Protezione delle credenziali della posizione di archiviazione - AWS DataSync
Utilizzo di un segreto gestito dal servizio crittografato con una chiave predefinitaUtilizzo di un segreto gestito dal servizio crittografato con una chiave personalizzata AWS KMSUsando un segreto che gestisci

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione delle credenziali della posizione di archiviazione

DataSync utilizza le posizioni per accedere alle risorse di archiviazione situate in sede, in altri cloud o in. AWS Alcuni tipi di ubicazione richiedono l'immissione di credenziali, come una chiave di accesso e una chiave segreta o un nome utente e una password, per l'autenticazione con il sistema di storage. Quando si crea una DataSync posizione che richiede credenziali per l'autenticazione, è possibile scegliere una delle seguenti opzioni per controllare la modalità di archiviazione del segreto delle credenziali:

  • Memorizza il segreto AWS Secrets Manager utilizzando un segreto gestito dal servizio crittografato con una chiave predefinita.

  • Memorizza il segreto AWS Secrets Manager utilizzando un segreto gestito dal servizio crittografato con una AWS KMS chiave gestita da te.

  • Memorizza il segreto AWS Secrets Manager utilizzando un segreto e una chiave creati e gestiti da te. DataSync accede a questo segreto utilizzando un ruolo IAM fornito da te.

In tutti i casi, il segreto di Secrets Manager viene memorizzato nel tuo account, consentendoti di aggiornarlo secondo necessità, indipendentemente dal DataSync servizio. Ti viene addebitato solo l'uso di segreti che crei al di fuori di DataSync. I segreti creati e gestiti da DataSync hanno il prefissoaws-datasync.

Utilizzo di un segreto gestito dal servizio crittografato con una chiave predefinita

Quando crei la tua DataSync posizione, devi semplicemente fornire la stringa segreta. DataSynccrea una risorsa segreta AWS Secrets Manager per archiviare il segreto fornito e lo crittografa con la chiave KMS Secrets Manager predefinita per il tuo account. Puoi modificare il valore segreto direttamente in Secrets Manager o aggiornando la posizione utilizzando la DataSync console o AWS CLI l'SDK. Quando elimini la risorsa di localizzazione o la aggiorni per utilizzare un segreto personalizzato, DataSync elimina automaticamente la risorsa segreta.

Nota

Per creare, modificare ed eliminare risorse segrete in Secrets Manager, è DataSync necessario disporre delle autorizzazioni appropriate. Per ulteriori informazioni, consulta Policy gestite da AWS per DataSync.

Utilizzo di un segreto gestito dal servizio crittografato con una chiave personalizzata AWS KMS

Quando crei la tua DataSync posizione, fornisci il segreto e l'ARN della tua AWS KMS chiave. DataSync crea automaticamente una risorsa segreta in AWS Secrets Manager cui archiviare il segreto fornito e lo cripta utilizzando la tua AWS KMS chiave. Puoi modificare il valore segreto direttamente in Secrets Manager o aggiornando la posizione utilizzando la DataSync console o AWS CLI l'SDK. Quando elimini la risorsa di localizzazione o la aggiorni per utilizzare un segreto personalizzato, DataSync elimina automaticamente la risorsa segreta.

Nota

La AWS KMS chiave deve utilizzare la crittografia simmetrica con il ENCRYPT_DECRYPT tipo di chiave. Per ulteriori informazioni, consulta Scelta di una AWS Key Management Service chiave nella Guida per l'AWS Secrets Manager utente.

Per creare, modificare ed eliminare risorse segrete in Secrets Manager, è DataSync necessario disporre delle autorizzazioni appropriate. Per ulteriori informazioni, consulta l'argomento relativo alle policy gestite da AWS : AWSDataSyncFullAccess.

Oltre a utilizzare la politica DataSync gestita corretta, sono necessarie anche le seguenti autorizzazioni:

{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}

your-kms-key-arnSostituiscilo con la tua chiave KMS ARN.

Per recuperare e decrittografare il valore segreto, DataSync utilizza un Service Linked Role (SLR) per accedere alla chiave. AWS KMS Per assicurarti di DataSync poter utilizzare la tua chiave KMS, aggiungi quanto segue alla dichiarazione sulla politica della chiave:

{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::accountid:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

accountidSostituiscila con il tuo Account AWS ID.

Usando un segreto che gestisci

Prima di creare la tua DataSync posizione, crea un indirizzo segreto. AWS Secrets Manager Il valore del segreto deve contenere solo la stringa segreta stessa in testo semplice. Quando crei la tua DataSync posizione, fornisci l'ARN del tuo segreto e un ruolo IAM che DataSync utilizza per accedere sia al tuo segreto che alla AWS KMS chiave utilizzata per crittografare il tuo segreto. Per creare un ruolo IAM con le autorizzazioni appropriate, procedi come segue:

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, in Gestione degli accessi, scegli Ruoli, quindi scegli Crea ruolo.

  3. Nella pagina Seleziona entità attendibile, per Tipo di entità affidabile, scegli AWS servizio.

  4. Per Caso d'uso, scegli DataSyncdall'elenco a discesa. Scegli Next (Successivo).

  5. Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo). Inserisci un nome per il tuo ruolo, quindi scegli Crea ruolo.

  6. Nella pagina Ruoli, cerca il ruolo che hai appena creato e scegline il nome.

  7. Nella pagina Dettagli del ruolo, scegli la scheda Autorizzazioni. Scegli Aggiungi autorizzazioni, quindi Crea politica in linea.

  8. Scegli la scheda JSON e aggiungi le seguenti autorizzazioni nell'editor delle politiche:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "your-secret-arn"
        }
    ]
}

    Sostituisci your-secret-arn con l'ARN del tuo segreto di Secrets Manager.

  9. Scegli Next (Successivo). Inserisci un nome per la tua politica, quindi scegli Crea politica.

  10. (Consigliato) Per evitare il problema del sostituto confuso tra diversi servizi, procedi come segue:

    1. Nella pagina Dettagli del ruolo, scegli la scheda Relazioni fiduciarie. Seleziona Modifica policy di attendibilità.

    2. Aggiorna la politica di fiducia utilizzando l'esempio seguente, che include le chiavi del contesto aws:SourceArn e della condizione aws:SourceAccount globale:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:region:account-id:*"
                }
            }
        }
    ]
}

    3. Scegli Aggiorna policy.

Puoi specificare questo ruolo durante la creazione della tua sede. Se il tuo segreto utilizza una AWS KMS chiave gestita dal cliente per la crittografia, dovrai anche aggiornare la politica della chiave per consentire l'accesso dal ruolo creato nella procedura precedente. Per aggiornare la politica, aggiungi quanto segue alla dichiarazione sulla politica della tua AWS KMS chiave:

{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam accountid:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

Sostituiscila accountid con il tuo Account AWS ID e your-role-name con il nome del ruolo IAM che hai creato nella procedura precedente.

Nota

Quando memorizzi segreti in Secrets Manager, ti vengono Account AWS addebitati dei costi. Per informazioni sui prezzi, consulta Prezzi di AWS Secrets Manager.