Crittografia di artefatti canary - Amazon CloudWatch
Aggiornamento della posizione e della crittografia degli artifact quando si utilizza il monitoraggio visivo

Crittografia di artefatti canary

CloudWatch Synthetics memorizza artefatti canary ad esempio screenshot, file HAR e report nel bucket Amazon S3. Per impostazione predefinita, questi artefatti sono crittografati a riposo utilizzando una chiave gestita da AWS. Per ulteriori informazioni, consulta Chiavi del cliente e chiavi AWS.

È possibile scegliere di utilizzare un'opzione di crittografia diversa. CloudWatch Synthetics supporta quanto segue:

  • SSE-S3– Crittografia lato server (SSE) con una chiave gestita da Amazon S3.

  • SSE-KMS– Crittografia lato server (SSE) con una chiave AWS KMS gestita dal cliente.

Se si desidera utilizzare l'opzione di crittografia predefinita con una chiave gestita da AWS, non hai bisogno di autorizzazioni supplementari.

Per utilizzare la crittografia SSE-S3, devi specificare SSE_S3come modalità di crittografia quando si crea o si aggiorna il canary. Per utilizzare questa modalità di crittografia non sono necessarie autorizzazioni supplementari. Per ulteriori informazioni, consulta Protezione dei dati mediante la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).

Per usare un chiave AWS KMS gestita dal cliente, specificare SSE-KMScome modalità di crittografia quando crei o aggiorni il canary e fornire anche l'Amazon Resource Name (ARN) della chiave. È inoltre possibile utilizzare una chiave KMS a più account.

Per utilizzare una chiave gestita dal cliente, sono necessarie le seguenti impostazioni:

  • Il ruolo IAM per il canary deve avere l'autorizzazione di crittografare gli artefatti utilizzando la chiave. Se utilizzi il monitoraggio visivo, è inoltre necessario concedergli l'autorizzazione a decrittare gli artefatti.

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowKMSKeyUsage",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

  • Invece di aggiungere autorizzazioni al ruolo IAM, è possibile aggiungere il proprio ruolo IAM alla policy chiave. Se si usa lo stesso ruolo per più canary, si dovrebbe considerare questo approccio.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • Se utilizzi una chiave KMS tra account, consulta Permettere agli utenti in altri account di utilizzare una chiave KMS.

Visualizzazione di artefatti canary crittografati quando si utilizza una chiave gestita dal cliente

Per visualizzare gli artefatti canary, aggiornare la chiave gestita dal cliente per fornire a AWS KMS l'autorizzazione a decrittare per l'utente che visualizza gli artefatti. In alternativa, aggiungi le autorizzazioni di decrittografia all'utente o al ruolo IAM che sta visualizzando gli artefatti.

La policy AWS KMS di default consente alle policy IAM nell'account di autorizzare l'accesso alle chiavi KMS. Se utilizzi una chiave KMS multiaccount, vedi Perché gli utenti cross-account ricevono errori di Accesso negato quando tentano di accedere a oggetti Amazon S3 crittografati da una chiave AWS KMS personalizzata?.

Per ulteriori informazioni sulla risoluzione dei problemi di accesso negato a causa di una chiave KMS, consulta Risoluzione dei problemi di accesso alla chiave.

Aggiornamento della posizione e della crittografia degli artifact quando si utilizza il monitoraggio visivo

Per eseguire il monitoraggio visivo, CloudWatch Synthetics confrontare gli screenshot con gli screenshot di base acquisiti nell'esecuzione selezionata come baseline. Se si aggiorna la posizione dell'artifact o l'opzione di crittografia, è necessario procedere in uno dei seguenti modi:

  • Assicurarti che il ruolo IAM disponga di autorizzazioni sufficienti sia per la posizione precedente di Amazon S3 che per la nuova posizione Amazon S3 per gli artefatti. Assicurarti inoltre che disponga dell'autorizzazione per i metodi di crittografia precedenti e nuovi e le chiavi KMS.

  • Creare una nuova linea di base selezionando la prossima canary run come nuova baseline. Se si utilizza questa opzione, è solo necessario assicurarti che il ruolo IAM disponga di autorizzazioni sufficienti per la nuova posizione degli artifact e l'opzione di crittografia.

Consigliamo la seconda opzione per selezionare l'esecuzione successiva come nuova baseline. Ciò evita di avere una dipendenza da una posizione di artefatto o da un'opzione di crittografia che non stai più usando per il canary.

Ad esempio, supponiamo che il canary utilizzi la posizione dell'artefatto A e la chiave KMS K per caricare gli artefatti. Se si aggiorna il canary alla posizione dell'artifact B e alla chiave KMS L, ci si può assicurare che il ruolo IAM disponga delle autorizzazioni per entrambe le posizioni degli artifact (A e B) e entrambe le chiavi KMS (K e L). In alternativa, è possibile selezionare l'esecuzione successiva come nuova baseline e assicurarti che il ruolo IAM canary disponga delle autorizzazioni per la posizione dell'artifact B e la chiave KMS L.