Protegendo as credenciais do local de armazenamento - AWS DataSync
Usando um segredo gerenciado pelo serviço criptografado com uma chave padrãoUsando um segredo gerenciado pelo serviço criptografado com uma chave personalizada AWS KMSUsando um segredo que você gerencia

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Protegendo as credenciais do local de armazenamento

DataSync usa locais para acessar seus recursos de armazenamento localizados no local, em outras nuvens ou em AWS. Alguns tipos de localização exigem que você forneça credenciais, como chave de acesso e chave secreta ou nome de usuário e senha, para se autenticar no sistema de armazenamento. Ao criar um DataSync local que exige credenciais para autenticação, você pode escolher uma das seguintes opções para controlar como o segredo de suas credenciais é armazenado:

  • Armazene o segredo AWS Secrets Manager usando um segredo gerenciado pelo serviço criptografado com uma chave padrão.

  • Armazene o segredo AWS Secrets Manager usando um segredo gerenciado pelo serviço criptografado com uma AWS KMS chave que você gerencia.

  • Armazene o segredo AWS Secrets Manager usando um segredo e uma chave que você cria e gerencia. DataSync acessa esse segredo usando uma função do IAM fornecida por você.

Em todos os casos, o segredo do Secrets Manager é armazenado em sua conta, permitindo que você atualize o segredo conforme necessário, independentemente do DataSync serviço. Você é cobrado apenas pelo uso de segredos que você cria fora do DataSync. Segredos criados e gerenciados por DataSync têm o prefixoaws-datasync.

Usando um segredo gerenciado pelo serviço criptografado com uma chave padrão

Ao criar sua DataSync localização, basta fornecer a string secreta. DataSynccria um recurso secreto AWS Secrets Manager para armazenar o segredo que você fornece e criptografa o segredo com a chave KMS padrão do Secrets Manager para sua conta. Você pode alterar o valor secreto diretamente no Secrets Manager ou atualizando o local usando o DataSync console ou o SDK. AWS CLI Quando você exclui o recurso de localização ou o atualiza para usar um segredo personalizado, DataSync exclui o recurso secreto automaticamente.

nota

Para criar, modificar e excluir recursos secretos no Secrets Manager, é DataSync necessário ter as permissões apropriadas. Para obter mais informações, consulte Políticas gerenciadas pela AWS para DataSync.

Usando um segredo gerenciado pelo serviço criptografado com uma chave personalizada AWS KMS

Ao criar sua DataSync localização, você fornece o segredo e o ARN da sua AWS KMS chave. DataSync cria automaticamente um recurso secreto AWS Secrets Manager para armazenar o segredo que você fornece e o criptografa usando sua AWS KMS chave. Você pode alterar o valor secreto diretamente no Secrets Manager ou atualizando o local usando o DataSync console ou o SDK. AWS CLI Quando você exclui o recurso de localização ou o atualiza para usar um segredo personalizado, DataSync exclui o recurso secreto automaticamente.

nota

Sua AWS KMS chave deve usar criptografia simétrica com o tipo de ENCRYPT_DECRYPT chave. Para obter mais informações, consulte Como escolher uma AWS Key Management Service chave no Guia AWS Secrets Manager do usuário.

Para criar, modificar e excluir recursos secretos no Secrets Manager, é DataSync necessário ter as permissões apropriadas. Para obter mais informações, consulte Políticas gerenciadas pela AWS : AWSDataSyncFullAccess.

Além de usar a política DataSync gerenciada correta, você também precisa das seguintes permissões:

{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}

your-kms-key-arnSubstitua pelo ARN da sua chave KMS.

Para recuperar e descriptografar o valor secreto, DataSync use uma função vinculada ao serviço (SLR) para acessar sua chave. AWS KMS Para garantir que DataSync você possa usar sua chave KMS, adicione o seguinte à declaração de política da chave:

{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::accountid:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

accountidSubstitua pelo seu Conta da AWS ID.

Usando um segredo que você gerencia

Antes de criar sua DataSync localização, crie uma entrada secreta AWS Secrets Manager. O valor do segredo deve conter somente a própria string secreta em texto simples. Ao criar sua DataSync localização, você fornece o ARN do seu segredo e uma função do IAM que DataSync usa para acessar seu segredo e a AWS KMS chave usada para criptografá-lo. Para criar uma função do IAM com as permissões apropriadas, faça o seguinte:

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, em Gerenciamento de acesso, escolha Perfis e, em seguida, escolha Criar perfil.

  3. Na página Selecionar entidade confiável, em Tipo de entidade confiável, escolha AWS serviço.

  4. Para Caso de uso, escolha na DataSynclista suspensa. Escolha Próximo.

  5. Na página Adicionar permissões, escolha Próximo. Insira um nome para sua função e escolha Criar função.

  6. Na página Perfis, procure o perfil que você acabou de criar e escolha seu nome.

  7. Na página Detalhes da função, escolha a guia Permissões. Escolha Adicionar permissões e, em seguida, Criar política em linha.

  8. Escolha a guia JSON e adicione as seguintes permissões ao editor de políticas:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "your-secret-arn"
        }
    ]
}

    your-secret-arnSubstitua pelo ARN do seu segredo do Secrets Manager.

  9. Escolha Próximo. Insira um nome para sua política e escolha Criar política.

  10. (Recomendado) Para evitar o problema “confused deputy” entre serviços, faça o seguinte:

    1. Na página Detalhes da função, escolha a guia Relações de confiança. Escolha Editar política de confiança.

    2. Atualize a política de confiança usando o exemplo a seguir, que inclui as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:region:account-id:*"
                }
            }
        }
    ]
}

    3. Escolha Atualizar política.

Você pode especificar essa função ao criar sua localização. Se seu segredo usa uma AWS KMS chave gerenciada pelo cliente para criptografia, você também precisará atualizar a política da chave para permitir o acesso da função que você criou no procedimento anterior. Para atualizar a política, adicione o seguinte à declaração de política da sua AWS KMS chave:

{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam accountid:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

accountidSubstitua pelo seu Conta da AWS ID e your-role-name pelo nome da função do IAM que você criou no procedimento anterior.

nota

Quando você armazena segredos no Secrets Manager, você Conta da AWS incorre em cobranças. Para obter mais informações sobre definição de preços, consulte Definição de preço do AWS Secrets Manager.