Mengamankan kredenal lokasi penyimpanan - AWS DataSync
Menggunakan rahasia yang dikelola layanan yang dienkripsi dengan kunci defaultMenggunakan rahasia yang dikelola layanan yang dienkripsi dengan kunci khusus AWS KMSMenggunakan rahasia yang Anda kelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengamankan kredenal lokasi penyimpanan

DataSync menggunakan lokasi untuk mengakses sumber daya penyimpanan Anda yang terletak di tempat, di awan lain, atau di dalam AWS. Beberapa jenis lokasi mengharuskan Anda untuk memberikan kredensyal, seperti kunci akses dan kunci rahasia atau nama pengguna dan kata sandi, untuk mengautentikasi dengan sistem penyimpanan Anda. Saat Anda membuat DataSync lokasi yang memerlukan kredensyal untuk otentikasi, Anda dapat memilih salah satu opsi berikut untuk mengontrol bagaimana rahasia kredensil Anda disimpan:

  • Simpan rahasia dalam AWS Secrets Manager menggunakan rahasia yang dikelola layanan yang dienkripsi dengan kunci default.

  • Simpan rahasia dalam AWS Secrets Manager menggunakan rahasia yang dikelola layanan yang dienkripsi dengan AWS KMS kunci yang Anda kelola.

  • Simpan rahasia dalam AWS Secrets Manager menggunakan rahasia dan kunci yang Anda buat dan kelola. DataSync mengakses rahasia ini menggunakan peran IAM yang Anda berikan.

Dalam semua kasus, rahasia Secrets Manager disimpan di akun Anda, memungkinkan Anda untuk memperbarui rahasia sesuai kebutuhan, terlepas dari DataSync layanan. Anda hanya dikenakan biaya untuk penggunaan rahasia yang Anda buat di luar DataSync. Rahasia dibuat dan dikelola oleh DataSync memiliki awalanaws-datasync.

Menggunakan rahasia yang dikelola layanan yang dienkripsi dengan kunci default

Ketika Anda membuat DataSync lokasi Anda, Anda cukup memberikan string rahasia. DataSyncmembuat sumber daya rahasia AWS Secrets Manager untuk menyimpan rahasia yang Anda berikan, dan mengenkripsi rahasia dengan kunci KMS Secrets Manager default untuk akun Anda. Anda dapat mengubah nilai rahasia secara langsung di Secrets Manager, atau dengan memperbarui lokasi menggunakan DataSync konsol, AWS CLI, atau SDK. Saat Anda menghapus sumber daya lokasi atau memperbaruinya untuk menggunakan rahasia khusus, DataSync menghapus sumber daya rahasia secara otomatis.

catatan

Untuk membuat, memodifikasi, dan menghapus sumber daya rahasia di Secrets Manager, DataSync harus memiliki izin yang sesuai. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola untuk DataSync.

Menggunakan rahasia yang dikelola layanan yang dienkripsi dengan kunci khusus AWS KMS

Saat Anda membuat DataSync lokasi, Anda memberikan rahasia dan ARN kunci Anda AWS KMS . DataSync secara otomatis membuat sumber daya rahasia AWS Secrets Manager untuk menyimpan rahasia yang Anda berikan, dan mengenkripsi menggunakan kunci Anda AWS KMS . Anda dapat mengubah nilai rahasia secara langsung di Secrets Manager, atau dengan memperbarui lokasi menggunakan DataSync konsol, AWS CLI, atau SDK. Saat Anda menghapus sumber daya lokasi atau memperbaruinya untuk menggunakan rahasia khusus, DataSync menghapus sumber daya rahasia secara otomatis.

catatan

AWS KMS Kunci Anda harus menggunakan enkripsi simetris dengan tipe ENCRYPT_DECRYPT kunci. Untuk informasi selengkapnya, lihat Memilih AWS Key Management Service kunci di Panduan AWS Secrets Manager Pengguna.

Untuk membuat, memodifikasi, dan menghapus sumber daya rahasia di Secrets Manager, DataSync harus memiliki izin yang sesuai. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola: AWSDataSyncFullAccess.

Selain menggunakan kebijakan DataSync terkelola yang benar, Anda juga memerlukan izin berikut:

{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}

Ganti your-kms-key-arn dengan ARN kunci KMS Anda.

Untuk mengambil dan mendekripsi nilai rahasia, DataSync gunakan Service Linked Role (SLR) untuk mengakses kunci Anda. AWS KMS Untuk memastikan DataSync dapat menggunakan kunci KMS Anda, tambahkan berikut ini ke pernyataan kebijakan kunci:

{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::accountid:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

Ganti accountid dengan Akun AWS ID Anda.

Menggunakan rahasia yang Anda kelola

Sebelum Anda membuat DataSync lokasi Anda, buat rahasia di AWS Secrets Manager. Nilai untuk rahasia hanya boleh berisi string rahasia itu sendiri dalam teks biasa. Saat Anda membuat DataSync lokasi, Anda memberikan ARN rahasia Anda dan peran IAM yang DataSync digunakan untuk mengakses rahasia Anda dan AWS KMS kunci yang digunakan untuk mengenkripsi rahasia Anda. Untuk membuat peran IAM dengan izin yang sesuai, lakukan hal berikut:

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi kiri, di bawah Manajemen akses, pilih Peran, lalu pilih Buat peran.

  3. Pada halaman Pilih entitas tepercaya, untuk jenis entitas tepercaya, pilih AWS layanan.

  4. Untuk kasus penggunaan, pilih DataSyncdari daftar drop-down. Pilih Berikutnya.

  5. Pada halaman Tambahkan izin, pilih Berikutnya. Masukkan nama untuk peran Anda, lalu pilih Buat peran.

  6. Pada halaman Peran, cari peran yang baru saja Anda buat dan pilih namanya.

  7. Pada halaman Detail untuk peran tersebut, pilih tab Izin. Pilih Tambahkan izin, lalu Buat kebijakan sebaris.

  8. Pilih tab JSON dan tambahkan izin berikut ke editor kebijakan:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "your-secret-arn"
        }
    ]
}

    Ganti your-secret-arn dengan ARN rahasia Secrets Manager Anda.

  9. Pilih Berikutnya. Masukkan nama untuk kebijakan Anda, lalu pilih Buat kebijakan.

  10. (Disarankan) Untuk mencegah masalah wakil lintas layanan yang membingungkan, lakukan hal berikut:

    1. Pada halaman Detail untuk peran tersebut, pilih tab Trust relationship. Pilih Edit kebijakan kepercayaan.

    2. Perbarui kebijakan kepercayaan dengan menggunakan contoh berikut, yang mencakup kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:region:account-id:*"
                }
            }
        }
    ]
}

    3. Pilih Perbarui kebijakan.

Anda dapat menentukan peran ini saat membuat lokasi Anda. Jika rahasia Anda menggunakan AWS KMS kunci yang dikelola pelanggan untuk enkripsi, maka Anda juga perlu memperbarui kebijakan kunci untuk mengizinkan akses dari peran yang Anda buat dalam prosedur sebelumnya. Untuk memperbarui kebijakan, tambahkan berikut ini ke pernyataan kebijakan AWS KMS kunci Anda:

{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam accountid:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

Ganti accountid dengan Akun AWS ID Anda, dan your-role-name dengan nama peran IAM yang Anda buat di prosedur sebelumnya.

catatan

Ketika Anda menyimpan rahasia di Secrets Manager, Anda Akun AWS dikenakan biaya. Untuk informasi tentang harga, lihat AWS Secrets Manager Harga.