AWS KMS Amazon IAM Volume EBS Terenkripsi EC2

Keamanan

Saat Anda membangun sistem pada infrastruktur AWS, tanggung jawab keamanan dibagi antara Anda dan AWS. Model tanggung jawab bersama ini mengurangi beban operasional Anda karena AWS mengoperasikan, mengelola, dan mengontrol komponen termasuk sistem operasi host, lapisan virtualisasi, dan keamanan fisik fasilitas tempat layanan beroperasi. Untuk informasi selengkapnya tentang keamanan AWS, kunjungi AWS Cloud Security.

AWS KMS

Solusi ini membuat kunci terkelola Pelanggan AWS yang dikelola, yang digunakan untuk mengonfigurasi enkripsi sisi server untuk topik SNS dan tabel DynamoDB.

Amazon IAM

Fungsi Lambda solusi memerlukan izin untuk mengakses sumber daya akun hub dan akses ke parameter get/put Systems Manager, akses ke grup CloudWatch log, kunci AWS KMS, RDS, Resulces Autoscaling encryption/decryption, and publish messages to SNS. In addition, Instance Scheduler on AWS will also create Scheduling Roles in all managed accounts that will provide access to start/stop EC2, instans DB, memodifikasi atribut instans, dan memperbarui tag untuk sumber daya tersebut. Semua izin yang diperlukan disediakan oleh solusi untuk peran layanan Lambda yang dibuat sebagai bagian dari template solusi.

Saat penerapan Penjadwal Instance di AWS akan menerapkan peran IAM tercakup ke bawah untuk setiap fungsi Lambda beserta Peran Penjadwal yang hanya dapat diasumsikan dengan penjadwalan Lambda tertentu dalam templat hub yang diterapkan. Peran jadwal ini akan memiliki nama mengikuti pola{namespace}-Scheduler-Role, dan{namespace}-ASG-Scheduling-Role.

Untuk informasi rinci tentang izin yang diberikan untuk setiap peran layanan, lihat CloudFormation templat.

Volume EBS Terenkripsi EC2

Saat menjadwalkan EC2 instans yang dilampirkan ke volume EBS yang dienkripsi oleh AWS KMS, Anda harus memberikan izin kepada Penjadwal Instans di AWS untuk menggunakan kunci AWS KMS terkait. Hal ini memungkinkan Amazon EC2 untuk mendekripsi volume EBS terlampir selama fungsi dimulai. Izin ini harus diberikan kepada peran penjadwalan di akun yang sama dengan EC2 instance yang menggunakan kunci.

Untuk memberikan izin menggunakan kunci AWS KMS dengan Penjadwal Instance di AWS, tambahkan ARN kunci AWS KMS ke Penjadwal Instans di AWS stack (hub atau spoke) di akun yang sama dengan instans menggunakan kunci: EC2

Arns Kunci KMS untuk EC2

Ini akan secara otomatis menghasilkan kebijakan berikut dan menambahkannya ke peran penjadwalan untuk akun itu:


 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Condition": {
            "StringLike": {
               "kms:ViaService": "ec2.*.amazonaws.com"
         },
        "Null": {
              "kms:EncryptionContextKeys": "false",
              "kms:GrantOperations": "false"
         },
        "ForAllValues:StringEquals": {
            "kms:EncryptionContextKeys": [
                 "aws:ebs:id"
              ],
              "kms:GrantOperations": [
                 "Decrypt"
              ]
        },
        "Bool": {
                 "kms:GrantIsForAWSResource": "true"
              }
        },
        "Action": "kms:CreateGrant",
        "Resource": [
             "Your-KMS-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Layanan AWS yang digunakan dalam solusi ini

Memulai