Passage à une clé gérée par le client AWS KMS pour chiffrer les ressources S3 - AWS Systems Manager
Tâche 1 : ajouter une balise à une clé CMK existanteTâche 2 : modifier une stratégie de clé CMK existanteTâche 3 : spécifier le CMK dans les paramètres de Systems Manager

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Passage à une clé gérée par le client AWS KMS pour chiffrer les ressources S3

Au cours du processus d’intégration à la console unifiée Systems Manager, Quick Setup crée un compartiment Amazon Simple Storage Service (Amazon S3) dans le compte administrateur délégué. Ce compartiment est utilisé pour stocker les données de sortie de diagnostic générées lors des exécutions de dossier d’exploitation de réparation. Par défaut, le compartiment utilise le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

Vous pouvez consulter le contenu de ces politique dans Stratégies de compartiment S3 pour la console unifiée Systems Manager.

Cependant, vous pouvez utiliser le chiffrement côté serveur avec AWS KMS keys (SSE-KMS) en utilisant une clé gérée par le client (CMK) comme alternative à un AWS KMS key.

Effectuez les tâches suivantes afin de configurer Systems Manager pour qu’il utilise votre clé CMK.

Tâche 1 : ajouter une balise à une clé CMK existante

AWS Systems Manager utilise votre clé CMK uniquement si elle est marquée avec la paire clé-valeur suivante :

  • Clé : SystemsManagerManaged

  • Valeur : true

Utilisez la procédure suivante pour fournir un accès permettant de chiffrer le compartiment S3 avec votre clé CMK.

Pour ajouter une balise à votre clé CMK existante

  1. Ouvrez la console AWS KMS à l’adresse https://console.aws.amazon.com/kms.

  2. Dans le volet de navigation de gauche, choisissez Clés gérées par le client.

  3. Sélectionnez le AWS KMS key à utiliser avec AWS Systems Manager.

  4. Choisissez l’onglet Balises, et ensuite Modifier.

  5. Choisissez Ajouter une balise.

  6. Procédez comme suit :

    1. Pour le champ Tag key (Clé de balise), entrez SystemsManagerManaged.

    2. Pour Valeur de la balise, saisissez true.

  7. Choisissez Enregistrer.

Tâche 2 : modifier une stratégie de clé CMK existante

Utilisez la procédure suivante pour mettre à jour la Stratégie de clé KMS de votre clé CMK afin de permettre aux rôles AWS Systems Managerde chiffrer le compartiment S3 en votre nom.

Pour modifier une stratégie de clé CMK existante

  1. Ouvrez la console AWS KMS à l’adresse https://console.aws.amazon.com/kms.

  2. Dans le volet de navigation de gauche, choisissez Clés gérées par le client.

  3. Sélectionnez le AWS KMS key à utiliser avec AWS Systems Manager.

  4. Dans l'onglet Stratégie de clé choisissez Modifier.

  5. Ajoutez l’instruction JSON suivante au champ Statement et remplacez les valeurs de l’espace réservé par vos propres informations.

    Assurez-vous d’ajouter tous les identifiants Compte AWS intégrés dans votre organisation à AWS Systems Manager dans le champ Principal.

    Pour trouver le nom du compartiment correct dans la console Amazon S3, dans le compte d’administrateur délégué, localisez le compartiment au format do-not-delete-ssm-operational-account-id-home-region-disambiguator.

    {
     "Sid": "EncryptionForSystemsManagerS3Bucket",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
             "account-id-1",
             "account-id-2",
             ...
         ]
     },
     "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
         },
         "StringLike": {
             "kms:ViaService": "s3.*.amazonaws.com"
         },
         "ArnLike": {
             "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
         }
     }
 }
Astuce

Vous pouvez également mettre à jour la stratégie de clé CMK à l’aide de la clé de condition aws:PrincipalOrgID pour autoriser l’accès AWS Systems Manager à votre clé CMK.

Tâche 3 : spécifier le CMK dans les paramètres de Systems Manager

Après avoir effectué les deux tâches précédentes, suivez la procédure suivante pour modifier le chiffrement du compartiment S3. Cette modification garantit que le processus de configuration Quick Setup associé peut ajouter des autorisations permettant à Systems Manager d’accepter votre clé CMK.

  1. Ouvrez la console AWS Systems Manager à l’adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Dans l’onglet Diagnostiquer et corriger, dans la section Mettre à jour le chiffrement du compartiment S3, sélectionnez Modifier.

  4. Cochez la case Personnaliser les paramètres de chiffrement (avancé).

  5. Dans la zone de recherche ( The search icon ), sélectionnez l’ID d’une clé existante ou collez l’ARN d’une clé existante.

  6. Choisissez Enregistrer.