein vom Dienst verwaltetes Geheimnis verwendet, das mit einem Standardschlüssel verschlüsselt istEs wird ein vom Service verwaltetes Geheimnis verwendet, das mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt istVerwenden Sie ein Geheimnis, das Sie verwalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherung der Anmeldeinformationen für den Speicherort

DataSync verwendet Standorte, um auf Ihre Speicherressourcen zuzugreifen, die sich vor Ort, in anderen Clouds oder in AWS Bei einigen Standorttypen müssen Sie Anmeldeinformationen angeben, z. B. einen Zugriffsschlüssel und einen geheimen Schlüssel oder einen Benutzernamen und ein Passwort, um sich bei Ihrem Speichersystem zu authentifizieren. Wenn Sie einen DataSync Standort erstellen, für den Anmeldeinformationen für die Authentifizierung erforderlich sind, können Sie eine der folgenden Optionen wählen, um zu steuern, wie das Geheimnis für Ihre Anmeldeinformationen gespeichert wird:

  • Speichern Sie das Geheimnis AWS Secrets Manager mithilfe eines vom Dienst verwalteten Geheimnisses, das mit einem Standardschlüssel verschlüsselt ist.

  • Speichern Sie das Geheimnis AWS Secrets Manager mithilfe eines vom Dienst verwalteten Geheimnisses, das mit einem von Ihnen verwalteten AWS KMS Schlüssel verschlüsselt ist.

  • Speichern Sie das Geheimnis AWS Secrets Manager mithilfe eines Geheimnisses und Schlüssels, den Sie selbst erstellen und verwalten. DataSync greift mithilfe einer von Ihnen bereitgestellten IAM-Rolle auf dieses Geheimnis zu.

In allen Fällen wird das Secrets Manager Manager-Geheimnis in Ihrem Konto gespeichert, sodass Sie das Geheimnis bei Bedarf unabhängig vom DataSync Dienst aktualisieren können. Ihnen wird nur die Nutzung von Geheimnissen in Rechnung gestellt, die Sie außerhalb von erstellen DataSync. Geheimnisse, die von erstellt und verwaltet DataSync wurden, haben das Präfixaws-datasync.

Es wird ein vom Dienst verwaltetes Geheimnis verwendet, das mit einem Standardschlüssel verschlüsselt ist

Wenn Sie Ihren DataSync Standort erstellen, geben Sie einfach die geheime Zeichenfolge an. DataSyncerstellt eine geheime Ressource, in AWS Secrets Manager der das von Ihnen angegebene Geheimnis gespeichert wird, und verschlüsselt das Geheimnis mit dem standardmäßigen Secrets Manager KMS-Schlüssel für Ihr Konto. Sie können den geheimen Wert direkt in Secrets Manager ändern oder indem Sie den Speicherort mithilfe der DataSync Konsole oder des SDK aktualisieren. AWS CLI Wenn Sie die Standortressource löschen oder sie so aktualisieren, dass sie ein benutzerdefiniertes Geheimnis verwendet, wird die geheime Ressource automatisch DataSync gelöscht.

Anmerkung

Um geheime Ressourcen in Secrets Manager zu erstellen, zu ändern und zu löschen, DataSync müssen Sie über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien für DataSync.

Es wird ein vom Service verwaltetes Geheimnis verwendet, das mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt ist

Wenn Sie Ihren DataSync Standort erstellen, geben Sie das Geheimnis und den ARN Ihres AWS KMS Schlüssels an. DataSync erstellt automatisch eine geheime Ressource AWS Secrets Manager , in der das von Ihnen angegebene Geheimnis gespeichert wird, und verschlüsselt es mit Ihrem AWS KMS Schlüssel. Sie können den geheimen Wert direkt in Secrets Manager ändern oder indem Sie den Speicherort mithilfe der DataSync Konsole oder des SDK aktualisieren. AWS CLI Wenn Sie die Standortressource löschen oder sie so aktualisieren, dass sie ein benutzerdefiniertes Geheimnis verwendet, wird die geheime Ressource automatisch DataSync gelöscht.

Anmerkung

Ihr AWS KMS Schlüssel muss eine symmetrische Verschlüsselung mit dem ENCRYPT_DECRYPT Schlüsseltyp verwenden. Weitere Informationen finden Sie im AWS Secrets Manager Benutzerhandbuch unter Einen AWS Key Management Service Schlüssel auswählen.

Um geheime Ressourcen in Secrets Manager zu erstellen, zu ändern und zu löschen, DataSync müssen Sie über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter AWS managed policy: AWSDataSyncFullAccess (verwaltete Richtlinie).

Neben der Verwendung der richtigen DataSync verwalteten Richtlinie benötigen Sie auch die folgenden Berechtigungen:

{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}

your-kms-key-arnErsetzen Sie es durch Ihren KMS-Schlüssel ARN.

Um den geheimen Wert abzurufen und zu entschlüsseln, DataSync verwendet eine Service Linked Role (SLR), um auf Ihren AWS KMS Schlüssel zuzugreifen. Um sicherzustellen, dass Sie Ihren KMS-Schlüssel verwenden DataSync können, fügen Sie der Richtlinienerklärung des Schlüssels Folgendes hinzu:

{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::accountid:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

Ersetze es accountid durch deine AWS-Konto ID.

Verwenden Sie ein Geheimnis, das Sie verwalten

Bevor Sie Ihren DataSync Standort erstellen, erstellen Sie ein Geheimnis in AWS Secrets Manager. Der Wert für das Geheimnis darf nur die geheime Zeichenfolge selbst im Klartext enthalten. Wenn Sie Ihren DataSync Standort erstellen, geben Sie den ARN Ihres Geheimnisses und eine IAM-Rolle an, die DataSync für den Zugriff auf Ihr Geheimnis und den AWS KMS Schlüssel verwendet wird, mit dem Ihr Geheimnis verschlüsselt wurde. Gehen Sie wie folgt vor, um eine IAM-Rolle mit den entsprechenden Berechtigungen zu erstellen:

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im linken Navigationsbereich unter Zugriffsverwaltung die Option Rollen und dann Rolle erstellen aus.

  3. Wählen Sie auf der Seite Vertrauenswürdige Entität auswählen für Vertrauenswürdigen Entitätstyp die Option AWS Dienst aus.

  4. Wählen Sie unter Anwendungsfall eine Option DataSyncaus der Dropdownliste aus. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus. Geben Sie einen Namen für Ihre Rolle ein und wählen Sie dann Rolle erstellen aus.

  6. Suchen Sie auf der Seite Rollen nach der Rolle, die Sie gerade erstellt haben, und wählen Sie ihren Namen aus.

  7. Wählen Sie auf der Detailseite für die Rolle den Tab Berechtigungen aus. Wählen Sie Berechtigungen hinzufügen und dann Inline-Richtlinie erstellen aus.

  8. Wählen Sie die Registerkarte JSON und fügen Sie dem Richtlinieneditor die folgenden Berechtigungen hinzu:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "your-secret-arn"
        }
    ]
}

    your-secret-arnErsetzen Sie es durch den ARN Ihres Secrets Manager Manager-Geheimnisses.

  9. Wählen Sie Weiter aus. Geben Sie einen Namen für Ihre Richtlinie ein und wählen Sie dann Richtlinie erstellen aus.

  10. (Empfohlen) Gehen Sie wie folgt vor, um das dienstübergreifende Problem mit verwirrten Stellvertretern zu vermeiden:

    1. Wählen Sie auf der Detailseite für die Rolle die Registerkarte Vertrauensbeziehungen aus. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

    2. Aktualisieren Sie die Vertrauensrichtlinie anhand des folgenden Beispiels, das die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel enthält:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:region:account-id:*"
                }
            }
        }
    ]
}

    3. Wählen Sie Richtlinie aktualisieren.

Sie können diese Rolle bei der Erstellung Ihres Standorts angeben. Wenn Ihr Secret einen vom Kunden verwalteten AWS KMS Schlüssel für die Verschlüsselung verwendet, müssen Sie auch die Richtlinie des Schlüssels aktualisieren, um den Zugriff von der Rolle aus zu ermöglichen, die Sie im vorherigen Verfahren erstellt haben. Um die Richtlinie zu aktualisieren, fügen Sie der Richtlinienerklärung Ihres AWS KMS Schlüssels Folgendes hinzu:

{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam accountid:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

accountidErsetzen Sie es durch Ihre AWS-Konto ID und your-role-name den Namen der IAM-Rolle, die Sie im vorherigen Verfahren erstellt haben.

Anmerkung

Wenn Sie Geheimnisse im Secrets Manager speichern, AWS-Konto fallen Gebühren an. Informationen zu Preisen erhalten Sie unter AWS Secrets Manager -Preise.