Autorizzazioni degli utenti Come controllare a quali dati CloudWatch hanno accesso le indagini durante le indagini Crittografia dei dati delle indagini Inferenza tra regioni

Sicurezza nelle CloudWatch indagini

Questa sezione include argomenti su come CloudWatch le indagini si integrano con le funzionalità AWS di sicurezza e autorizzazioni.

Argomenti

Autorizzazioni degli utenti
Come controllare a quali dati CloudWatch hanno accesso le indagini durante le indagini
Crittografia dei dati delle indagini
Inferenza tra regioni

Autorizzazioni degli utenti

AWS ha creato tre policy IAM gestite che puoi utilizzare per gli utenti che si occuperanno delle indagini. CloudWatch

AIOpsConsoleAdminPolicy— offre a un amministratore la possibilità di impostare CloudWatch indagini sull'account, accedere alle azioni di CloudWatch indagine, gestire la propagazione delle identità affidabili e gestire l'integrazione con IAM Identity Center e l'accesso organizzativo.
AIOpsOperatorAccess— concede a un utente l'accesso alle azioni di indagine, incluso l'avvio di un'indagine. Concede inoltre autorizzazioni aggiuntive necessarie per accedere agli eventi investigativi.
AIOpsReadOnlyAccess— concede autorizzazioni di sola lettura per CloudWatch indagini e altri servizi correlati.

Ti consigliamo di utilizzare tre principi IAM, garantendo a uno di essi la policy AIOpsConsoleAdminPolicyIAM, a un altro la policy e al terzo la AIOpsOperatorAccesspolicy. AIOpsReadOnlyAccess Questi principali potrebbero essere ruoli IAM (consigliati) o utenti IAM. Quindi i tuoi utenti che si occupano di CloudWatch indagini accederanno a uno di questi responsabili.

Come controllare a quali dati CloudWatch hanno accesso le indagini durante le indagini

Quando abiliti la funzionalità CloudWatch delle indagini, specifichi le autorizzazioni di cui dispongono le CloudWatch indagini per accedere alle tue risorse durante le indagini. Puoi farlo assegnando un ruolo IAM all'assistente.

Per consentire alle CloudWatch indagini di accedere alle risorse ed essere in grado di formulare suggerimenti e ipotesi, il metodo consigliato è quello di associarlo al ruolo dell'AIOpsAssistantPolicyassistente. Ciò concede all'assistente le autorizzazioni per analizzare le risorse dell'utente durante le AWS indagini. Per informazioni sul contenuto completo di questa politica, vedere. Politica IAM per CloudWatch le indagini () AIOps AssistantPolicy

Puoi anche scegliere di associare il generale AWS ReadOnlyAccessal ruolo di assistente, oltre a ricoprire il ruolo di assistente. AIOpsAssistantPolicy La ragione di ciò è che si AWS aggiorna ReadOnlyAccesspiù frequentemente con le autorizzazioni per AWS i nuovi servizi e le azioni che vengono rilasciate. AIOpsAssistantPolicyVerrà inoltre aggiornato per nuove azioni, ma non così frequentemente.

Se desideri definire i permessi concessi alle CloudWatch indagini, puoi allegare una policy IAM personalizzata al ruolo IAM dell'assistente anziché allegare la policy. AIOpsAssistantPolicy A tale scopo, avvia la policy personalizzata con il contenuto di AIOpsAssistantPolicye poi rimuovi le autorizzazioni che non desideri concedere alle indagini. CloudWatch Ciò impedirà all'assistente di dare suggerimenti in base ai AWS servizi o alle azioni a cui non concedi l'accesso.

Nota

Tutto ciò a cui CloudWatch le indagini possono accedere può essere aggiunto all'indagine e visto dai vostri operatori investigativi. Ti consigliamo di allineare le autorizzazioni per CloudWatch le indagini con le autorizzazioni di cui dispongono gli operatori del tuo gruppo investigativo.

Consentire alle CloudWatch indagini di decrittografare i dati crittografati durante le indagini

Se crittografi i dati in uno dei seguenti servizi con una chiave gestita dal cliente e desideri che CloudWatch le indagini siano in AWS KMS grado di decrittografare i dati di questi servizi e includerli nelle indagini, dovrai allegare una o più politiche IAM aggiuntive al ruolo IAM dell'assistente.

AWS Step Functions

L'informativa sulla politica dovrebbe includere una chiave di contesto per il contesto di crittografia per aiutare a definire le autorizzazioni. Ad esempio, la seguente politica consentirebbe CloudWatch alle indagini di decrittografare i dati per una macchina a stati Step Functions.


{
  "Version": "2012-10-17",
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Per ulteriori informazioni su questi tipi di policy e sull'utilizzo di queste chiavi di contesto, consulta kms: ViaService and kms:EncryptionContext: context-key nella AWS Key Management Service Developer Guide e aws: nella IAM User Guide. SourceArn

Crittografia dei dati delle indagini

Per la crittografia dei dati delle indagini, AWS offre due opzioni:

AWS chiavi di proprietà: per impostazione predefinita, CloudWatch investigations crittografa i dati di indagine inattivi con una chiave AWS proprietaria. Non è possibile visualizzare o gestire le chiavi AWS di proprietà e non è possibile utilizzarle per altri scopi o controllarne l'utilizzo. Tuttavia, non è necessario intraprendere alcuna azione o modificare alcuna impostazione per utilizzare questi tasti. Per ulteriori informazioni sulle chiavi AWS possedute, vedere chiavi AWS possedute.
Chiavi gestite dal cliente: si tratta di chiavi create e gestite dall'utente. Puoi scegliere di utilizzare una chiave gestita dal cliente anziché una chiave AWS proprietaria per i dati delle tue indagini. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente.

Nota

CloudWatch investigations abilita automaticamente la crittografia inattiva utilizzando gratuitamente chiavi di AWS proprietà. Se si utilizza una chiave gestita dal cliente, vengono applicati dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Key Management Service.

Per ulteriori informazioni su AWS KMS, vedere AWS Key Management Service.

Utilizzo di una chiave gestita dal cliente per il gruppo investigativo

Puoi associare un gruppo di indagine a una chiave gestita dal cliente, quindi tutte le indagini create in quel gruppo utilizzeranno la chiave gestita dal cliente per crittografare i dati delle indagini inattivi.

CloudWatch l'utilizzo delle chiavi gestite dal cliente per le indagini presenta le seguenti condizioni:

CloudWatch investigations supporta solo AWS KMS chiavi di crittografia simmetriche con le specifiche di chiave predefinite e il cui utilizzo SYMMETRIC_DEFAULT è definito come. ENCRYPT_DECRYPT
Affinché un utente possa creare o aggiornare un gruppo di indagine con una chiave gestita dal cliente, tale utente deve disporre delle autorizzazionikms:DescribeKey, kms:GenerateDataKey e. kms:Decrypt
Affinché un utente possa creare o aggiornare un'indagine in un gruppo di indagine che utilizza una chiave gestita dal cliente, deve disporre delle kms:Decrypt autorizzazioni kms:GenerateDataKey and.
Affinché un utente possa visualizzare i dati dell'indagine in un gruppo di indagine che utilizza una chiave gestita dal cliente, deve disporre dell'kms:Decryptautorizzazione.

Configurazione delle indagini per utilizzare una chiave gestita AWS KMS dal cliente

Innanzitutto, se non disponi già di una chiave simmetrica da utilizzare, crea una nuova chiave con il seguente comando.


aws kms create-key

L'output del comando include l'ID della chiave e l'Amazon Resource Name (ARN) della chiave. Ti serviranno nei passaggi successivi di questa sezione. Di seguito è riportato un esempio di questo risultato.


{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Imposta le autorizzazioni sulla chiave

Quindi, imposta le autorizzazioni sulla chiave. Per impostazione predefinita, tutte le AWS KMS chiavi sono private. Solo il proprietario della risorsa può utilizzarla per crittografare e decrittare i dati. Tuttavia, il proprietario della risorsa può concedere ad altri utenti e risorse le autorizzazioni per accedere alla chiave. Con questo passaggio, concedi al servizio AI Operations l'autorizzazione principale a utilizzare la chiave. L'entità del servizio deve trovarsi nella stessa AWS regione in cui è archiviata la chiave KMS.

Come procedura ottimale, ti consigliamo di limitare l'uso della chiave KMS solo agli AWS account o alle risorse specificati.

Il primo passaggio per impostare le autorizzazioni consiste nel salvare la politica predefinita per la chiave come. policy.json Usa il seguente comando per farlo. Sostituiscilo key-id con l'ID della tua chiave.


aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Apri il policy.json file in un editor di testo e aggiungi le seguenti sezioni di policy a quel criterio. Separa l'istruzione esistente dalle nuove sezioni con una virgola. Queste nuove sezioni utilizzano Condition sezioni per migliorare la sicurezza della AWS KMS chiave. Per ulteriori informazioni, vedere AWS KMS chiavi e contesto di crittografia.

Questa politica fornisce le autorizzazioni per i responsabili del servizio per i seguenti motivi:

Il aiops servizio necessita GenerateDataKey delle autorizzazioni per ottenere la chiave dati e utilizzarla per crittografare i dati mentre sono archiviati in un file inattivo. L'Decryptautorizzazione è necessaria per decrittografare i dati durante la lettura dall'archivio dati. La decrittografia avviene quando si leggono i dati utilizzando aiops APIs o quando si aggiorna l'indagine o l'evento di indagine. L'operazione di aggiornamento recupera i dati esistenti dopo averli decrittografati, aggiorna i dati e archivia i dati aggiornati nell'archivio dati dopo la crittografia
Il servizio CloudWatch allarmi può creare indagini o eventi investigativi. Queste operazioni di creazione verificano che il chiamante abbia accesso alla AWS KMS chiave definita per il gruppo di indagine. La dichiarazione politica fornisce le autorizzazioni GenerateDataKey e Decrypt le autorizzazioni al servizio di CloudWatch allarmi per creare indagini per conto dell'utente.

Nota

La seguente politica presuppone che tu segua la raccomandazione di utilizzare tre principi IAM e di concedere a uno di essi la policy AIOpsConsoleAdminPolicyIAM, a un altro la policy e al terzo la AIOpsOperatorAccesspolicy. AIOpsReadOnlyAccess Questi principali potrebbero essere ruoli IAM (consigliati) o utenti IAM. Quindi i tuoi utenti che si occupano di CloudWatch indagini accederanno a uno di questi responsabili.

Per la seguente politica, avrai bisogno ARNs di uno di questi tre principi.


{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Dopo aver aggiornato la politica, assegnala alla chiave inserendo il seguente comando.


aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Associa la chiave al gruppo di indagine

Quando utilizzi la CloudWatch console per creare un gruppo investigativo, puoi scegliere di associare la AWS KMS chiave al gruppo investigativo. Per ulteriori informazioni, consulta Imposta le indagini operative.

Puoi anche associare una chiave gestita dal cliente a un gruppo di indagine esistente.

Modifica della configurazione di crittografia

Puoi aggiornare un gruppo di indagine per passare dall'utilizzo di una chiave gestita dal cliente a una chiave di proprietà del servizio. Puoi anche passare dall'utilizzo di una chiave gestita dal cliente all'utilizzo di un'altra. Quando apporti una modifica di questo tipo, la modifica si applica alle nuove indagini create dopo la modifica. Le indagini precedenti sono ancora associate alla vecchia configurazione di crittografia. Le indagini attualmente in corso continuano inoltre a utilizzare la chiave originale per nuovi dati.

Se una chiave utilizzata in precedenza è attiva e Amazon Q può accedervi per le indagini, puoi recuperare le indagini precedenti crittografate con quel metodo, nonché i dati delle indagini in corso che erano crittografati con la chiave precedente. Se elimini una chiave utilizzata in precedenza o ne revochi l'accesso, i dati dell'indagine crittografati con quella chiave non possono essere recuperati.

Inferenza tra regioni

CloudWatch le indagini utilizzano l'inferenza interregionale per distribuire il traffico tra diverse regioni. AWS Sebbene i dati rimangano archiviati solo nella regione principale, quando si utilizza l'inferenza interregionale, i dati delle indagini potrebbero spostarsi al di fuori della regione principale. Tutti i dati verranno trasmessi crittografati attraverso la rete sicura di Amazon. Per ulteriori informazioni, consulta l'inferenza interregionale nella guida per l'utente CloudWatch delle indagini.

Per i dettagli su dove avviene la distribuzione dell'inferenza tra regioni per ciascuna regione, vedere la tabella seguente.

Geografia delle indagini supportate CloudWatch	Regione investigativa	Regioni di inferenza possibili
Stati Uniti d'America (US)	Stati Uniti orientali (Virginia settentrionale)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	Stati Uniti orientali (Ohio)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	US West (Oregon)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Europa (UE)	Europa (Francoforte)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Europa (Francoforte), Europa (Irlanda), Europa (Parigi), Europa (Stoccolma)
	Europa (Irlanda)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Europa (Francoforte), Europa (Irlanda), Europa (Parigi), Europa (Stoccolma)
	Europa (Spagna)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Europa (Francoforte), Europa (Irlanda), Europa (Parigi), Europa (Stoccolma)
	Europa (Stoccolma)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Europa (Francoforte), Europa (Irlanda), Europa (Parigi), Europa (Stoccolma)
Asia-Pacifico (AP)	Asia Pacifico (Hong Kong)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	Asia Pacifico (Mumbai)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	Asia Pacifico (Singapore)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	Asia Pacifico (Sydney)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	Asia Pacifico (Tokyo)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	Asia Pacifico (Malesia)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
	Asia Pacifico (Tailandia)	Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Indagini su più account

Risoluzione dei problemi