Keamanan dalam CloudWatch investigasi - Amazon CloudWatch
Izin penggunaBagaimana mengontrol CloudWatch investigasi data apa yang dapat diakses selama investigasiEnkripsi data investigasiInferensi Lintas Wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan dalam CloudWatch investigasi

Bagian ini mencakup topik tentang bagaimana CloudWatch investigasi terintegrasi dengan fitur AWS keamanan dan izin.

Izin pengguna

AWS telah membuat tiga kebijakan IAM terkelola yang dapat Anda gunakan untuk pengguna Anda yang akan bekerja dengan CloudWatch investigasi.

  • AIOpsConsoleAdminPolicy— memberikan administrator kemampuan untuk mengatur CloudWatch investigasi di akun, akses ke tindakan CloudWatch investigasi, pengelolaan propagasi identitas tepercaya, dan manajemen integrasi dengan IAM Identity Center dan akses organisasi.

  • AIOpsOperatorAccess— memberikan pengguna akses ke tindakan investigasi termasuk memulai penyelidikan. Ini juga memberikan izin tambahan yang diperlukan untuk mengakses peristiwa investigasi.

  • AIOpsReadOnlyAccess— memberikan izin hanya-baca untuk CloudWatch investigasi dan layanan terkait lainnya.

Kami menyarankan Anda menggunakan tiga prinsip IAM, memberikan salah satunya kebijakan AIOpsConsoleAdminPolicyIAM, memberikan kebijakan lain, dan memberikan AIOpsOperatorAccesskebijakan ketiga. AIOpsReadOnlyAccess Prinsipal ini bisa berupa peran IAM (disarankan) atau pengguna IAM. Kemudian pengguna Anda yang bekerja dengan CloudWatch investigasi akan masuk dengan salah satu prinsip ini.

Bagaimana mengontrol CloudWatch investigasi data apa yang dapat diakses selama investigasi

Saat mengaktifkan fitur CloudWatch investigasi, Anda menentukan izin apa yang dimiliki CloudWatch investigasi untuk mengakses sumber daya Anda selama investigasi. Anda melakukan ini dengan menetapkan peran IAM ke asisten.

Untuk memungkinkan CloudWatch investigasi mengakses sumber daya dan dapat membuat saran dan hipotesis, metode yang disarankan adalah AIOpsAssistantPolicymelampirkan peran asisten. Ini memberikan izin asisten untuk menganalisis AWS sumber daya Anda selama penyelidikan Anda. Untuk informasi tentang isi lengkap kebijakan ini, lihatKebijakan IAM untuk CloudWatch investigasi () AIOps AssistantPolicy.

Anda juga dapat memilih untuk melampirkan jenderal AWS ReadOnlyAccesske peran asisten, selain melampirkan AIOpsAssistantPolicy. Alasan untuk melakukan ini adalah AWS pembaruan ReadOnlyAccesslebih sering dengan izin untuk AWS layanan dan tindakan baru yang dirilis. Ini juga AIOpsAssistantPolicyakan diperbarui untuk tindakan baru, tetapi tidak sesering itu.

Jika Anda ingin mencakupkan izin yang diberikan untuk CloudWatch investigasi, Anda dapat melampirkan kebijakan IAM khusus ke peran IAM asisten alih-alih melampirkan kebijakan. AIOpsAssistantPolicy Untuk melakukannya, mulai kebijakan kustom Anda dengan konten AIOpsAssistantPolicydan kemudian hapus izin yang tidak ingin Anda berikan untuk CloudWatch investigasi. Ini akan mencegah asisten untuk dapat memberikan saran berdasarkan AWS layanan atau tindakan yang tidak Anda berikan akses.

catatan

Apa pun yang dapat diakses CloudWatch investigasi dapat ditambahkan ke penyelidikan dan dilihat oleh operator investigasi Anda. Kami menyarankan Anda menyelaraskan izin CloudWatch investigasi dengan izin yang dimiliki operator grup investigasi Anda.

Memungkinkan CloudWatch investigasi untuk mendekripsi data terenkripsi selama investigasi

Jika Anda mengenkripsi data Anda di salah satu layanan berikut dengan kunci yang dikelola pelanggan AWS KMS, dan Anda ingin CloudWatch investigasi dapat mendekripsi data dari layanan ini dan memasukkannya ke dalam investigasi, Anda harus melampirkan satu atau beberapa kebijakan IAM tambahan ke peran IAM asisten.

  • AWS Step Functions

Pernyataan kebijakan harus menyertakan kunci konteks untuk konteks enkripsi guna membantu cakupan izin. Misalnya, kebijakan berikut akan memungkinkan CloudWatch investigasi untuk mendekripsi data untuk mesin status Step Functions.

{
  "Version": "2012-10-17",
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya tentang jenis kebijakan ini dan menggunakan kunci konteks ini, lihat kms: ViaService dan kms:EncryptionContext: context-key di Panduan AWS Key Management Service Pengembang, dan aws: SourceArn di Panduan Pengguna IAM.

Enkripsi data investigasi

Untuk enkripsi data investigasi Anda, AWS menawarkan dua opsi:

  • AWS kunci yang dimiliki — Secara default, CloudWatch investigasi mengenkripsi data investigasi saat istirahat dengan kunci yang AWS dimiliki. Anda tidak dapat melihat atau mengelola kunci yang AWS dimiliki, dan Anda tidak dapat menggunakannya untuk tujuan lain atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah pengaturan apa pun untuk menggunakan kunci ini. Untuk informasi selengkapnya tentang kunci yang AWS dimiliki, lihat kunci AWS yang dimiliki.

  • Kunci yang dikelola pelanggan — Ini adalah kunci yang Anda buat dan kelola sendiri. Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan alih-alih kunci yang AWS dimiliki untuk data investigasi Anda. Untuk informasi selengkapnya tentang kunci terkelola pelanggan, lihat Kunci terkelola pelanggan.

catatan

CloudWatch investigasi secara otomatis memungkinkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS Key Management Service.

Untuk informasi lebih lanjut tentang AWS KMS, lihat AWS Key Management Service.

Menggunakan kunci yang dikelola pelanggan untuk grup investigasi Anda

Anda dapat mengaitkan grup investigasi dengan kunci yang dikelola pelanggan, dan kemudian semua investigasi yang dibuat dalam grup tersebut akan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data investigasi Anda saat istirahat.

CloudWatch investigasi penggunaan kunci yang dikelola pelanggan memiliki ketentuan sebagai berikut:

  • CloudWatch investigasi hanya mendukung AWS KMS kunci enkripsi simetris dengan spesifikasi kunci default,SYMMETRIC_DEFAULT, dan yang memiliki penggunaan didefinisikan sebagai. ENCRYPT_DECRYPT

  • Agar pengguna dapat membuat atau memperbarui grup investigasi dengan kunci yang dikelola pelanggan, pengguna tersebut harus memilikikms:DescribeKey,kms:GenerateDataKey, dan kms:Decrypt izin.

  • Agar pengguna dapat membuat atau memperbarui investigasi dalam grup investigasi yang menggunakan kunci yang dikelola pelanggan, pengguna tersebut harus memiliki izin kms:GenerateDataKey dan kms:Decrypt izin.

  • Agar pengguna dapat melihat data investigasi dalam grup investigasi yang menggunakan kunci yang dikelola pelanggan, pengguna tersebut harus memiliki kms:Decrypt izin.

Menyiapkan investigasi untuk menggunakan kunci yang dikelola AWS KMS pelanggan

Pertama, jika Anda belum memiliki kunci simetris yang ingin Anda gunakan, buat kunci baru dengan perintah berikut.

aws kms create-key

Output perintah mencakup ID kunci dan Amazon Resource Name (ARN) dari kunci. Anda akan membutuhkannya di langkah selanjutnya di bagian ini. Berikut ini adalah contoh dari output ini.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Tetapkan izin pada kunci

Selanjutnya, atur izin pada kunci. Secara default, semua AWS KMS kunci bersifat pribadi. Hanya pemilik sumber daya yang dapat menggunakannya untuk mengenkripsi dan mendekripsi data. Namun, pemilik sumber daya dapat memberikan izin untuk mengakses kunci ke pengguna dan sumber daya lain. Dengan langkah ini, Anda memberikan izin utama layanan Operasi AI untuk menggunakan kunci tersebut. Prinsipal layanan ini harus berada di AWS Wilayah yang sama di mana kunci KMS disimpan.

Sebagai praktik terbaik, kami menyarankan Anda membatasi penggunaan kunci KMS hanya untuk AWS akun atau sumber daya yang Anda tentukan.

Langkah pertama untuk mengatur izin adalah menyimpan kebijakan default untuk kunci Anda sebagaipolicy.json. Gunakan perintah berikut untuk melakukannya. Ganti key-id dengan ID kunci Anda.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Buka policy.json file di editor teks dan tambahkan bagian kebijakan berikut ke dalam kebijakan tersebut. Pisahkan pernyataan yang ada dari bagian baru dengan koma. Bagian baru ini menggunakan Condition bagian untuk meningkatkan keamanan AWS KMS kunci. Untuk informasi selengkapnya, lihat AWS KMS kunci dan konteks enkripsi.

Kebijakan ini memberikan izin untuk prinsipal layanan karena alasan berikut:

  • aiopsLayanan memerlukan GenerateDataKey izin untuk mendapatkan kunci data dan menggunakan kunci data tersebut untuk mengenkripsi data Anda saat disimpan dalam keadaan istirahat. DecryptIzin diperlukan untuk mendekripsi data Anda saat membaca dari penyimpanan data. Dekripsi terjadi ketika Anda membaca data menggunakan aiops APIs atau ketika Anda memperbarui investigasi atau peristiwa investigasi. Operasi pembaruan mengambil data yang ada setelah mendekripsi, memperbarui data, dan menyimpan data yang diperbarui di penyimpanan data setelah mengenkripsi

  • Layanan CloudWatch alarm dapat membuat investigasi atau peristiwa investigasi. Ini membuat operasi memverifikasi bahwa penelepon memiliki akses ke AWS KMS kunci yang ditentukan untuk grup investigasi. Pernyataan kebijakan memberikan GenerateDataKey dan Decrypt izin ke layanan CloudWatch alarm untuk membuat investigasi atas nama Anda.

catatan

Kebijakan berikut mengasumsikan bahwa Anda mengikuti rekomendasi menggunakan tiga prinsip IAM, dan memberikan salah satu dari mereka kebijakan AIOpsConsoleAdminPolicyIAM, memberikan kebijakan lain, dan memberikan AIOpsOperatorAccesskebijakan ketiga. AIOpsReadOnlyAccess Prinsipal ini bisa berupa peran IAM (disarankan) atau pengguna IAM. Kemudian pengguna Anda yang bekerja dengan CloudWatch investigasi akan masuk dengan salah satu prinsip ini.

Untuk kebijakan berikut, Anda memerlukan tiga ARNs prinsip tersebut.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Setelah memperbarui kebijakan, tetapkan ke kunci dengan memasukkan perintah berikut.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Kaitkan kunci dengan kelompok investigasi

Saat Anda menggunakan CloudWatch konsol untuk membuat grup investigasi, Anda dapat memilih untuk mengaitkan AWS KMS kunci dengan grup investigasi. Untuk informasi selengkapnya, lihat Menyiapkan investigasi operasional.

Anda juga dapat mengaitkan kunci yang dikelola pelanggan dengan grup investigasi yang ada.

Mengubah konfigurasi enkripsi

Anda dapat memperbarui grup investigasi untuk mengubah antara menggunakan kunci yang dikelola pelanggan atau kunci yang dimiliki layanan. Anda juga dapat mengubah dari menggunakan satu kunci yang dikelola pelanggan menjadi menggunakan yang lain. Ketika Anda membuat perubahan seperti itu, perubahan tersebut berlaku untuk penyelidikan baru yang dibuat setelah perubahan. Investigasi sebelumnya masih terkait dengan konfigurasi enkripsi lama. Investigasi yang sedang berlangsung saat ini juga terus menggunakan kunci asli untuk data baru.

Selama kunci yang sebelumnya digunakan aktif dan Amazon Q memiliki akses ke sana untuk penyelidikan, Anda dapat mengambil investigasi lama yang dienkripsi dengan metode itu, serta data dalam penyelidikan saat ini yang dienkripsi dengan kunci sebelumnya. Jika Anda menghapus kunci yang sebelumnya digunakan atau mencabut akses ke sana, data investigasi yang dienkripsi dengan kunci tersebut tidak dapat diambil.

Inferensi Lintas Wilayah

CloudWatch Investigasi menggunakan inferensi lintas wilayah untuk mendistribusikan lalu lintas di berbagai Wilayah. AWS Meskipun data tetap disimpan hanya di Wilayah utama, saat menggunakan inferensi Lintas wilayah, data investigasi Anda mungkin berpindah ke luar Wilayah utama Anda. Semua data akan dikirimkan dienkripsi melalui jaringan aman Amazon. Untuk informasi lebih lanjut, lihat inferensi Lintas Wilayah dalam panduan pengguna CloudWatch investigasi.

Untuk detail tentang di mana distribusi inferensi lintas wilayah terjadi untuk setiap Wilayah, lihat tabel berikut.

Geografi CloudWatch investigasi yang didukung Wilayah Investigasi Kemungkinan inferensi Wilayah
Amerika Serikat (US) AS Timur (Virginia Utara) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
AS Timur (Ohio) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
AS Barat (Oregon) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Eropa (UE) Eropa (Frankfurt) AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Eropa (Irlandia) AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Eropa (Spanyol) AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Eropa (Stockholm) AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Asia-Pasifik (AP) Asia Pasifik (Hong Kong) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Mumbai) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Singapura) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Sydney) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Tokyo) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Malaysia) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Thailand) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)