AWS KMS Amazon IAM Volumes EC2 EBS chiffrés

Sécurité

Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce modèle de responsabilité partagée réduit votre charge opérationnelle car AWS exploite, gère et contrôle les composants, notamment le système d'exploitation hôte, la couche de virtualisation et la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité AWS, rendez-vous sur AWS Cloud Security.

AWS KMS

La solution crée une clé gérée par le client gérée par AWS, qui est utilisée pour configurer le chiffrement côté serveur pour le sujet SNS et les tables DynamoDB.

Amazon IAM

Les fonctions Lambda de la solution nécessitent des autorisations pour accéder aux ressources du compte du hub et aux paramètres de get/put Systems Manager, aux groupes de CloudWatch journaux, à la clé AWS KMS, au RDS, aux ressources Autoscaling encryption/decryption, and publish messages to SNS. In addition, Instance Scheduler on AWS will also create Scheduling Roles in all managed accounts that will provide access to start/stop EC2, aux instances de base de données, pour modifier les attributs des instances et pour mettre à jour les balises de ces ressources. Toutes les autorisations nécessaires sont fournies par la solution au rôle de service Lambda créé dans le cadre du modèle de solution.

Lors du déploiement, Instance Scheduler on AWS déploiera des rôles IAM délimités pour chacune de ses fonctions Lambda, ainsi que des rôles de planificateur qui ne peuvent être assumés que par des Lambdas de planification spécifiques dans le modèle de hub déployé. Ces rôles de planification porteront des noms suivant le modèle{namespace}-Scheduler-Role, et{namespace}-ASG-Scheduling-Role.

Pour obtenir des informations détaillées sur les autorisations accordées à chaque rôle de service, reportez-vous aux CloudFormation modèles.

Volumes EC2 EBS chiffrés

Lorsque vous planifiez des EC2 instances associées à des volumes EBS chiffrés par AWS KMS, vous devez autoriser Instance Scheduler on AWS à utiliser la ou les clés AWS KMS associées. Cela permet EC2 à Amazon de déchiffrer les volumes EBS attachés lors du démarrage de la fonction. Cette autorisation doit être accordée au rôle de planification dans le même compte que la ou les EC2 instances utilisant la clé.

Pour autoriser l'utilisation d'une clé AWS KMS avec Instance Scheduler sur AWS, ajoutez l'ARN de la clé AWS KMS à la pile (hub ou spoke) du planificateur d'instance sur AWS sur EC2 le même compte que les instances utilisant les clés :

KMS Key Arns pour EC2

Cela générera automatiquement la politique suivante et l'ajoutera au rôle de planification pour ce compte :


 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Condition": {
            "StringLike": {
               "kms:ViaService": "ec2.*.amazonaws.com"
         },
        "Null": {
              "kms:EncryptionContextKeys": "false",
              "kms:GrantOperations": "false"
         },
        "ForAllValues:StringEquals": {
            "kms:EncryptionContextKeys": [
                 "aws:ebs:id"
              ],
              "kms:GrantOperations": [
                 "Decrypt"
              ]
        },
        "Bool": {
                 "kms:GrantIsForAWSResource": "true"
              }
        },
        "Action": "kms:CreateGrant",
        "Resource": [
             "Your-KMS-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Services AWS utilisés dans cette solution

Mise en route