AWS KMS Amazon IAM Verschlüsselte EC2 EBS-Volumes

Sicherheit

Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses Modell der geteilten Verantwortung reduziert Ihren betrieblichen Aufwand, da AWS die Komponenten wie das Host-Betriebssystem, die Virtualisierungsebene und die physische Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur AWS-Sicherheit finden Sie unter AWS Cloud Security.

AWS KMS

Die Lösung erstellt einen vom Kunden verwalteten AWS-Schlüssel, der zur Konfiguration der serverseitigen Verschlüsselung für das SNS-Thema und die DynamoDB-Tabellen verwendet wird.

Amazon IAM

Die Lambda-Funktionen der Lösung erfordern Berechtigungen für den Zugriff auf Hub-Kontoressourcen und Zugriff auf get/put Systems Manager Manager-Parameter, Zugriff auf CloudWatch Protokollgruppen, AWS KMS KMS-Schlüssel, RDS encryption/decryption, and publish messages to SNS. In addition, Instance Scheduler on AWS will also create Scheduling Roles in all managed accounts that will provide access to start/stop EC2, Autoscaling-Ressourcen, DB-Instances, das Ändern von Instance-Attributen und das Aktualisieren von Tags für diese Ressourcen. Alle erforderlichen Berechtigungen werden von der Servicerolle Solution to Lambda bereitgestellt, die als Teil der Lösungsvorlage erstellt wurde.

Bei der Bereitstellung stellt Instance Scheduler auf AWS IAM-Rollen mit eingeschränktem Geltungsbereich für jede seiner Lambda-Funktionen zusammen mit Scheduler-Rollen bereit, die nur von bestimmten Scheduling-Lambdas in der bereitgestellten Hub-Vorlage übernommen werden können. Diese Schedule-Rollen werden Namen haben, die dem Muster folgen, und. {namespace}-Scheduler-Role {namespace}-ASG-Scheduling-Role

Detaillierte Informationen zu den Berechtigungen, die den einzelnen Servicerollen gewährt werden, finden Sie in den CloudFormation Vorlagen.

Verschlüsselte EC2 EBS-Volumes

Wenn Sie EC2 Instances planen, die an mit AWS KMS verschlüsselte EBS-Volumes angehängt sind, müssen Sie Instance Scheduler auf AWS die Erlaubnis erteilen, die zugehörigen AWS-KMS-Schlüssel zu verwenden. Dadurch kann Amazon EC2 die angehängten EBS-Volumes während der gestarteten Funktion entschlüsseln. Diese Berechtigung muss der Scheduling-Rolle in demselben Konto erteilt werden wie die EC2 Instance (s), die den Schlüssel verwenden.

Um die Erlaubnis zur Verwendung eines AWS-KMS-Schlüssels mit Instance Scheduler auf AWS zu erteilen, fügen Sie den ARN des AWS-KMS-Schlüssels zum Instance Scheduler auf AWS-Stack (Hub oder Spoke) in demselben Konto hinzu wie die EC2 Instance (en), die die Schlüssel verwenden:

KMS-Schlüssel ARNS für EC2

Dadurch wird automatisch die folgende Richtlinie generiert und der Scheduling-Rolle für dieses Konto hinzugefügt:


 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Condition": {
            "StringLike": {
               "kms:ViaService": "ec2.*.amazonaws.com"
         },
        "Null": {
              "kms:EncryptionContextKeys": "false",
              "kms:GrantOperations": "false"
         },
        "ForAllValues:StringEquals": {
            "kms:EncryptionContextKeys": [
                 "aws:ebs:id"
              ],
              "kms:GrantOperations": [
                 "Decrypt"
              ]
        },
        "Bool": {
                 "kms:GrantIsForAWSResource": "true"
              }
        },
        "Action": "kms:CreateGrant",
        "Resource": [
             "Your-KMS-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

In dieser Lösung verwendete AWS-Services

Erste Schritte