Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perlindungan data di Amazon EC2 Auto Scaling
<a name="ec2-auto-scaling-data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon EC2 Auto Scaling. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan logging aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon EC2 Auto Scaling Layanan AWS atau lainnya menggunakan konsol, AWS CLI API, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Saat meluncurkan instans Amazon EC2, Anda memiliki opsi untuk meneruskan data pengguna ke instans untuk melakukan konfigurasi tambahan saat instance melakukan boot. Kami juga menyarankan agar Anda tidak pernah memasukkan informasi rahasia atau sensitif ke dalam data pengguna yang akan diteruskan ke sebuah instans.

## Gunakan AWS KMS keys untuk mengenkripsi volume Amazon EBS
<a name="encryption"></a>

Anda dapat mengonfigurasi grup Auto Scaling untuk mengenkripsi data volume Amazon EBS yang disimpan di cloud. AWS KMS keys Amazon EC2 Auto AWS Scaling mendukung kunci terkelola dan terkelola pelanggan untuk mengenkripsi data Anda. Perhatikan bahwa `KmsKeyId` opsi untuk menentukan kunci terkelola pelanggan tidak tersedia saat Anda menggunakan konfigurasi peluncuran. Untuk menentukan kunci terkelola pelanggan Anda, gunakan template peluncuran sebagai gantinya. Untuk informasi selengkapnya, lihat [Buat templat peluncuran untuk grup Auto Scaling](create-launch-template.md). Untuk informasi tentang cara membuat, menyimpan, dan mengelola kunci AWS KMS enkripsi, lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/). 

Anda juga dapat mengonfigurasi kunci terkelola pelanggan di AMI yang didukung EBS sebelum menyiapkan templat peluncuran atau konfigurasi peluncuran, atau menggunakan enkripsi secara default untuk menerapkan enkripsi volume EBS baru dan salinan snapshot yang Anda buat. Untuk informasi selengkapnya, lihat [Menggunakan enkripsi dengan dukungan EBS AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) di Panduan *Pengguna Amazon EC2 [dan Enkripsi secara default](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html) di Panduan Pengguna* *Amazon* EBS. 

**catatan**  
Untuk informasi tentang cara menyiapkan kebijakan kunci yang Anda perlukan untuk meluncurkan instance Auto Scaling saat menggunakan kunci terkelola pelanggan untuk enkripsi, lihat. [Kebijakan AWS KMS kunci yang diperlukan untuk digunakan dengan volume terenkripsi](key-policy-requirements-EBS-encryption.md) 

## Sumber daya terkait
<a name="data-protection-related-resources"></a>

Untuk panduan perlindungan data yang disediakan oleh Amazon EBS, lihat [Perlindungan data di Amazon Elastic Block Store](https://docs.aws.amazon.com/ebs/latest/userguide/data-protection.html) di *Panduan Pengguna Amazon EBS*.

# Kebijakan AWS KMS kunci yang diperlukan untuk digunakan dengan volume terenkripsi
<a name="key-policy-requirements-EBS-encryption"></a>

Amazon EC2 Auto [Scaling menggunakan](autoscaling-service-linked-role.md) peran terkait layanan untuk mendelegasikan izin ke orang lain. Layanan AWS Peran terkait layanan Amazon EC2 Auto Scaling telah ditentukan sebelumnya dan menyertakan izin yang diperlukan oleh Amazon EC2 Auto Scaling untuk memanggil orang lain atas nama Anda. Layanan AWS Izin yang telah ditentukan juga mencakup akses ke Anda. Kunci yang dikelola AWS Namun, mereka tidak menyertakan akses ke kunci yang dikelola pelanggan Anda, memungkinkan Anda untuk mempertahankan kontrol penuh atas kunci ini.

Topik ini menjelaskan cara menyiapkan kebijakan kunci yang Anda perlukan untuk meluncurkan instance Auto Scaling saat Anda menentukan kunci terkelola pelanggan untuk enkripsi Amazon EBS. 

**catatan**  
Amazon EC2 Auto Scaling tidak memerlukan otorisasi tambahan untuk menggunakan default guna melindungi volume Kunci yang dikelola AWS terenkripsi di akun Anda. 

**Contents**
+ [Ikhtisar](#overview)
+ [Konfigurasikan kebijakan utama](#configuring-key-policies)
+ [Contoh 1: Bagian kebijakan utama yang memungkinkan akses ke kunci yang dikelola pelanggan](#policy-example-cmk-access)
+ [Contoh 2: Bagian kebijakan utama yang memungkinkan akses lintas akun ke kunci yang dikelola pelanggan](#policy-example-cmk-cross-account-access)
+ [Edit kebijakan utama di AWS KMS konsol](#eding-key-policies-console)

## Ikhtisar
<a name="overview"></a>

Berikut ini AWS KMS keys dapat digunakan untuk enkripsi Amazon EBS saat Amazon EC2 Auto Scaling meluncurkan instans: 
+ [Kunci yang dikelola AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)— Kunci enkripsi di akun Anda yang dibuat, dimiliki, dan dikelola Amazon EBS. Ini adalah kunci enkripsi default untuk akun baru. Kunci yang dikelola AWS Ini digunakan untuk enkripsi kecuali Anda menentukan kunci yang dikelola pelanggan. 
+ [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) — Kunci enkripsi khusus yang Anda buat, miliki, dan kelola. Untuk informasi selengkapnya, lihat [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*. 

  Catatan: Kuncinya harus simetris. Amazon EBS tidak mendukung kunci yang dikelola pelanggan asimetris. 

Anda mengonfigurasi kunci terkelola pelanggan saat membuat snapshot terenkripsi atau templat peluncuran yang menentukan volume terenkripsi, atau mengaktifkan enkripsi secara default.

## Konfigurasikan kebijakan utama
<a name="configuring-key-policies"></a>

Kunci KMS Anda harus memiliki kebijakan utama yang memungkinkan Amazon EC2 Auto Scaling meluncurkan instans dengan volume Amazon EBS yang dienkripsi dengan kunci yang dikelola pelanggan. 

Gunakan contoh di halaman ini untuk mengonfigurasi kebijakan utama agar dapat memberikan akses Penskalaan Otomatis Amazon EC2 ke kunci yang dikelola pelanggan. Anda dapat mengubah kebijakan kunci kunci yang dikelola pelanggan baik ketika kunci dibuat atau di lain waktu.

Anda harus, setidaknya, menambahkan dua pernyataan kebijakan ke kebijakan utama agar dapat berfungsi dengan Amazon EC2 Auto Scaling.
+ Pernyataan pertama memungkinkan identitas IAM yang ditentukan dalam `Principal` elemen untuk menggunakan kunci yang dikelola pelanggan secara langsung. Ini termasuk izin untuk melakukan AWS KMS `Encrypt`,,`Decrypt`, `ReEncrypt*``GenerateDataKey*`, dan `DescribeKey` operasi pada kunci. 
+ Pernyataan kedua memungkinkan identitas IAM yang ditentukan dalam `Principal` elemen untuk menggunakan `CreateGrant` operasi untuk menghasilkan hibah yang mendelegasikan subset dari izinnya sendiri untuk Layanan AWS yang terintegrasi dengan atau prinsipal lain. AWS KMS Ini memungkinkan mereka untuk menggunakan kunci untuk membuat sumber daya terenkripsi atas nama Anda.

Saat Anda menambahkan pernyataan kebijakan baru ke kebijakan utama Anda, jangan mengubah pernyataan yang ada dalam kebijakan tersebut.

Untuk setiap contoh berikut, argumen yang harus diganti, seperti ID kunci atau nama peran terkait layanan, ditampilkan sebagai. *user placeholder text* Dalam kebanyakan kasus, Anda dapat mengganti nama peran terkait layanan dengan nama peran terkait layanan Amazon EC2 Auto Scaling. 

Untuk informasi selengkapnya, lihat sumber daya berikut:
+ Untuk membuat kunci dengan AWS CLI, lihat [create-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-key.html).
+ Untuk memperbarui kebijakan utama dengan AWS CLI, lihat [put-key-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/put-key-policy.html).
+ *Untuk menemukan ID kunci dan Nama Sumber Daya Amazon (ARN), lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service * 
+ Untuk informasi tentang peran terkait layanan Amazon EC2 Auto Scaling, lihat [Peran terkait layanan untuk Amazon EC2 Auto Scaling](autoscaling-service-linked-role.md).
+ [Untuk informasi tentang enkripsi Amazon EBS dan KMS secara umum, [enkripsi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di *Panduan Pengguna Amazon EBS dan Panduan Pengembang*.AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)

## Contoh 1: Bagian kebijakan utama yang memungkinkan akses ke kunci yang dikelola pelanggan
<a name="policy-example-cmk-access"></a>

Tambahkan dua pernyataan kebijakan berikut ke kebijakan kunci kunci yang dikelola pelanggan, ganti contoh ARN dengan ARN dari peran terkait layanan yang sesuai yang diizinkan akses ke kunci. Dalam contoh ini, bagian kebijakan memberikan **AWSServiceRoleForAutoScaling**izin bernama peran terkait layanan untuk menggunakan kunci terkelola pelanggan. 

```
{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
```

```
{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}
```

## Contoh 2: Bagian kebijakan utama yang memungkinkan akses lintas akun ke kunci yang dikelola pelanggan
<a name="policy-example-cmk-cross-account-access"></a>

Jika Anda membuat kunci terkelola pelanggan di akun yang berbeda dari grup Auto Scaling, Anda harus menggunakan hibah yang dikombinasikan dengan kebijakan kunci untuk mengizinkan akses lintas akun ke kunci tersebut. 

Ada dua langkah yang harus diselesaikan dengan urutan sebagai berikut:

1. Pertama, tambahkan dua pernyataan kebijakan berikut ke kebijakan kunci kunci yang dikelola pelanggan. Ganti contoh ARN dengan ARN akun lain, pastikan untuk mengganti *111122223333* dengan ID akun aktual Akun AWS yang ingin Anda buat grup Auto Scaling. Ini memungkinkan Anda untuk memberikan pengguna IAM atau peran dalam izin akun yang ditentukan untuk membuat hibah untuk kunci menggunakan perintah CLI yang mengikuti. Namun, ini tidak dengan sendirinya memberi pengguna akses ke kunci.

   ```
   {
      "Sid": "Allow external account 111122223333 use of the customer managed key",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey"
      ],
      "Resource": "*"
   }
   ```

   ```
   {
      "Sid": "Allow attachment of persistent resources in external account 111122223333",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:CreateGrant"
      ],
      "Resource": "*"
   }
   ```

1. Kemudian, dari akun tempat Anda ingin membuat grup Auto Scaling, buat hibah yang mendelegasikan izin yang relevan ke peran terkait layanan yang sesuai. Elemen `Grantee Principal` pemberian izin adalah ARN dari peran terkait layanan yang sesuai. `key-id`Itu adalah ARN kuncinya.

   Berikut ini adalah contoh perintah CLI [create-grant](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-grant.html) yang memberikan peran terkait layanan yang **AWSServiceRoleForAutoScaling**dinamai dalam izin *111122223333* akun untuk menggunakan kunci yang dikelola pelanggan di akun. *444455556666*

   ```
   aws kms create-grant \
     --region us-west-2 \
     --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
     --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling \
     --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
   ```

   Agar perintah ini berhasil, pengguna yang mengajukan permintaan harus memiliki izin untuk tindakan `CreateGrant`. 

   Contoh berikut kebijakan IAM memungkinkan identitas IAM (pengguna atau peran) di akun *111122223333* untuk membuat hibah untuk kunci yang dikelola pelanggan di akun. *444455556666*

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
         "Effect": "Allow",
         "Action": "kms:CreateGrant",
         "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
       }
     ]
   }
   ```

------

   Untuk informasi selengkapnya tentang membuat hibah untuk kunci KMS yang berbeda Akun AWS, lihat [Hibah AWS KMS di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Pengembang*.
**penting**  
Nama peran terkait layanan yang ditentukan sebagai kepala penerima hibah harus merupakan nama peran yang ada. Setelah membuat hibah, untuk memastikan bahwa hibah memungkinkan Amazon EC2 Auto Scaling menggunakan kunci KMS yang ditentukan, jangan hapus dan buat ulang peran terkait layanan.

## Edit kebijakan utama di AWS KMS konsol
<a name="eding-key-policies-console"></a>

Contoh di bagian sebelumnya hanya menunjukkan cara menambahkan pernyataan ke kebijakan kunci, yang merupakan salah satu cara untuk mengubah kebijakan kunci. Cara termudah untuk mengubah kebijakan kunci adalah dengan menggunakan tampilan default AWS KMS konsol untuk kebijakan utama dan menjadikan identitas IAM (pengguna atau peran) sebagai salah satu *pengguna utama* untuk kebijakan kunci yang sesuai. Untuk informasi selengkapnya, lihat [Menggunakan tampilan Konsol Manajemen AWS default](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to-console-default-view) di *Panduan AWS Key Management Service Pengembang*. 

**penting**  
Berhati-hatilah. Pernyataan kebijakan tampilan default konsol menyertakan izin untuk melakukan AWS KMS `Revoke` operasi pada kunci yang dikelola pelanggan. Jika Anda memberikan Akun AWS akses ke kunci yang dikelola pelanggan di akun Anda, dan Anda secara tidak sengaja mencabut hibah yang memberi mereka izin ini, pengguna eksternal tidak dapat lagi mengakses data terenkripsi mereka atau kunci yang digunakan untuk mengenkripsi data mereka.