View a markdown version of this page

AWSSupport-ShareEncryptedAMIOrEBSSnapshot - AWS Systems Manager Referensi Buku Runbook Otomasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-ShareEncryptedAMIOrEBSSnapshot

Deskripsi

Runbook ini mengotomatiskan proses berbagi snapshot terenkripsi s Amazon Machine Image atau Amazon Elastic Block Store dengan akun Amazon Web Services lainnya. Runbook ini menangani persyaratan kompleks untuk berbagi sumber daya terenkripsi lintas akun, termasuk modifikasi kebijakan AWS Key Management Service utama dan pembaruan izin sumber daya.

Otomatisasi ini melakukan langkah-langkah yang diuraikan dalam artikel Blog AWS Keamanan Cara berbagi AMI s terenkripsi di seluruh akun untuk meluncurkan instans Amazon Elastic Compute Cloud terenkripsi.

Pertimbangan Penting

  • Runbook ini akan mengubah sumber daya Anda: Runbook akan menambahkan izin lintas akun ke kebijakan Kunci Terkelola AWS KMS Pelanggan (CMK) Anda dan memberikan AMI izin peluncuran atau snapshot Amazon EBS membuat izin volume ke akun tujuan.

  • Biaya tambahan mungkin berlaku: Saat menyalin sumber daya (wilayah berbeda atau enkripsi kunci AWS terkelola), biaya tambahan akan dikeluarkan untuk snapshot EBS baru atau AMI Amazon dan transfer data lintas wilayah apa pun.

  • Harap verifikasi ID akun tujuan: Periksa kembali ID akun tujuan karena runbook ini tidak dapat memvalidasi keberadaan akun.

  • Rollback otomatis dengan verifikasi manual: Runbook ini mencoba untuk secara otomatis memutar kembali perubahan jika gagal. Namun, jika rollback itu sendiri gagal, harap verifikasi bahwa tidak ada salinan AMI /Snapshot tambahan yang tersisa di akun Anda, LaunchPermission/CreateVolumePermission atribut sumber daya tidak menyertakan akun yang tidak diinginkan, dan kebijakan AWS KMS kunci dalam keadaan semula.

Bagaimana cara kerjanya?

Runbook melakukan langkah-langkah tingkat tinggi berikut:

  • Memvalidasi keberadaan sumber daya input, status, dan konfigurasi enkripsi

  • Memeriksa izin berbagi sumber daya saat ini dengan akun tujuan

  • Menganalisis kebijakan AWS KMS utama dan membuat pratinjau komprehensif dari semua perubahan yang diperlukan

  • Meminta persetujuan dari kepala sekolah yang ditunjuk sebelum melakukan perubahan

  • Menjalankan perubahan yang disetujui termasuk penyalinan sumber daya (jika diperlukan), pembaruan izin, dan modifikasi kebijakan AWS KMS utama

  • Menyediakan laporan eksekusi komprehensif dengan informasi rollback jika diperlukan

Jalankan Otomasi ini (konsol)

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

AutomationAssumeRole Parameter membutuhkan tindakan berikut:

  • EC2: DescribeImages

  • EC2: DescribeSnapshots

  • EC2: DescribeImageAttribute

  • EC2: DescribeSnapshotAttribute

  • EC2: ModifyImageAttribute

  • EC2: ModifySnapshotAttribute

  • EC2: CopyImage

  • EC2: CopySnapshot

  • EC2: DeregisterImage

  • EC2: DeleteSnapshot

  • km: DescribeKey

  • km: GetKeyPolicy

  • km: PutKeyPolicy

  • km: CreateGrant

  • km: * GenerateDataKey

  • km: * ReEncrypt

  • kms:Decrypt

  • accessanalyzer: CheckAccessNotGranted

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

  1. Arahkan ke AWSSupport-ShareEncryptedAMIOrEBSSnapshotSystems Manager di bawah Documents.

  2. Pilih Jalankan otomatisasi.

  3. Untuk parameter input, masukkan yang berikut ini:

    • AutomationAssumeRole (Opsional):

      Nama Sumber Daya Amazon dari AWS AWS Identity and Access Management peran yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

    • Penyetuju (Diperlukan):

      Daftar kepala sekolah yang AWS diautentikasi yang dapat menyetujui atau menolak tindakan tersebut. Jumlah maksimum pemberi persetujuan adalah 10. Anda dapat menentukan prinsipal dengan menggunakan salah satu format berikut: nama pengguna, ARN pengguna, ARN peran IAM, atau IAM berperan ARN.

    • ResourceId (Diperlukan):

      AMIatau ID Snapshot Amazon EBS untuk dibagikan (misalnya, ami-123456789012 atau snap-123456789012).

    • DestinationAccountId (Diperlukan):

      ID AWS akun 12 digit tempat sumber daya akan dibagikan.

    • CustomerManagedKeyId (Opsional):

      AWS KMS ID CMK untuk mengenkripsi ulang sumber daya. Diperlukan jika sumber daya dienkripsi dengan kunci AWS terkelola atau ketika DestinationRegion ditentukan untuk penyalinan lintas wilayah. Untuk penyalinan lintas wilayah, kunci ini harus ada di wilayah tujuan.

    • DestinationRegion (Opsional):

      AWS Wilayah tempat sumber daya akan disalin. Nilai default adalah wilayah saat ini. Jika wilayah yang berbeda ditentukan, sumber daya akan disalin ke wilayah tujuan menggunakan AWS KMS CMK yang ditentukan dalam parameter. CustomerManagedKeyId

  4. Pilih Jalankan.

  5. Otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • ValidateResources:

      Memvalidasi keberadaan sumber daya input, status, konfigurasi enkripsi, dan menentukan perubahan yang diperlukan untuk berbagi.

    • BranchOnResourcePermission:

      Cabang alur kerja berdasarkan apakah izin berbagi sumber daya perlu diperiksa.

    • CheckResourcePermission:

      Memeriksa apakah akun target telah memerlukan izin berbagi untuk sumber daya.

    • AnalyzeChanges:

      Menganalisis kebijakan AWS KMS utama dan membuat pratinjau komprehensif dari semua perubahan yang diperlukan.

    • BranchOnChanges:

      Cabang alur kerja berdasarkan apakah perubahan memerlukan persetujuan.

    • GetApproval:

      Menunggu persetujuan kepala sekolah AWS IAM yang ditunjuk untuk melanjutkan perubahan yang diperlukan.

    • ExecuteChanges:

      Mengeksekusi perubahan yang disetujui dengan rollback pada kegagalan.

    • Results:

      Menghasilkan laporan eksekusi komprehensif yang merangkum semua tindakan yang diambil selama proses berbagi terenkripsi AMI atau snapshot.

  7. Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci.

AWS AWS Identity and Access Management Kebijakan yang Diperlukan untuk Akun Tujuan

Peran IAM atau pengguna di akun tujuan harus mengonfigurasi izin IAM berikut untuk meluncurkan instans Amazon EC2 terenkripsi dari terenkripsi bersama atau untuk membuat volume dari snapshot Amazon EBS terenkripsi AMI bersama:


    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:DescribeKey",
                    "kms:ReEncrypt*",
                    "kms:CreateGrant",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "arn:aws:kms:<region>:<account-id>:key/<key-id>"
                ]
            }
        ]
    }

Referensi

Otomatisasi Systems Manager