As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança
Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse modelo de responsabilidade compartilhada
AWS KMS
A solução cria uma chave gerenciada pelo cliente gerenciada pela AWS, que é usada para configurar a criptografia do lado do servidor para o tópico do SNS e as tabelas do DynamoDB.
Amazon IAM
As funções Lambda da solução exigem permissões para acessar os recursos da conta do hub e acessar os parâmetros do get/put Systems Manager, acessar grupos de CloudWatch log, encryption/decryption, and publish messages to SNS. In addition, Instance Scheduler will also create Scheduling Roles in all managed accounts that will provide access to start/stop chave EC2 do AWS KMS, RDS, recursos de escalonamento automático, instâncias de banco de dados, modificar atributos de instância e atualizar tags para esses recursos. Todas as permissões necessárias são fornecidas pela solução para o perfil de serviço do Lambda criado como parte do modelo de solução.
Na implantação, o Instance Scheduler implantará funções do IAM com escopo reduzido para cada uma de suas funções do Lambda, juntamente com funções do Scheduler que só podem ser assumidas por Lambdas de agendamento específicos no modelo de hub implantado. Esses perfis de agendamento terão nomes seguindo o padrão {namespace}-Scheduler-Role e {namespace}-ASG-Scheduling-Role.
Para obter informações detalhadas sobre a permissão fornecida para cada função de serviço, consulte os CloudFormation modelos.
Volumes do EC2 EBS criptografados
Ao programar instâncias do EC2 anexadas a volumes do EBS criptografados pelo AWS KMS, você deve conceder permissão ao Instance Scheduler para usar as chaves associadas do AWS KMS. Isso permite que o Amazon EC2 decifre os volumes do EBS em anexo durante a função iniciada. Essa permissão deve ser concedida ao perfil de agendamento na mesma conta da(s) instância(s) do EC2 que usam a chave.
Para conceder permissão para usar uma chave do AWS KMS com o Instance Scheduler, adicione o ARN da chave do AWS KMS à pilha do Instance Scheduler (hub ou spoke) na mesma conta da (s) instância (s) EC2 usando a (s) chave (s):
ARNs da chave do KMS para EC2
Isso gerará automaticamente a seguinte política e a adicionará ao perfil de agendamento dessa conta:
{ "Version": "2012-10-17", "Statement": [ { "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "kms:EncryptionContextKeys": "false", "kms:GrantOperations": "false" }, "ForAllValues:StringEquals": { "kms:EncryptionContextKeys": [ "aws:ebs:id" ], "kms:GrantOperations": [ "Decrypt" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } }, "Action": "kms:CreateGrant", "Resource": [ "Your-KMS-ARNs-Here" ], "Effect": "Allow" } ] }
EC2 License Manager
Ao programar instâncias do EC2 que são gerenciadas no AWS License Manager, você deve conceder permissão ao Instance Scheduler para usar as configurações de licença associadas. Isso permite que a solução inicie e interrompa adequadamente as instâncias, mantendo a conformidade com as licenças. Essa permissão deve ser concedida à função de agendamento na mesma conta da (s) instância (s) do EC2 usando o License Manager.
Para conceder permissão para usar o AWS License Manager com o Instance Scheduler, adicione os ARNs de configuração do License Manager à pilha do Instance Scheduler (hub ou spoke) na mesma conta das instâncias do EC2 usando o License Manager:
ARNs de configuração do License Manager para EC2
Isso gerará automaticamente a seguinte política e a adicionará ao perfil de agendamento dessa conta:
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:StartInstances", "Resource": [ "Your-License-Manager-ARNs-Here" ], "Effect": "Allow" } ] }
Para obter mais informações sobre as permissões do License Manager, consulte Gerenciamento de identidade e acesso para o AWS License Manager no Guia do usuário do AWS License Manager.
