Passaggio a una chiave gestita dal cliente AWS KMS per crittografare le risorse S3 - AWS Systems Manager
Attività 1: aggiungere un tag a una CMK esistenteAttività 2: modificare una policy della chiave CMK esistenteAttività 3: specificare la CMK nelle impostazioni di Systems Manager

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio a una chiave gestita dal cliente AWS KMS per crittografare le risorse S3

Durante il processo di onboarding per la nuova esperienza Systems Manager, Quick Setup crea un bucket Amazon Simple Storage Service (Amazon S3) nell'account amministratore delegato. Questo bucket viene utilizzato per archiviare i dati di output della diagnosi generati durante le esecuzioni dei runbook di correzione. Per impostazione predefinita, il bucket utilizza la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).

È possibile esaminare il contenuto di queste policy su Policy dei bucket S3 per la console unificata Systems Manager.

Tuttavia, è possibile utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS), utilizzando una chiave gestita dal cliente (CMK) in alternativa a una AWS KMS key.

Completare le seguenti attività per configurare Systems Manager per l'utilizzo della CMK.

Attività 1: aggiungere un tag a una CMK esistente

AWS Systems Manager utilizza la CMK solo se è etichettata con la seguente coppia chiave-valore:

  • Chiave: SystemsManagerManaged

  • Valore: true

Utilizza la seguente procedura per fornire l'accesso per la crittografia del bucket S3 con la CMK.

Aggiungere un tag alla CMK esistente

  1. Aprire la console AWS KMS all'indirizzo https://console.aws.amazon.com/kms.

  2. Nella sezione di navigazione a sinistra, scegli Customer managed keys (Chiavi gestite dal cliente).

  3. Seleziona la AWS KMS key da utilizzare con AWS Systems Manager.

  4. Seleziona la scheda Tag, quindi scegli Modifica.

  5. Seleziona Aggiungi tag.

  6. Esegui questa operazione:

    1. In Chiave di tag, specifica SystemsManagerManaged.

    2. In Valore del tag, inserisci true.

  7. Scegli Save (Salva).

Attività 2: modificare una policy della chiave CMK esistente

Utilizza la seguente procedura per aggiornare la policy della chiave KMS della CMK per consentire ai ruoli AWS Systems Manager di crittografare il bucket S3 per conto dell'utente.

Per modificare una policy della chiave CMK esistente

  1. Aprire la console AWS KMS all'indirizzo https://console.aws.amazon.com/kms.

  2. Nella sezione di navigazione a sinistra, scegli Customer managed keys (Chiavi gestite dal cliente).

  3. Seleziona la AWS KMS key da utilizzare con AWS Systems Manager.

  4. Nella scheda Policy della chiave, seleziona Modifica.

  5. Aggiungi la seguente istruzione JSON al campo Statement e sostituisci i valori placeholder con le tue informazioni.

    Assicurati di aggiungere sul campo Principal tutti gli ID dell'Account AWS registrati nell'organizzazione su AWS Systems Manager.

    Per individuare il nome corretto del bucket nella console Amazon S3, nell'account amministratore delegato, individua il bucket nel formato do-not-delete-ssm-operational-account-id-home-region-disambiguator.

    {
     "Sid": "EncryptionForSystemsManagerS3Bucket",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
             "account-id-1",
             "account-id-2",
             ...
         ]
     },
     "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
         },
         "StringLike": {
             "kms:ViaService": "s3.*.amazonaws.com"
         },
         "ArnLike": {
             "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
         }
     }
 }
Suggerimento

In alternativa, è possibile aggiornare la policy della chiave CMK utilizzando la chiave di condizione aws:PrincipalOrgID per concedere a AWS Systems Manager l'accesso alla CMK.

Attività 3: specificare la CMK nelle impostazioni di Systems Manager

Dopo aver completato le due attività precedenti, utilizzare la procedura seguente per modificare la crittografia del bucket S3. Questa modifica garantisce che il processo di configurazione di Quick Setup associato aggiunga autorizzazioni affinché Systems Manager accetti la CMK.

  1. Apri la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Nella scheda Diagnostica e correggi, nella sezione Aggiorna la crittografia del bucket S3, scegli Modifica.

  4. Seleziona la casella di controllo Personalizza le impostazioni di crittografia (avanzate).

  5. Nella casella di ricerca ( The search icon ), scegli l'ID di una chiave esistente, oppure incolla l'ARN di una chiave esistente.

  6. Scegli Save (Salva).