變更為 AWS KMS 客戶自管金鑰來加密 S3 資源 - AWS Systems Manager
任務 1:將標籤新增至現有 CMK任務 2:修改現有 CMK 金鑰政策任務 3:在 Systems Manager 設定中指定 CMK

變更為 AWS KMS 客戶自管金鑰來加密 S3 資源

在 Systems Manager 整合式主控台的加入程序期間,Quick Setup 會在委派管理員帳戶中建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此儲存貯體用於存放修復執行手冊執行期間產生的診斷輸出資料。依預設,此儲存貯體將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 搭配使用。

您可以在Systems Manager 整合式主控台的 S3 儲存貯體政策中檢閱這些政策的內容。

不過,您可以改為將伺服器端加密與 AWS KMS keys (SSE-KMS) 搭配使用,並使用客戶自管金鑰 (CMK) 作為 AWS KMS key 的替代方案。

要設定 Systems Manager 來使用 CMK,請完成下列任務。

任務 1:將標籤新增至現有 CMK

只有在 CMK 含有帶下列鍵值對的標籤時,AWS Systems Manager 才會使用 CMK:

  • 索引鍵:SystemsManagerManaged

  • 值:true

按照下列程序提供使用 CMK 加密 S3 儲存貯體的存取權。

將標籤新增至現有 CMK

  1. 開啟位於 AWS KMShttps://console.aws.amazon.com/kms 主控台。

  2. 在左側導覽列中,選擇客戶自管金鑰

  3. 選取要與 AWS Systems Manager 搭配使用的 AWS KMS key。

  4. 選擇標籤索引標籤,然後選擇編輯

  5. 選擇 Add tag (新增標籤)

  6. 請執行下列操作:

    1. 對於 Tag key (標籤索引鍵),輸入 SystemsManagerManaged

    2. 標籤值欄位中輸入 true

  7. 選擇儲存

任務 2:修改現有 CMK 金鑰政策

按照下列程序更新 CMK 的 KMS 金鑰政策,讓 AWS Systems Manager 角色能夠代表您加密 S3 儲存貯體。

修改現有 CMK 金鑰政策

  1. 開啟位於 AWS KMShttps://console.aws.amazon.com/kms 主控台。

  2. 在左側導覽列中,選擇客戶自管金鑰

  3. 選取要與 AWS Systems Manager 搭配使用的 AWS KMS key。

  4. 金鑰政策標籤中,選擇編輯

  5. 將下列 JSON 陳述式新增至 Statement 欄位,再使用自己的資訊取代預留位置值

    確保在 Principal 欄位中,將組織中加入的所有 AWS 帳戶 ID 新增至 AWS Systems Manager。

    若要在 Amazon S3 主控台中找到正確的儲存貯體名稱,請在委派管理員帳戶中找到如下格式的儲存貯體:do-not-delete-ssm-operational-account-id-home-region-disambiguator

    {
     "Sid": "EncryptionForSystemsManagerS3Bucket",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
             "account-id-1",
             "account-id-2",
             ...
         ]
     },
     "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
         },
         "StringLike": {
             "kms:ViaService": "s3.*.amazonaws.com"
         },
         "ArnLike": {
             "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
         }
     }
 }
提示

您也可以使用 aws:PrincipalOrgID 條件金鑰來更新 CMK 金鑰政策,授予 AWS Systems Manager 存取 CMK 的權限。

任務 3:在 Systems Manager 設定中指定 CMK

完成前兩個任務後,按照下列程序變更 S3 儲存貯體加密。此變更可確保相關聯的 Quick Setup 組態程序可以新增許可,讓 Systems Manager 接受 CMK。

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇設定

  3. 診斷和修復索引標籤上,從更新 S3 儲存貯體加密區段中選擇編輯

  4. 選取自訂加密設定 (進階) 核取方塊。

  5. 在搜尋 ( The search icon ) 方塊中,選擇現有金鑰的 ID,或貼上現有金鑰的 ARN。

  6. 選擇儲存