Sécurité dans le CloudWatch cadre des enquêtes - Amazon CloudWatch
Autorisations des utilisateursComment contrôler les données auxquelles CloudWatch les enquêtes ont accès pendant les enquêtesChiffrement des données d'enquêteInférence interrégionale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité dans le CloudWatch cadre des enquêtes

Cette section inclut des rubriques sur la manière dont CloudWatch les enquêtes s'intègrent aux fonctionnalités AWS de sécurité et d'autorisation.

Autorisations des utilisateurs

AWS a créé trois politiques IAM gérées que vous pouvez utiliser pour les utilisateurs qui travailleront CloudWatch sur des enquêtes.

  • AIOpsConsoleAdminPolicy— permet à un administrateur de configurer des CloudWatch enquêtes dans le compte, d'accéder aux actions d' CloudWatch investigation, de gérer la propagation d'identités fiables et de gérer l'intégration avec IAM Identity Center et l'accès organisationnel.

  • AIOpsOperatorAccess— accorde à un utilisateur l'accès aux actions d'investigation, y compris le lancement d'une enquête. Il accorde également les autorisations supplémentaires nécessaires pour accéder aux événements d'enquête.

  • AIOpsReadOnlyAccess— accorde des autorisations en lecture seule pour les CloudWatch enquêtes et autres services connexes.

Nous vous recommandons d'utiliser trois principes IAM, en attribuant à l'un d'eux la politique AIOpsConsoleAdminPolicyIAM, à un autre et au troisième la AIOpsOperatorAccesspolitique. AIOpsReadOnlyAccess Ces principes peuvent être des rôles IAM (recommandés) ou des utilisateurs IAM. Ensuite, vos utilisateurs chargés des CloudWatch enquêtes signeront avec l'un de ces principes.

Comment contrôler les données auxquelles CloudWatch les enquêtes ont accès pendant les enquêtes

Lorsque vous activez la fonctionnalité d' CloudWatch enquêtes, vous spécifiez les autorisations dont disposent les CloudWatch enquêtes pour accéder à vos ressources pendant les enquêtes. Pour ce faire, attribuez un rôle IAM à l'assistant.

Pour permettre aux CloudWatch enquêteurs d'accéder aux ressources et de formuler des suggestions et des hypothèses, la méthode recommandée consiste à associer le rôle de l'assistant AIOpsAssistantPolicyau rôle de l'assistant. Cela donne à l'assistant l'autorisation d'analyser vos AWS ressources lors de vos enquêtes. Pour plus d'informations sur le contenu complet de cette politique, consultezPolitique de l'IAM pour les CloudWatch enquêtes () AIOps AssistantPolicy.

Vous pouvez également choisir d'associer le général AWS ReadOnlyAccessau rôle de l'assistant, en plus de le joindre AIOpsAssistantPolicy. Cela s'explique par le fait que les AWS mises à jour sont ReadOnlyAccessplus fréquentes avec des autorisations pour les nouveaux AWS services et actions publiés. Ils AIOpsAssistantPolicyseront également mis à jour pour les nouvelles actions, mais pas aussi fréquemment.

Si vous souhaitez limiter les autorisations accordées aux CloudWatch enquêtes, vous pouvez associer une politique IAM personnalisée au rôle IAM de l'assistant au lieu de joindre la AIOpsAssistantPolicypolitique. Pour ce faire, établissez votre politique personnalisée avec le contenu de, AIOpsAssistantPolicypuis supprimez les autorisations que vous ne souhaitez pas accorder aux CloudWatch enquêtes. Cela empêchera l'assistant de faire des suggestions en fonction des AWS services ou des actions auxquels vous n'accordez pas l'accès.

Note

Tout ce à quoi CloudWatch les enquêtes peuvent accéder peut être ajouté à l'enquête et vu par vos opérateurs d'enquête. Nous vous recommandons d'aligner les autorisations d' CloudWatch investigation sur celles dont disposent les opérateurs de votre groupe d'investigation.

Permettre aux CloudWatch enquêtes de déchiffrer les données cryptées pendant les enquêtes

Si vous cryptez vos données dans l'un des services suivants à l'aide d'une clé gérée par le client et que vous souhaitez que les CloudWatch enquêtes puissent déchiffrer les données de ces services et les inclure dans les enquêtes, vous devez associer une ou plusieurs politiques IAM supplémentaires au rôle IAM de l'assistant. AWS KMS

  • AWS Step Functions

La déclaration de politique doit inclure une clé de contexte pour le contexte de chiffrement afin de limiter les autorisations. Par exemple, la politique suivante permettrait aux CloudWatch investigations de déchiffrer les données d'une machine d'état Step Functions.

{
  "Version": "2012-10-17",
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Pour plus d'informations sur ces types de politiques et sur l'utilisation de ces clés contextuelles, consultez kms : ViaService et kms : EncryptionContext : context-key dans le manuel du AWS Key Management Service développeur, et aws : SourceArn dans le guide de l'utilisateur IAM.

Chiffrement des données d'enquête

Pour le chiffrement de vos données d'enquête, deux options s'offrent à AWS vous :

  • AWS clés détenues : par défaut, les CloudWatch enquêtes cryptent les données d'enquête inactives à l'aide d'une clé AWS détenue. Vous ne pouvez ni consulter ni gérer les clés AWS détenues, ni les utiliser à d'autres fins ni auditer leur utilisation. Toutefois, il n'est pas nécessaire de prendre des mesures ou de modifier les paramètres pour utiliser ces touches. Pour plus d'informations sur les clés AWS détenues, consultez la section clés AWS détenues.

  • Clés gérées par le client : il s'agit de clés que vous créez et gérez vous-même. Vous pouvez choisir d'utiliser une clé gérée par le client plutôt qu'une clé AWS détenue pour vos données d'enquête. Pour plus d'informations sur les clés gérées par le client, voir Clés gérées par le client.

Note

CloudWatch les enquêtes permettent automatiquement le chiffrement au repos à l'aide de clés AWS détenues gratuitement. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour de plus amples informations sur la tarification, veuillez consulter AWS Key Management Service Tarification.

Pour plus d'informations sur AWS KMS, voir AWS Key Management Service.

Utilisation d'une clé gérée par le client pour votre groupe d'investigation

Vous pouvez associer un groupe d'investigation à une clé gérée par le client, puis toutes les enquêtes créées dans ce groupe utiliseront la clé gérée par le client pour chiffrer vos données d'enquête au repos.

CloudWatch enquêtes L'utilisation des clés gérées par le client répond aux conditions suivantes :

  • CloudWatch investigations ne prend en charge que AWS KMS les clés de chiffrement symétriques avec la spécification de clé par défaut et dont l'utilisation est définie comme. SYMMETRIC_DEFAULT ENCRYPT_DECRYPT

  • Pour qu'un utilisateur puisse créer ou mettre à jour un groupe d'investigation avec une clé gérée par le client, cet utilisateur doit disposer kms:Decrypt des autorisations kms:DescribeKeykms:GenerateDataKey, et.

  • Pour qu'un utilisateur puisse créer ou mettre à jour une enquête dans un groupe d'investigation utilisant une clé gérée par le client, cet utilisateur doit disposer des kms:Decrypt autorisations kms:GenerateDataKey et.

  • Pour qu'un utilisateur puisse consulter les données d'investigation d'un groupe d'investigation utilisant une clé gérée par le client, cet utilisateur doit disposer de l'kms:Decryptautorisation.

Configuration d'enquêtes pour utiliser une clé gérée par AWS KMS le client

Tout d'abord, si vous ne possédez pas encore de clé symétrique à utiliser, créez-en une nouvelle à l'aide de la commande suivante.

aws kms create-key

La sortie de commande inclut l'ID de clé et le nom de ressource Amazon (ARN) de la clé. Vous en aurez besoin dans les étapes ultérieures de cette section. Voici un exemple de cette sortie.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Définissez les autorisations sur la clé

Définissez ensuite les autorisations sur la clé. Par défaut, toutes les AWS KMS clés sont privées. Seul le propriétaire de la ressource peut l'utiliser pour chiffrer et déchiffrer des données. Cependant, le propriétaire de la ressource peut accorder à d'autres utilisateurs et ressources des autorisations d'accès à la clé. Avec cette étape, vous autorisez le principal du service AI Operations à utiliser la clé. Ce principal de service doit se trouver dans la même AWS région que celle où la clé KMS est stockée.

Il est recommandé de limiter l'utilisation de la clé KMS aux seuls AWS comptes ou ressources que vous spécifiez.

La première étape pour définir les autorisations consiste à enregistrer la politique par défaut de votre clé souspolicy.json. Pour ce faire, utilisez la commande suivante. key-idRemplacez-le par l'identifiant de votre clé.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Ouvrez le policy.json fichier dans un éditeur de texte et ajoutez-y les sections de stratégie suivantes. Séparez la déclaration existante des nouvelles sections par une virgule. Ces nouvelles sections utilisent Condition des sections pour renforcer la sécurité de la AWS KMS clé. Pour plus d'informations, consultez la section AWS KMS Clés et contexte de chiffrement.

Cette politique fournit des autorisations aux responsables du service pour les raisons suivantes :

  • Le aiops service a besoin d'GenerateDataKeyautorisations pour obtenir la clé de données et utiliser cette clé de données pour chiffrer vos données pendant qu'elles sont stockées au repos. L'Decryptautorisation est nécessaire pour déchiffrer vos données lors de leur lecture dans le magasin de données. Le déchiffrement se produit lorsque vous lisez les données en utilisant aiops APIs ou lorsque vous mettez à jour l'enquête ou l'événement d'investigation. L'opération de mise à jour récupère les données existantes après les avoir déchiffrées, met à jour les données et stocke les données mises à jour dans le magasin de données après le chiffrement

  • Le service d' CloudWatch alarmes peut créer des enquêtes ou des événements d'investigation. Ces opérations de création vérifient que l'appelant a accès à la AWS KMS clé définie pour le groupe d'investigation. La déclaration de politique donne les Decrypt autorisations GenerateDataKey et les autorisations au service des CloudWatch alarmes pour créer des enquêtes en votre nom.

Note

La politique suivante suppose que vous suivez la recommandation d'utiliser trois principes IAM et d'accorder à l'un d'eux la stratégie AIOpsConsoleAdminPolicyIAM, à un autre et à accorder la AIOpsOperatorAccesspolitique au troisième. AIOpsReadOnlyAccess Ces principes peuvent être des rôles IAM (recommandés) ou des utilisateurs IAM. Ensuite, vos utilisateurs chargés des CloudWatch enquêtes signeront avec l'un de ces principes.

Pour la politique suivante, vous aurez besoin ARNs de ces trois principes.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Après avoir mis à jour la politique, attribuez-la à la clé en saisissant la commande suivante.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Associez la clé au groupe d'investigation

Lorsque vous utilisez la CloudWatch console pour créer un groupe d'investigation, vous pouvez choisir d'associer la AWS KMS clé au groupe d'investigation. Pour de plus amples informations, veuillez consulter Mettre en place des enquêtes opérationnelles.

Vous pouvez également associer une clé gérée par le client à un groupe de recherche existant.

Modification de votre configuration de chiffrement

Vous pouvez mettre à jour un groupe d'investigation pour passer d'une clé gérée par le client à une clé appartenant au service. Vous pouvez également passer d'une clé gérée par le client à une autre. Lorsque vous apportez une telle modification, celle-ci s'applique aux nouvelles enquêtes créées après la modification. Les enquêtes précédentes sont toujours associées à l'ancienne configuration de chiffrement. Les enquêtes en cours continuent également d'utiliser la clé d'origine pour les nouvelles données.

Tant qu'une clé précédemment utilisée est active et qu'Amazon Q y a accès pour les enquêtes, vous pouvez récupérer les anciennes enquêtes chiffrées avec cette méthode, ainsi que les données des enquêtes en cours qui ont été chiffrées avec la clé précédente. Si vous supprimez une clé précédemment utilisée ou si vous révoquez l'accès à celle-ci, les données d'enquête chiffrées avec cette clé ne peuvent pas être récupérées.

Inférence interrégionale

CloudWatch les enquêtes utilisent l'inférence interrégionale pour répartir le trafic entre les différentes régions. AWS Bien que les données restent stockées uniquement dans la région principale, lorsque vous utilisez l'inférence interrégionale, vos données d'enquête peuvent être déplacées en dehors de votre région principale. Toutes les données seront transmises cryptées sur le réseau sécurisé d'Amazon. Pour plus d'informations, voir la section Inférence interrégionale dans le guide de l'utilisateur CloudWatch des enquêtes.

Pour plus de détails sur l'endroit où se produit la distribution d'inférence entre régions pour chaque région, consultez le tableau suivant.

Géographie des CloudWatch enquêtes prises en charge Région d'enquête Régions d'inférence possibles
États-Unis d'Amérique (US) USA Est (Virginie du Nord) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
USA Est (Ohio) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
USA Ouest (Oregon) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Europe (UE) Europe (Francfort) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Europe (Irlande) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Europe (Espagne) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Europe (Stockholm) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Europe (Francfort), Europe (Irlande), Europe (Paris), Europe (Stockholm)
Asie-Pacifique (AP) Asie-Pacifique (Hong Kong) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Mumbai) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Singapour) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Sydney) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Tokyo) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Malaisie) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)
Asie-Pacifique (Thaïlande) USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon)