Sécurisation des identifiants de localisation de stockage - AWS DataSync
Utilisation d'un secret géré par un service chiffré avec une clé par défautUtilisation d'un secret géré par un service chiffré à l'aide d'une clé personnalisée AWS KMSUtiliser un secret que vous gérez

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurisation des identifiants de localisation de stockage

DataSync utilise des emplacements pour accéder à vos ressources de stockage situées sur site, dans d'autres clouds ou dans AWS. Certains types d'emplacement nécessitent que vous fournissiez des informations d'identification, telles qu'une clé d'accès et une clé secrète ou un nom d'utilisateur et un mot de passe, pour vous authentifier auprès de votre système de stockage. Lorsque vous créez un DataSync emplacement qui nécessite des informations d'identification pour l'authentification, vous pouvez choisir l'une des options suivantes pour contrôler la manière dont le secret de vos informations d'identification est stocké :

  • Stockez le secret à AWS Secrets Manager l'aide d'un secret géré par le service crypté avec une clé par défaut.

  • Stockez le secret à AWS Secrets Manager l'aide d'un secret géré par un service crypté à l'aide d'une AWS KMS clé que vous gérez.

  • Stockez le secret à AWS Secrets Manager l'aide d'un secret et d'une clé que vous créez et gérez. DataSync accède à ce secret à l'aide d'un rôle IAM que vous fournissez.

Dans tous les cas, le secret Secrets Manager est enregistré dans votre compte, ce qui vous permet de le mettre à jour selon vos besoins, indépendamment du DataSync service. Vous n'êtes facturé que pour l'utilisation de secrets que vous créez en dehors de DataSync. Les secrets créés et gérés par DataSync portent le préfixeaws-datasync.

Utilisation d'un secret géré par un service chiffré avec une clé par défaut

Lorsque vous créez votre DataSync position, il vous suffit de fournir la chaîne secrète. DataSynccrée une ressource secrète AWS Secrets Manager pour stocker le secret que vous fournissez, et le chiffre avec la clé KMS par défaut de Secrets Manager pour votre compte. Vous pouvez modifier la valeur du secret directement dans Secrets Manager ou en mettant à jour l'emplacement à l'aide de la DataSync console ou du SDK. AWS CLI Lorsque vous supprimez la ressource de localisation ou que vous la mettez à jour pour utiliser un secret personnalisé, la DataSync ressource secrète est automatiquement supprimée.

Note

Pour créer, modifier et supprimer des ressources secrètes dans Secrets Manager, vous DataSync devez disposer des autorisations appropriées. Pour plus d'informations, consultez Politiques gérées par AWS pour DataSync.

Utilisation d'un secret géré par un service chiffré à l'aide d'une clé personnalisée AWS KMS

Lorsque vous créez votre DataSync position, vous fournissez le secret et l'ARN de votre AWS KMS clé. DataSync crée automatiquement une ressource secrète AWS Secrets Manager pour stocker le secret que vous fournissez et le chiffre à l'aide de votre AWS KMS clé. Vous pouvez modifier la valeur du secret directement dans Secrets Manager ou en mettant à jour l'emplacement à l'aide de la DataSync console ou du SDK. AWS CLI Lorsque vous supprimez la ressource de localisation ou que vous la mettez à jour pour utiliser un secret personnalisé, la DataSync ressource secrète est automatiquement supprimée.

Note

Votre AWS KMS clé doit utiliser un chiffrement symétrique avec le type de ENCRYPT_DECRYPT clé. Pour plus d'informations, consultez la section Choix d'une AWS Key Management Service clé dans le guide de AWS Secrets Manager l'utilisateur.

Pour créer, modifier et supprimer des ressources secrètes dans Secrets Manager, vous DataSync devez disposer des autorisations appropriées. Pour plus d'informations, consultez Politique gérée par AWS  : AWSDataSyncFullAccess.

Outre l'utilisation de la politique DataSync gérée appropriée, vous devez également disposer des autorisations suivantes :

{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}

your-kms-key-arnRemplacez-le par l'ARN de votre clé KMS.

Pour récupérer et déchiffrer la valeur secrète, utilisez un DataSync rôle lié au service (SLR) pour accéder à votre AWS KMS clé. Pour vous assurer que DataSync vous pouvez utiliser votre clé KMS, ajoutez ce qui suit à la déclaration de politique relative à la clé :

{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::accountid:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

accountidRemplacez-le par votre Compte AWS identifiant.

Utiliser un secret que vous gérez

Avant de créer votre DataSync position, créez un secret dans AWS Secrets Manager. La valeur du secret doit uniquement contenir la chaîne secrète elle-même en texte brut. Lorsque vous créez votre DataSync position, vous fournissez l'ARN de votre secret et un rôle IAM qui DataSync permet d'accéder à la fois à votre secret et à la AWS KMS clé utilisée pour le chiffrer. Pour créer un rôle IAM doté des autorisations appropriées, procédez comme suit :

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de gauche, sous Gestion des accès, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  3. Sur la page Sélectionner une entité de confiance, pour Type d'entité fiable, sélectionnez AWS service.

  4. Pour Cas d'utilisation, DataSyncchoisissez dans la liste déroulante. Choisissez Suivant.

  5. Sur la page Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant). Entrez un nom pour votre rôle, puis choisissez Créer un rôle.

  6. Sur la page Rôles, recherchez le rôle que vous venez de créer et choisissez son nom.

  7. Sur la page Détails du rôle, choisissez l'onglet Autorisations. Choisissez Ajouter des autorisations, puis Créer une politique intégrée.

  8. Choisissez l'onglet JSON et ajoutez les autorisations suivantes dans l'éditeur de politiques :

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "your-secret-arn"
        }
    ]
}

    your-secret-arnRemplacez-le par l'ARN de votre secret Secrets Manager.

  9. Choisissez Suivant. Entrez un nom pour votre politique, puis choisissez Créer une politique.

  10. (Recommandé) Pour éviter le problème de confusion entre les services adjoints, procédez comme suit :

    1. Sur la page Détails du rôle, choisissez l'onglet Relations de confiance. Choisissez Edit trust policy (Modifier la politique d’approbation).

    2. Mettez à jour la politique de confiance en utilisant l'exemple suivant, qui inclut les clés de contexte de condition aws:SourceAccount globale aws:SourceArn et globale :

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:region:account-id:*"
                }
            }
        }
    ]
}

    3. Choisissez Mettre à jour une politique.

Vous pouvez spécifier ce rôle lors de la création de votre position. Si votre secret utilise une AWS KMS clé gérée par le client pour le chiffrement, vous devrez également mettre à jour la politique de la clé pour autoriser l'accès à partir du rôle que vous avez créé lors de la procédure précédente. Pour mettre à jour la politique, ajoutez ce qui suit à la déclaration de politique de votre AWS KMS clé :

{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam accountid:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

accountidRemplacez-le par votre Compte AWS ID et your-role-name par le nom du rôle IAM que vous avez créé lors de la procédure précédente.

Note

Lorsque vous stockez des secrets dans Secrets Manager, des frais Compte AWS vous sont facturés. Pour plus d’informations sur la tarification, consultez Tarification AWS Secrets Manager.