本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全
<a name="security-1"></a>

當您在 AWS 基礎設施上建置系統時，安全責任將由您與 AWS 共同承擔。此[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可減少您的操作負擔，因為 AWS 會操作、管理和控制元件，包括主機作業系統、虛擬化層，以及服務操作所在設施的實體安全性。如需 AWS 安全性的詳細資訊，請造訪 [AWS Cloud Security](https://aws.amazon.com/security/)。

## AWS KMS
<a name="aws-kms"></a>

解決方案會建立 AWS 受管客戶受管金鑰，用於設定 SNS 主題和 DynamoDB 資料表的伺服器端加密。

## Amazon IAM
<a name="amazon-iam"></a>

解決方案的 Lambda 函數需要存取中樞帳戶資源和取得/輸出 Systems Manager 參數、存取 CloudWatch 日誌群組、AWS KMS 金鑰加密/解密，以及將訊息發佈至 SNS 的許可。此外，執行個體排程器也會在所有受管帳戶中建立排程角色，提供啟動/停止 EC2、RDS、Autoscaling 復原、資料庫執行個體、修改執行個體屬性，以及更新這些資源標籤的存取權。解決方案會將所有必要的許可提供給在解決方案範本中建立的 Lambda 服務角色。

部署時，Instance Scheduler 會為其每個 Lambda 函數以及排程器角色部署範圍縮小的 IAM 角色，這些角色只能由部署中樞範本中的特定排程 Lambdas 擔任。這些排程角色的名稱會遵循模式 `{namespace}-Scheduler-Role`、 和 `{namespace}-ASG-Scheduling-Role`。

如需提供給每個服務角色之許可的詳細資訊，請參閱 [CloudFormation 範本](aws-cloudformation-templates.md)。

## 加密的 EC2 EBS 磁碟區
<a name="encrypted-ec2-ebs-volumes"></a>

排程連接至 AWS KMS 加密之 EBS 磁碟區的 EC2 執行個體時，您必須授予執行個體排程器使用相關聯 AWS KMS 金鑰 （執行個體排程器） 的許可。這可讓 Amazon EC2 在啟動函數期間解密連接的 EBS 磁碟區。此許可必須使用 金鑰授予與 EC2 執行個體 (EC2) 相同帳戶中的排程角色。

若要授予將 AWS KMS 金鑰與執行個體排程器搭配使用的許可，請使用 key(s) 將 AWS KMS 金鑰的 ARN 新增至與 EC2 執行個體相同的帳戶中的執行個體排程器堆疊 （中樞或輪輻）：

 **EC2 的 KMS 金鑰 Arns** 

![image3](http://docs.aws.amazon.com/zh_tw/solutions/latest/instance-scheduler-on-aws/images/image3.png)


這會自動產生下列政策，並將其新增至該帳戶的排程角色：

```
 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Condition": {
            "StringLike": {
               "kms:ViaService": "ec2.*.amazonaws.com"
         },
        "Null": {
              "kms:EncryptionContextKeys": "false",
              "kms:GrantOperations": "false"
         },
        "ForAllValues:StringEquals": {
            "kms:EncryptionContextKeys": [
                 "aws:ebs:id"
              ],
              "kms:GrantOperations": [
                 "Decrypt"
              ]
        },
        "Bool": {
                 "kms:GrantIsForAWSResource": "true"
              }
        },
        "Action": "kms:CreateGrant",
        "Resource": [
             "Your-KMS-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }
```

## EC2 License Manager
<a name="ec2-license-manager"></a>

排程在 AWS License Manager 中管理的 EC2 執行個體時，您必須授予執行個體排程器使用相關聯授權組態的許可。這可讓解決方案正確啟動和停止執行個體，同時維持授權合規。此許可必須授予給與使用 License Manager 的 EC2 執行個體 (EC2 執行個體） 相同的帳戶中的排程角色。

若要授予使用 AWS License Manager 搭配執行個體排程器的許可，請使用 License Manager 將 License Manager 組態 ARNs 新增至與 EC2 執行個體 （多個） 相同帳戶中的執行個體排程器堆疊 （中樞或輪輻）：

 **EC2 的授權管理員組態 ARNs ** 

![授權管理員 cfn 參數](http://docs.aws.amazon.com/zh_tw/solutions/latest/instance-scheduler-on-aws/images/license-manager-cfn-param.png)


這會自動產生下列政策，並將其新增至該帳戶的排程角色：

```
 {

   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
        "Action": "ec2:StartInstances",
        "Resource": [
             "Your-License-Manager-ARNs-Here"
        ],
        "Effect": "Allow"
      }
   ]
 }
```

如需 License Manager 許可的詳細資訊，請參閱[《AWS License Manager 使用者指南》中的 AWS License Manager 的 Identity and Access Management](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-iam.html)。 **

```
```