Aufgabe 1: Fügen Sie einem vorhandenen CMK ein Tag hinzu Aufgabe 2: Eine bestehende CMK-Schlüsselrichtlinie verändern Aufgabe 3: Geben Sie den CMK in den Systems-Manager-Einstellungen an

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umstellen auf einen vom AWS KMS-Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen

Quick Setup erstellt während des Onboarding-Prozesses für die vereinheitlichte Systems-Manager-Konsole einen Amazon Simple Storage Service (Amazon S3)-Bucket im delegierten Administratorkonto. In diesem Bucket werden die während der Ausführung des Reparatur-Runbooks generierten Diagnoseausgabedaten gespeichert. Standardmäßig verwendet der Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).

Den Inhalt dieser Richtlinien finden Sie unter S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole.

Als weitere Alternative zu AWS KMS key können Sie die serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines kundenseitig verwalteten Schlüssels (CMK) verwenden.

Führen Sie die folgenden Aufgaben aus, um Systems Manager für die Verwendung Ihres CMK zu konfigurieren.

Aufgabe 1: Fügen Sie einem vorhandenen CMK ein Tag hinzu

AWS Systems Manager verwendet Ihr CMK nur, wenn es mit dem folgenden Schlüssel-Wert-Paar gekennzeichnet ist:

Schlüssel: SystemsManagerManaged
Wert: true

Gehen Sie wie folgt vor, um Zugriff auf die Verschlüsselung des S3-Buckets mit Ihrem CMK zu gewähren.

Hinzufügen eines Tags zu Ihrem vorhandenen CMK

Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.
Klicken Sie in linken Navigationsleiste auf Vom Kunden verwaltete Schlüssel.
Wählen Sie AWS KMS key aus, mit dem Sie AWS Systems Manager verwenden möchten.
Wählen Sie die Registerkarte Tags und dann Bearbeiten aus.
Wählen Sie Add tag.
Gehen Sie wie folgt vor:
1. Geben Sie für Tag-Schlüssel SystemsManagerManaged ein.
2. Geben Sie für Tag-Wert true ein.
Wählen Sie Speichern aus.

Aufgabe 2: Eine bestehende CMK-Schlüsselrichtlinie verändern

Gehen Sie wie folgt vor, um die KMS-Schlüsselrichtlinie Ihres CMK zu aktualisieren, sodass AWS Systems Manager-Rollen den S3-Bucket in Ihrem Namen verschlüsseln können.

Um eine bestehende CMK-Schlüsselrichtlinie zu ändern

Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.
Klicken Sie in linken Navigationsleiste auf Vom Kunden verwaltete Schlüssel.
Wählen Sie AWS KMS key aus, mit dem Sie AWS Systems Manager verwenden möchten.
Wählen Sie im Tab Schlüsselrichtlinie die Option Bearbeiten aus.

Fügen Sie dem Statement-Feld die folgende JSON-Anweisung hinzu und ersetzen Sie die Platzhalterwerte durch Ihre eigenen Informationen.

Stellen Sie sicher, dass Sie alle AWS-Konto-IDs, die in Ihrer Organisation in AWS Systems Manager integriert sind, dem Principal-Feld hinzufügen.

Um den richtigen Bucket-Namen in der Amazon-S3-Konsole zu finden, suchen Sie im delegierten Administratorkonto den Bucket im Format do-not-delete-ssm-operational-account-id-home-region-disambiguator.


{
     "Sid": "EncryptionForSystemsManagerS3Bucket",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
             "account-id-1",
             "account-id-2",
             ...
         ]
     },
     "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
         },
         "StringLike": {
             "kms:ViaService": "s3.*.amazonaws.com"
         },
         "ArnLike": {
             "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
         }
     }
 }

Tipp

Alternativ können Sie die CMK-Schlüsselrichtlinie mithilfe des Bedingungsschlüssels aws:PrincipalOrgID aktualisieren, um AWS Systems Manager Zugriff auf Ihr CMK zu gewähren.

Aufgabe 3: Geben Sie den CMK in den Systems-Manager-Einstellungen an

Gehen Sie nach Abschluss der beiden vorherigen Aufgaben wie folgt vor, um die S3-Bucket-Verschlüsselung zu ändern. Durch diese Änderung wird sichergestellt, dass der zugehörige Quick Setup-Konfigurationsprozess Berechtigungen für Systems Manager hinzufügen kann, Ihr CMK zu akzeptieren.

Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.
Wählen Sie im Navigationsbereich Settings (Einstellungen).
Wählen Sie auf der Registerkarte Diagnose und Behebung im Abschnitt S3-Bucket-Verschlüsselung aktualisieren die Option Bearbeiten aus.
Aktivieren Sie das Kontrollkästchen Verschlüsselungseinstellungen anpassen (erweitert).
Wählen Sie im Suchfeld ( ) die ID eines vorhandenen Schlüssels aus, oder fügen Sie den ARN eines vorhandenen Schlüssels ein.
Wählen Sie Speichern.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager

S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole