AWS KMS Amazon IAM Volumi EC2 EBS crittografati

Sicurezza

Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo modello di responsabilità condivisa riduce il carico operativo perché AWS gestisce, gestisce e controlla i componenti, tra cui il sistema operativo host, il livello di virtualizzazione e la sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza di AWS, visita AWS Cloud Security.

AWS KMS

La soluzione crea una chiave gestita dal cliente da AWS, che viene utilizzata per configurare la crittografia lato server per l'argomento SNS e le tabelle DynamoDB.

Amazon IAM

Le funzioni Lambda della soluzione richiedono le autorizzazioni per accedere alle risorse dell'account dell'hub e accedere ai parametri di get/put Systems Manager, accesso ai gruppi di CloudWatch log, chiave AWS KMS encryption/decryption, and publish messages to SNS. In addition, Instance Scheduler on AWS will also create Scheduling Roles in all managed accounts that will provide access to start/stop EC2, RDS, risorse Autoscaling, istanze DB, modificare gli attributi delle istanze e aggiornare i tag per tali risorse. Tutte le autorizzazioni necessarie sono fornite dalla soluzione al ruolo di servizio Lambda creato come parte del modello di soluzione.

In fase di implementazione, Instance Scheduler su AWS distribuirà ruoli IAM specifici per ciascuna delle sue funzioni Lambda insieme a Scheduler Roles che possono essere assunti solo da Lambda di pianificazione specifici nel modello di hub distribuito. Questi ruoli di pianificazione avranno nomi che seguono lo schema e. {namespace}-Scheduler-Role {namespace}-ASG-Scheduling-Role

Per informazioni dettagliate sull'autorizzazione fornita a ciascun ruolo di servizio, consulta i CloudFormation modelli.

Volumi EC2 EBS crittografati

Quando pianifichi EC2 istanze collegate a volumi EBS crittografati da AWS KMS, devi concedere a Instance Scheduler on AWS l'autorizzazione a utilizzare le chiavi AWS KMS associate. Ciò consente EC2 ad Amazon di decrittografare i volumi EBS collegati durante la funzione avviata. Questa autorizzazione deve essere concessa al ruolo di pianificazione nello stesso account delle EC2 istanze che utilizzano la chiave.

Per concedere l'autorizzazione all'uso di una chiave AWS KMS con Instance Scheduler su AWS, aggiungi l'ARN della chiave AWS KMS allo stack di Instance Scheduler on AWS (hub o spoke) nello stesso account delle istanze che utilizzano EC2 le chiavi:

KMS Key Arns per EC2

Questo genererà automaticamente la seguente politica e la aggiungerà al ruolo di pianificazione per quell'account:


 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Condition": {
            "StringLike": {
               "kms:ViaService": "ec2.*.amazonaws.com"
         },
        "Null": {
              "kms:EncryptionContextKeys": "false",
              "kms:GrantOperations": "false"
         },
        "ForAllValues:StringEquals": {
            "kms:EncryptionContextKeys": [
                 "aws:ebs:id"
              ],
              "kms:GrantOperations": [
                 "Decrypt"
              ]
        },
        "Bool": {
                 "kms:GrantIsForAWSResource": "true"
              }
        },
        "Action": "kms:CreateGrant",
        "Resource": [
             "Your-KMS-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Servizi AWS utilizzati in questa soluzione

Nozioni di base