Mudar para uma chave gerenciada pelo cliente do AWS KMS para fornecer criptografia para recursos do S3 - AWS Systems Manager
Tarefa 1: adicionar uma tag a uma CMK existenteTarefa 2: modificar uma política de chave de CMK existenteTarefa 3: especificar a CMK nas configurações do Systems Manager

AWS Systems Manager Change Manager não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte mudança de disponibilidade do AWS Systems Manager Change Manager.

Mudar para uma chave gerenciada pelo cliente do AWS KMS para fornecer criptografia para recursos do S3

Durante o processo de integração do console unificado do Systems Manager, a Quick Setup cria um bucket do Amazon Simple Storage Service (Amazon S3) na conta do administrador delegado. Esse bucket é usado para armazenar os dados de saída de diagnóstico gerados durante as execuções do runbook de correção. Por padrão, o bucket usa criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Você pode revisar o conteúdo dessas políticas em Políticas de bucket do S3 para o console unificado do Systems Manager.

No entanto, você pode usar a criptografia no lado do servidor com o AWS KMS keys (SSE-KMS) usando uma chave gerenciada pelo cliente (CMK) como alternativa a uma AWS KMS key.

Conclua as tarefas a seguir para configurar o Systems Manager para usar sua CMK.

Tarefa 1: adicionar uma tag a uma CMK existente

O AWS Systems Manager usará sua CMK somente se ela estiver marcada com o seguinte par de chave-valor:

  • Chave: SystemsManagerManaged

  • Valor: true

Use o procedimento a seguir para fornecer acesso para criptografar o bucket do S3 com sua CMK.

Para adicionar uma tag à sua CMK existente

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Na navegação esquerda, escolha Chaves gerenciadas pelo cliente.

  3. Selecione o AWS KMS key para usar com o AWS Systems Manager.

  4. Selecione a guia Etiquetas e escolha Editar.

  5. Escolha Adicionar Tag.

  6. Faça o seguinte:

    1. Em Tag Key (Chave de tags), digite SystemsManagerManaged.

    2. Em Valor da tag, insira true.

  7. Escolha Salvar.

Tarefa 2: modificar uma política de chave de CMK existente

Use o procedimento a seguir para atualizar a política de chave do KMS da sua CMK para permitir que os perfis do AWS Systems Manager criptografem o bucket do S3 em seu nome.

Para modificar uma política de chave de CMK existente

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Na navegação esquerda, escolha Chaves gerenciadas pelo cliente.

  3. Selecione o AWS KMS key para usar com o AWS Systems Manager.

  4. Na guia Política de chave, escolha Editar.

  5. Adicione a instrução JSON a seguir ao campo Statement e substitua os valores do espaço reservado por suas próprias informações.

    Certifique-se de adicionar todas as IDs de Conta da AWS integradas em sua organização ao AWS Systems Manager no campo Principal.

    Para localizar o nome correto do bucket no console do Amazon S3, na conta do administrador delegado, localize o bucket no formato do-not-delete-ssm-operational-account-id-home-region-disambiguator.

    {
     "Sid": "EncryptionForSystemsManagerS3Bucket",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
             "account-id-1",
             "account-id-2",
             ...
         ]
     },
     "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
         },
         "StringLike": {
             "kms:ViaService": "s3.*.amazonaws.com"
         },
         "ArnLike": {
             "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
         }
     }
 }
dica

Como alternativa, é possível atualizar a política de chave de CMK usando a chave de condição aws:PrincipalOrgID para conceder ao AWS Systems Manager acesso à sua CMK.

Tarefa 3: especificar a CMK nas configurações do Systems Manager

Após concluir as duas tarefas anteriores, use o procedimento a seguir para alterar a criptografia do bucket do S3. Essa alteração garante que o processo de configuração da Quick Setup associado possa adicionar permissões para que o Systems Manager aceite sua CMK.

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Configurações.

  3. Na guia Diagnosticar e corrigir, na seção Atualizar criptografia do bucket S3, escolha Editar.

  4. Marque a caixa de seleção Personalizar configurações de criptografia (avançadas).

  5. Na caixa de pesquisa ( The search icon ), escolha o ID de uma chave existente ou cole o ARN de uma chave existente.

  6. Escolha Salvar.