Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad
Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo de responsabilidad compartida
AWS KMS
La solución crea una clave administrada tanto por AWS como por el cliente, que se usa a fin de configurar el cifrado del servidor para el tema de SNS y las tablas de DynamoDB.
Amazon IAM
Las funciones Lambda de la solución requieren permisos para acceder a los recursos de la cuenta hub y acceder a los parámetros de get/put Systems Manager, acceder a los grupos de CloudWatch registros, a la clave encryption/decryption de AWS KMS y publicar mensajes en SNS. Además, el programador de instancias también creará funciones de programación en todas las cuentas administradas que permitirán acceder a start/stop EC2, RDS, los recursos de escalado automático y las instancias de base de datos, modificarán los atributos de las instancias y actualizarán las etiquetas de esos recursos. La solución proporciona todos los permisos necesarios al rol de servicio de Lambda creado como parte de la plantilla de solución.
Durante el despliegue, Instance Scheduler implementará funciones de IAM con ámbito reducido para cada una de sus funciones de Lambda, junto con las funciones de programador que solo se pueden asumir mediante Lambdas de programación específicas en la plantilla de hub implementada. Los nombres de estos roles de programación siguen los patrones {namespace}-Scheduler-Role y {namespace}-ASG-Scheduling-Role.
Volúmenes de EBS de EC2 cifrados
Al programar instancias de EC2 asociadas a volúmenes de EBS cifrados por AWS KMS, debe conceder permiso al programador de instancias para usar las claves de AWS KMS asociadas. Esto permite a Amazon EC2 descifrar los volúmenes de EBS asociados mientras la función permanece iniciada. Este permiso debe concederse al rol de programación en la misma cuenta que las instancias de EC2 que utilizan la clave.
Para conceder permiso para usar una clave de AWS KMS con Instance Scheduler, añada el ARN de la clave de AWS KMS a la pila del programador de instancias (hub o spoke) en la misma cuenta que las instancias de EC2 utilizando las claves:
ARN de clave de KMS para EC2
Esto generará automáticamente la siguiente política y la agregará al rol de programación correspondiente a esa cuenta:
{ "Version": "2012-10-17", "Statement": [ { "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "kms:EncryptionContextKeys": "false", "kms:GrantOperations": "false" }, "ForAllValues:StringEquals": { "kms:EncryptionContextKeys": [ "aws:ebs:id" ], "kms:GrantOperations": [ "Decrypt" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } }, "Action": "kms:CreateGrant", "Resource": [ "Your-KMS-ARNs-Here" ], "Effect": "Allow" } ] }
License Manager de EC2
Al programar instancias EC2 que se administran en AWS License Manager, debe conceder permiso al Programador de Instancias para usar las configuraciones de licencia asociadas. Esto permite que la solución inicie y detenga las instancias correctamente y, al mismo tiempo, mantenga el cumplimiento de las licencias. Este permiso debe concederse a la función de programación en la misma cuenta que las instancias EC2 que utilizan License Manager.
Para conceder permiso para usar AWS License Manager con Instance Scheduler, añada los ARN de configuración del License Manager a la pila (hub o spoke) del programador de instancias en la misma cuenta que las instancias de EC2 mediante License Manager:
ARN de configuración de License Manager para EC2
Esto generará automáticamente la siguiente política y la agregará al rol de programación correspondiente a esa cuenta:
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:StartInstances", "Resource": [ "Your-License-Manager-ARNs-Here" ], "Effect": "Allow" } ] }
Para obtener más información sobre los permisos de License Manager, consulte Administración de identidad y acceso para AWS License Manager en la Guía del usuario de AWS License Manager.
