Sécurité dans le CloudWatch cadre des enquêtes - Amazon CloudWatch
Autorisations, rétention et chiffrement par défaut pour les CloudWatch enquêtesAutorisations utilisateur pour votre groupe CloudWatch d'investigation Autorisations supplémentaires pour Database InsightsComment contrôler les données auxquelles CloudWatch les enquêtes ont accès pendant les enquêtesChiffrement des données d’enquêteInférence interrégionale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité dans le CloudWatch cadre des enquêtes

Cette section inclut des rubriques sur la manière dont CloudWatch les enquêtes s'intègrent aux fonctionnalités AWS de sécurité et d'autorisation.

Autorisations, rétention et chiffrement par défaut pour les CloudWatch enquêtes

Lorsque vous exécutez des enquêtes avec les paramètres par défaut, sans configuration supplémentaire dans votre compte, l’enquête utilise les autorisations disponibles pour votre session de console actuelle et n’accède aux données de télémétrie qu’en lecture seule. Aucune configuration de rôle IAM ou de politique d’autorisation n’est nécessaire pour le groupe d’enquête. Cependant, cela signifie que l’accès de l’enquête aux données est limité par les autorisations de l’utilisateur connecté.

Cette enquête n’est disponible que pour le même utilisateur qui a lancé l’enquête. L’enquête ne peut être consultée que pendant une période de 24 heures, après quoi elle est supprimée sans qu’aucune option de restauration ne soit disponible.

Les données d'enquête sont cryptées au repos à l'aide d'une clé AWS détenue. Vous ne pouvez ni consulter ni gérer les clés AWS détenues, ni les utiliser à d'autres fins ni auditer leur utilisation. Cependant, aucune action ou configuration supplémentaire n’est requise pour utiliser ces clés. Pour plus d’informations, consultez Clés KMS AWS.

Autorisations utilisateur pour votre groupe CloudWatch d'investigation

AWS a créé trois politiques IAM gérées que vous pouvez utiliser pour les utilisateurs qui travailleront avec votre groupe d' CloudWatch investigation.

  • AIOpsConsoleAdminPolicy— permet à un administrateur de configurer des CloudWatch enquêtes dans le compte, d'accéder aux actions d' CloudWatch investigation, de gérer la propagation d'identités fiables et de gérer l'intégration avec IAM Identity Center et l'accès organisationnel.

  • AIOpsOperatorAccess— accorde à un utilisateur l'accès aux actions d'investigation, y compris le lancement d'une enquête. Elle fournit également les autorisations supplémentaires nécessaires pour accéder aux événements liés aux enquêtes.

  • AIOpsReadOnlyAccess— accorde des autorisations en lecture seule pour les CloudWatch enquêtes et autres services connexes.

Nous vous recommandons d'utiliser trois principes IAM, en attribuant à l'un d'eux la politique AIOpsConsoleAdminPolicyIAM, à un autre et au troisième la AIOpsOperatorAccesspolitique. AIOpsReadOnlyAccess Ces principaux peuvent être des rôles IAM (recommandé) ou des utilisateurs IAM. Ensuite, vos utilisateurs chargés des CloudWatch enquêtes se connecteront en utilisant l'un de ces principes.

Autorisations pour la génération de rapports d'incidents

La génération de rapports d'incidents nécessite des autorisations supplémentaires pour permettre à l'IA de collecter des événements, des faits, puis de créer des rapports.

Les utilisateurs AIOpsConsoleAdminPolicypeuvent générer, modifier et copier des rapports d'incidents. Par défaut, votre groupe d'investigation se voit attribuer le AIOpsAssistantPolicy pour lui donner accès à la ressource. Cependant, il ne dispose pas des autorisations requises pour générer un rapport d'enquête. Pour autoriser votre groupe d'enquête à rassembler les données d'enquête dans un rapport d'incident, vous devez ajouter une politique similaire à l'exemple suivant qui inclut des autorisations supplémentaires ou ajouter les actions supplémentaires sous forme de politique intégrée au groupe :

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "IncidentReportOperations",
            "Effect": "Allow",
            "Action": [
                "aiops:GetInvestigation",
                "aiops:ListInvestigationEvents",
                "aiops:GetInvestigationEvent",

                "aiops:CreateReport",
                "aiops:UpdateReport", 
                "aiops:GetReport",

                "aiops:PutFact",
                "aiops:ListFacts",
                "aiops:GetFact",
                "aiops:GetFactVersions"
            ],
            "Resource": [
                "arn:aws:aiops:*:*:investigation-group/*"
            ]
        }
    ]
}

La nouvelle politique gérée AIOpsAssistantIncidentReportPolicy fournit les autorisations requises et est automatiquement ajoutée aux groupes d'investigation créés après le 10 octobre 2025. Pour de plus amples informations, veuillez consulter AIOpsAssistantIncidentReportPolicy.

Autorisations supplémentaires pour Database Insights

Pour utiliser les fonctionnalités de Database Insights pendant les enquêtes, vous devez associer la politique AmazonRDSPerformanceInsightsFullAccess gérée au rôle ou à l'utilisateur IAM que vous utilisez pour effectuer les enquêtes. CloudWatch les enquêtes nécessitent ces autorisations pour créer et accéder à des rapports d'analyse des performances pour vos instances de base de données Amazon RDS.

Pour attacher cette politique, utilisez la console IAM pour ajouter la politique gérée AmazonRDSPerformanceInsightsFullAccess à votre principal d’enquête. Pour plus d'informations sur cette politique gérée et ses autorisations, consultez Amazon RDSPerformance InsightsFullAccess.

Comment contrôler les données auxquelles CloudWatch les enquêtes ont accès pendant les enquêtes

Lorsque vous configurez un groupe d'investigation dans votre compte, vous spécifiez les autorisations dont dispose le groupe d' CloudWatch investigation pour accéder à vos ressources pendant les investigations. Pour ce faire, attribuez un rôle IAM au groupe d’enquête.

Pour permettre aux CloudWatch enquêteurs d'accéder aux ressources et de formuler des suggestions et des hypothèses, la méthode recommandée consiste à attribuer le AIOpsAssistantPolicyrôle du groupe d'enquête. Cela donne au groupe d'investigation l'autorisation d'analyser vos AWS ressources pendant vos enquêtes. Pour plus d’informations sur le contenu complet de cette politique, consultez AIOpsAssistantPolicy.

Vous pouvez également choisir d'associer le général AWS ReadOnlyAccessau rôle du groupe d'investigation, en plus de le joindre AIOpsAssistantPolicy. Cela s'explique par le fait que les AWS mises à jour sont ReadOnlyAccessplus fréquentes avec des autorisations pour les nouveaux AWS services et actions publiés. Ils AIOpsAssistantPolicyseront également mis à jour pour les nouvelles actions, mais pas aussi fréquemment.

Si vous souhaitez limiter les autorisations accordées aux CloudWatch enquêtes, vous pouvez associer une stratégie IAM personnalisée au rôle IAM du groupe d'investigation au lieu de joindre la AIOpsAssistantPolicypolitique. Pour ce faire, établissez votre politique personnalisée avec le contenu de, AIOpsAssistantPolicypuis supprimez les autorisations que vous ne souhaitez pas accorder aux CloudWatch enquêtes. Cela empêchera les CloudWatch enquêtes de faire des suggestions basées sur les AWS services ou les actions auxquels vous n'autorisez pas l'accès.

Note

Tout ce à quoi CloudWatch les enquêtes peuvent accéder peut être ajouté à l'enquête et vu par vos opérateurs d'enquête. Nous vous recommandons d'aligner les autorisations d' CloudWatch investigation sur celles dont disposent les opérateurs de votre groupe d'investigation.

Permettre aux CloudWatch enquêtes de déchiffrer les données cryptées pendant les enquêtes

Si vous cryptez vos données dans l'un des services suivants à l'aide d'une clé gérée par le client et que vous souhaitez que les CloudWatch enquêtes puissent déchiffrer les données de ces services et les inclure dans les enquêtes, vous devez associer une ou plusieurs politiques IAM supplémentaires au rôle IAM du groupe d'investigation. AWS KMS

  • AWS Step Functions

La déclaration de politique doit inclure une clé contextuelles de chiffrement afin de restreindre la portée des autorisations. Par exemple, la politique suivante permettrait aux CloudWatch investigations de déchiffrer les données d'une machine d'état Step Functions.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Pour plus d'informations sur ces types de politiques et sur l'utilisation de ces clés contextuelles, consultez kms : ViaService et kms : EncryptionContext : context-key dans le manuel du AWS Key Management Service développeur, et aws : SourceArn dans le guide de l'utilisateur IAM.

Chiffrement des données d’enquête

Pour le chiffrement de vos données d'enquête, deux options s'offrent à AWS vous :

  • AWS clés détenues : par défaut, les CloudWatch enquêtes cryptent les données d'enquête inactives à l'aide d'une clé AWS détenue. Vous ne pouvez ni consulter ni gérer les clés AWS détenues, ni les utiliser à d'autres fins ni auditer leur utilisation. Cependant, aucune action ou configuration supplémentaire n’est requise pour utiliser ces clés. Pour plus d'informations sur les clés AWS détenues, consultez la section clés AWS détenues.

  • Clés gérées par le client : ce sont des clés que vous créez et gérez vous-même. Vous pouvez choisir d'utiliser une clé gérée par le client plutôt qu'une clé AWS détenue pour vos données d'enquête. Pour plus d’informations sur les clés gérées par le client, consultez Clés gérées par le client.

Les rapports d'incident générés par les enquêtes utilisent les mêmes paramètres de chiffrement que ceux de l'enquête principale. Cela permet de maintenir une posture de sécurité cohérente pour l'ensemble de vos données d'investigation et de votre documentation.

Note

CloudWatch les enquêtes permettent automatiquement le chiffrement au repos à l'aide de clés AWS détenues gratuitement. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d’informations sur la tarification, consultez Tarification d’AWS Key Management Service.

Pour plus d'informations sur AWS KMS, voir AWS Key Management Service.

Utilisation d’une clé gérée par le client pour votre groupe d’enquête

Vous pouvez associer un groupe d’enquête à une clé gérée par le client. Toutes les enquêtes créées dans ce groupe utiliseront alors cette clé pour chiffrer les données d’enquête au repos.

CloudWatch enquêtes L'utilisation des clés gérées par le client répond aux conditions suivantes :

  • CloudWatch investigations ne prend en charge que AWS KMS les clés de chiffrement symétriques avec la spécification de clé par défaut et dont l'utilisation est définie comme. SYMMETRIC_DEFAULT ENCRYPT_DECRYPT

  • Pour créer ou mettre à jour un groupe d’enquête avec une clé gérée par le client, l’utilisateur doit disposer des autorisations kms:DescribeKey, kms:GenerateDataKey et kms:Decrypt.

  • Pour qu’un utilisateur puisse créer ou mettre à jour une enquête dans un groupe d’enquête utilisant une clé gérée par le client, il doit disposer des autorisations kms:GenerateDataKey et kms:Decrypt.

  • Pour qu’un utilisateur puisse consulter les données d’enquête dans un groupe d’enquête utilisant une clé gérée par le client, il doit disposer de l’autorisation kms:Decrypt.

Configuration des enquêtes pour utiliser une clé gérée par le client  AWS KMS

Tout d’abord, si vous ne disposez pas encore d’une clé de chiffrement symétrique que vous souhaitez utiliser, créez-en une nouvelle à l’aide de la commande suivante.

aws kms create-key

Le résultat de la commande inclura l’ID de la clé et son Amazon Resource Name (ARN). Vous aurez besoin de ces informations dans les étapes suivantes. Voici un exemple de résultat.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Définir les autorisations sur la clé

Ensuite, définir les autorisations sur la clé. Par défaut, toutes les AWS KMS clés sont privées. Seul le propriétaire de la ressource peut l'utiliser pour chiffrer et déchiffrer des données. Cependant, le propriétaire de la ressource peut accorder à d'autres utilisateurs et ressources des autorisations d'accès à la clé. Dans cette étape, vous autorisez le principal du service CloudWatch à utiliser la clé. Ce principal de service doit se trouver dans la même AWS région que celle où la clé KMS est stockée.

En tant que bonne pratique, nous vous recommandons de limiter l'utilisation de la clé KMS aux seuls AWS comptes ou ressources que vous spécifiez.

La première étape de la configuration des autorisations consiste à enregistrer la politique par défaut de votre clé comme policy.json. Pour cela, utilisez la commande suivante. key-idRemplacez-le par l'identifiant de votre clé.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Ouvrez le fichier policy.json dans un éditeur de texte, puis ajoutez les nouvelles sections de politique dans la politique. Séparez la section existante des nouvelles sections à l’aide d’une virgule. Ces nouvelles sections utilisent Condition des sections pour renforcer la sécurité de la AWS KMS clé. Pour plus d’informations, consultez Clés AWS KMS et contexte de chiffrement.

Cette politique accorde des autorisations à certains principaux de service pour les raisons suivantes :

  • Le service aiops a besoin des autorisations GenerateDataKey pour obtenir une clé de données et l’utiliser afin de chiffrer vos données lorsqu’elles sont stockées au repos. L’autorisation Decrypt est nécessaire pour déchiffrer vos données lorsqu’elles sont lues à partir du magasin de données. Le déchiffrement se produit lorsque vous lisez les données en utilisant aiops APIs ou lorsque vous mettez à jour l'enquête ou l'événement d'investigation. L’opération de mise à jour récupère les données existantes après les avoir déchiffrées, met à jour les données et stocke les données mises à jour dans le magasin de données après le chiffrement

  • Le service d' CloudWatch alarmes peut créer des enquêtes ou des événements d'investigation. Ces opérations de création vérifient que l'appelant a accès à la AWS KMS clé définie pour le groupe d'investigation. La déclaration de politique donne les Decrypt autorisations GenerateDataKey et les autorisations au service des CloudWatch alarmes pour créer des enquêtes en votre nom.

Note

La politique suivante suppose que vous suivez la recommandation d'utiliser trois principes IAM et d'accorder à l'un d'eux la stratégie AIOpsConsoleAdminPolicyIAM, à un autre et à accorder la AIOpsOperatorAccesspolitique au troisième. AIOpsReadOnlyAccess Ces principaux peuvent être des rôles IAM (recommandé) ou des utilisateurs IAM. Ensuite, vos utilisateurs chargés des CloudWatch enquêtes signeront avec l'un de ces principes.

Pour la politique suivante, vous aurez besoin ARNs de ces trois principes.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Après avoir mis à jour la politique, attribuez-la à la clé en exécutant la commande suivante.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Association de la clé au groupe d’enquête

Lorsque vous utilisez la CloudWatch console pour créer un groupe d'investigation, vous pouvez choisir d'associer la AWS KMS clé au groupe d'investigation. Pour de plus amples informations, veuillez consulter Configuration d’un groupe d’enquête.

Vous pouvez également associer une clé gérée par le client à un groupe d’enquête existant.

Modification de votre configuration de chiffrement

Vous pouvez mettre à jour un groupe d’enquête pour passer d’une clé gérée par le client à une clé détenue par le service, ou inversement. Vous pouvez également passer d’une clé gérée par le client à une autre. Lorsque vous apportez une telle modification, celle-ci s’applique aux nouvelles enquêtes créées après la modification. Les enquêtes précédentes sont toujours associées à l’ancienne configuration de chiffrement. Les enquêtes en cours continuent d’utiliser la clé d’origine pour les nouvelles données.

Tant qu’une clé précédemment utilisée reste active et que Amazon Q y a accès pour les besoins d’enquête, vous pouvez extraire les anciennes enquêtes chiffrées avec cette clé, ainsi que les données récentes dans les enquêtes actuelles chiffrées avec l’ancienne clé. Si vous supprimez une clé précédemment utilisée ou révoquez l’accès à celle-ci, les données d’enquête chiffrées avec cette clé ne pourront plus être extraites.

Inférence interrégionale

CloudWatch les enquêtes utilisent l'inférence interrégionale pour répartir le trafic entre les différentes régions. AWS Bien que les données restent stockées uniquement dans la région principale, l’inférence interrégionale peut amener vos données d’enquête à transiter en dehors de votre région principale. Toutes les données sont transmises chiffrées au sein du réseau sécurisé d’Amazon.

Pour plus de détails sur la distribution de l’inférence interrégionale selon chaque région, consultez le tableau suivant.

Géographie des CloudWatch enquêtes prises en charge Région d’enquête Régions d’inférence possibles
États-Unis (US) USA Est (Virginie du Nord) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
USA Est (Ohio) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
USA Ouest (Oregon) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Europe (UE) Europe (Francfort) Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Europe (Irlande) Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Europe (Espagne) Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Europe (Stockholm) Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Asie-Pacifique (AP) Asie-Pacifique (Hong Kong) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Mumbai) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Singapour) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Sydney) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Tokyo) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Malaisie) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Thaïlande) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)