本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密 Canary 成品
<a name="CloudWatch_Synthetics_artifact_encryption"></a>

CloudWatch Synthetics 會將 Canary 成品 (例如螢幕擷取畫面、HAR 檔案和報告) 存放在 Simple Storage Service (Amazon S3) 儲存貯體中。根據預設，這些成品會使用 AWS 受管金鑰進行靜態加密。如需詳細資訊，請參閱[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt.html) 。

您可以選擇使用其他加密選項。CloudWatch Synthetics 支援下列各項：
+ **SSE-S3** – 使用 Simple Storage Service (Amazon S3) 受管金鑰的伺服器端加密。
+ **SSE-KMS** – 使用 AWS KMS 客戶受管金鑰的伺服器端加密 (SSE)。

如果您想要搭配 AWS 受管金鑰使用預設加密選項，則不需要任何其他許可。

若要使用 SSE-S3 加密，建立或更新 Canary 時，您可以指定 **SSE\$1S3** 作為加密模式。您不需要任何其他許可，即可使用此加密模式。如需詳細資訊，請參閱[使用伺服器端加密與 Simple Storage Service (Amazon S3) 受管加密金鑰 (SSE-S3) 保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

若要使用 AWS KMS 客戶受管金鑰，請在建立或更新 Canary 時指定 **SSE-KMS** 做為加密模式，並提供金鑰的 Amazon Resource Name (ARN)。您也可以使用跨帳戶 KMS 金鑰。

若要使用客戶受管金鑰，您需要以下設定：
+ 您的 Canary IAM 角色必須有許可才能使用您的金鑰加密成品。如果正在使用視覺監控，則您也必須為其授予許可以解密成品。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "AllowKMSKeyUsage",
              "Effect": "Allow",
              "Action": [
                  "kms:GenerateDataKey",
                  "kms:Decrypt"
              ],
              "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
          }
      ]
  }
  ```

------
+ 您可以將 IAM 角色新增至金鑰政策，而不是將許可新增至 IAM 角色。如果對多個 Canary 使用相同的角色，則您應該考慮這種方法。

  ```
  {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
          "AWS": "Your synthetics IAM role ARN"
      },
      "Action": [
          "kms:GenerateDataKey",
          "kms:Decrypt"
      ],
      "Resource": "*"
  }
  ```
+ 如果您使用的是跨帳戶 KMS 金鑰，請參閱[允許其他帳戶中的使用者使用 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。

 **使用客戶受管金鑰時檢視加密的 Canary 成品** 

若要檢視 Canary 成品，請更新您的客戶受管金鑰，將 AWS KMS 解密許可提供給檢視成品的使用者。或者，將解密許可新增至正在檢視成品的使用者或 IAM 角色。

預設 AWS KMS 政策可讓帳戶中的 IAM 政策允許存取 KMS 金鑰。如果您使用的是跨帳戶 KMS 金鑰，請參閱[為什麼跨帳戶使用者在嘗試存取由自訂 AWS KMS 金鑰加密的 Amazon S3 物件時收到存取遭拒錯誤？](https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-denied-error-s3/)。

如需因 KMS 金鑰而存取遭拒之問題的疑難排解詳細資訊，請參閱[對金鑰存取進行疑難排解](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)。

## 使用視覺監控時更新成品位置和加密
<a name="CloudWatch_Synthetics_artifact_encryption_visual"></a>

為了執行視覺監控，CloudWatch Synthetics 會將您的螢幕擷取畫面與在選取作為基準之執行中取得的基準螢幕擷取畫面進行比較。如果更新成品位置或加密選項，則您必須執行以下其中一項：
+ 確保您的 IAM 角色對成品的先前 Simple Storage Service (Amazon S3) 位置和新 Simple Storage Service (Amazon S3) 位置具有足夠的許可。同時請確保其具有先前和新加密方法以及 KMS 金鑰的許可。
+ 透過選取下一個 Canary 執行作為新基準來建立新基準。如果使用此選項，則您只需確保您的 IAM 角色具有足夠的許可，可供新的成品位置和加密選項使用。

建議您選取下一次執行作為新基準的第二個選項。這避免了依賴於您不再為 Canary 使用的成品位置或加密選項。

例如，假設您的 Canary 使用成品位置 A 和 KMS 金鑰 K 來上傳成品。如果將 Canary 更新為成品位置 B 和 KMS 金鑰 L，則您可以確保 IAM 角色擁有兩個成品位置 (A 和 B) 和兩個 KMS 金鑰 (K 和 L) 的許可。或者，您可以選取下一次執行作為新基準，並確保您的 Canary IAM 角色擁有成品位置 B 和 KMS 金鑰 L 的許可。