Sicherheit - Instance Scheduler auf AWS
AWS KMSAmazon IAMVerschlüsselte EC2-EBS-VolumesEC2-Lizenzmanager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit

Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses Modell der geteilten Verantwortung reduziert Ihren betrieblichen Aufwand, da AWS die Komponenten wie das Host-Betriebssystem, die Virtualisierungsebene und die physische Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur AWS-Sicherheit finden Sie unter AWS Cloud Security.

AWS KMS

Die Lösung erstellt einen vom Kunden verwalteten AWS-Schlüssel, der zur Konfiguration der serverseitigen Verschlüsselung für das SNS-Thema und die DynamoDB-Tabellen verwendet wird.

Amazon IAM

Die Lambda-Funktionen der Lösung erfordern Berechtigungen für den Zugriff auf Hub-Kontoressourcen und Zugriff auf get/put Systems Manager Manager-Parameter, Zugriff auf CloudWatch Protokollgruppen, den AWS KMS KMS-Schlüssel encryption/decryption, and publish messages to SNS. In addition, Instance Scheduler will also create Scheduling Roles in all managed accounts that will provide access to start/stop EC2, RDS, Autoscaling-Ressourcen, DB-Instances, das Ändern von Instance-Attributen und das Aktualisieren von Tags für diese Ressourcen. Alle erforderlichen Berechtigungen werden von der Servicerolle Solution to Lambda bereitgestellt, die als Teil der Lösungsvorlage erstellt wurde.

Bei der Bereitstellung stellt Instance Scheduler IAM-Rollen mit eingeschränktem Geltungsbereich für jede seiner Lambda-Funktionen zusammen mit Scheduler-Rollen bereit, die nur von bestimmten Scheduling-Lambdas in der bereitgestellten Hub-Vorlage übernommen werden können. Diese Schedule-Rollen werden Namen haben, die dem Muster folgen, und. {namespace}-Scheduler-Role {namespace}-ASG-Scheduling-Role

Ausführliche Informationen zu den Berechtigungen, die den einzelnen Servicerollen gewährt werden, finden Sie in den CloudFormation Vorlagen.

Verschlüsselte EC2-EBS-Volumes

Wenn Sie EC2-Instances planen, die an mit AWS KMS verschlüsselte EBS-Volumes angehängt sind, müssen Sie Instance Scheduler die Erlaubnis erteilen, die zugehörigen AWS-KMS-Schlüssel zu verwenden. Dadurch kann Amazon EC2 die angehängten EBS-Volumes während der gestarteten Funktion entschlüsseln. Diese Berechtigung muss der Scheduling-Rolle in demselben Konto wie die EC2-Instance (s) erteilt werden, die den Schlüssel verwenden.

Um die Erlaubnis zur Verwendung eines AWS-KMS-Schlüssels mit Instance Scheduler zu erteilen, fügen Sie den ARN des AWS-KMS-Schlüssels zum Instance Scheduler-Stack (Hub oder Spoke) in demselben Konto wie die EC2-Instance (en) hinzu, indem Sie die Schlüssel (n) verwenden:

KMS-Schlüssel-ARNS für EC2

Bild 3

Dadurch wird automatisch die folgende Richtlinie generiert und der Scheduling-Rolle für dieses Konto hinzugefügt:

 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Condition": {
            "StringLike": {
               "kms:ViaService": "ec2.*.amazonaws.com"
         },
        "Null": {
              "kms:EncryptionContextKeys": "false",
              "kms:GrantOperations": "false"
         },
        "ForAllValues:StringEquals": {
            "kms:EncryptionContextKeys": [
                 "aws:ebs:id"
              ],
              "kms:GrantOperations": [
                 "Decrypt"
              ]
        },
        "Bool": {
                 "kms:GrantIsForAWSResource": "true"
              }
        },
        "Action": "kms:CreateGrant",
        "Resource": [
             "Your-KMS-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }

EC2-Lizenzmanager

Bei der Planung von EC2-Instances, die in AWS License Manager verwaltet werden, müssen Sie Instance Scheduler die Erlaubnis erteilen, die zugehörigen Lizenzkonfigurationen zu verwenden. Auf diese Weise kann die Lösung Instances ordnungsgemäß starten und beenden und gleichzeitig die Lizenzbestimmungen einhalten. Diese Berechtigung muss der Scheduling-Rolle in demselben Konto erteilt werden wie die EC2-Instance (en), die License Manager verwenden.

Um die Erlaubnis zur Verwendung von AWS License Manager mit Instance Scheduler zu erteilen, fügen Sie die License Manager Manager-Konfigurations-ARNs zum Instance Scheduler-Stack (Hub oder Spoke) in demselben Konto hinzu wie die EC2-Instance (s), die License Manager verwenden:

License Manager Manager-Konfiguration ARNs für EC2

Lizenzmanager CFN Param

Dadurch wird automatisch die folgende Richtlinie generiert und der Scheduling-Rolle für dieses Konto hinzugefügt:

 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Action": "ec2:StartInstances",
        "Resource": [
             "Your-License-Manager-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }

Weitere Informationen zu License Manager-Berechtigungen finden Sie unter Identitäts- und Zugriffsmanagement für AWS License Manager im AWS License Manager Manager-Benutzerhandbuch.