View a markdown version of this page

AWSSupport-ShareEncryptedAMIOrEBSSnapshot - AWS Systems Manager Referência do Automation Runbook

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-ShareEncryptedAMIOrEBSSnapshot

Descrição

Esse runbook automatiza o processo de compartilhamento de snapshots Amazon Machine Image criptografados ou do Amazon Elastic Block Store com outras contas da Amazon Web Services. Este runbook lida com os requisitos complexos de compartilhamento entre contas de recursos criptografados, incluindo as AWS Key Management Service principais modificações de políticas e atualizações de permissões de recursos.

Essa automação executa as etapas descritas no artigo do AWS Security Blog Como compartilhar AMI s criptografados entre contas para iniciar instâncias criptografadas do Amazon Elastic Compute Cloud.

Considerações importantes

  • Este runbook modificará seus recursos: O runbook adicionará permissões entre contas à sua política de chave gerenciada pelo AWS KMS cliente (CMK) e concederá AMI permissões de lançamento ou permissões de volume de criação de snapshots do Amazon EBS para a conta de destino.

  • Custos adicionais podem ser aplicados: ao copiar recursos (região diferente ou criptografia de chave AWS gerenciada), custos adicionais serão incorridos para o novo snapshot AMI ou para o Amazon EBS e qualquer transferência de dados entre regiões.

  • Verifique o ID da conta de destino: Verifique novamente o ID da conta de destino, pois esse runbook não pode validar a existência da conta.

  • Reversão automática com verificação manual: este runbook tenta reverter automaticamente as alterações em caso de falha. No entanto, se a reversão em si falhar, verifique se nenhuma cópia extra de AMI /Snapshot foi deixada em sua conta, se LaunchPermission/CreateVolumePermission os atributos do recurso não incluem contas indesejadas e se a política de AWS KMS chaves está em seu estado original.

Como funciona?

O runbook executa as seguintes etapas de alto nível:

  • Valida a existência, o estado e a configuração de criptografia do recurso de entrada

  • Verifica as permissões atuais de compartilhamento de recursos com a conta de destino

  • Analisa as AWS KMS principais políticas e cria uma visualização abrangente de todas as mudanças necessárias

  • Solicita a aprovação dos diretores designados antes de fazer qualquer alteração

  • Executa as alterações aprovadas, incluindo cópia de recursos (se necessário), atualizações de permissões e AWS KMS principais modificações nas políticas

  • Fornece um relatório de execução abrangente com informações de reversão, se necessário

Execute esta automação (console)

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

O AutomationAssumeRole parâmetro requer as seguintes ações:

  • ec2: DescribeImages

  • ec2: DescribeSnapshots

  • ec2: DescribeImageAttribute

  • ec2: DescribeSnapshotAttribute

  • ec2: ModifyImageAttribute

  • ec2: ModifySnapshotAttribute

  • ec2: CopyImage

  • ec2: CopySnapshot

  • ec2: DeregisterImage

  • ec2: DeleteSnapshot

  • kms:DescribeKey

  • kms:GetKeyPolicy

  • kms:PutKeyPolicy

  • kms:CreateGrant

  • km: * GenerateDataKey

  • km: * ReEncrypt

  • kms:Decrypt

  • analisador de acesso: CheckAccessNotGranted

Instruções

Siga estas etapas para configurar a automação:

  1. Navegue até AWSSupport-ShareEncryptedAMIOrEBSSnapshotem Systems Manager em Documentos.

  2. Selecione Execute automation (Executar automação).

  3. Para os parâmetros de entrada, insira o seguinte:

    • AutomationAssumeRole (Opcional):

      O nome do recurso Amazon da AWS AWS Identity and Access Management função que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

    • Aprovadores (obrigatório):

      A lista de diretores AWS autenticados que podem aprovar ou rejeitar a ação. O número máximo de aprovadores é 10. Você pode especificar os principais usando qualquer um dos seguintes formatos: nome de usuário, ARN do usuário, ARN da função do IAM ou ARN da função de suposição do IAM.

    • ResourceId (Obrigatório):

      AMIou o ID de snapshot do Amazon EBS a ser compartilhado (por exemplo, ami-123456789012 ou snap-123456789012).

    • DestinationAccountId (Obrigatório):

      O ID da AWS conta de 12 dígitos em que o recurso será compartilhado.

    • CustomerManagedKeyId (Opcional):

      AWS KMS ID da CMK para criptografar novamente o recurso. Obrigatório se o recurso for criptografado com chave AWS gerenciada ou quando DestinationRegion for especificado para cópia entre regiões. Para cópia entre regiões, essa chave deve existir na região de destino.

    • DestinationRegion (Opcional):

      A AWS região em que o recurso será copiado. O valor padrão é a região atual. Se uma região diferente for especificada, o recurso será copiado para a região de destino usando a AWS KMS CMK especificada no CustomerManagedKeyId parâmetro.

  4. Selecione Executar.

  5. A automação é iniciada.

  6. O bucket realiza as seguintes etapas:

    • ValidateResources:

      Valida a existência, o estado e a configuração de criptografia do recurso de entrada e determina as alterações necessárias para o compartilhamento.

    • BranchOnResourcePermission:

      Ramifica o fluxo de trabalho com base na necessidade de verificar se a permissão de compartilhamento de recursos precisa ser verificada.

    • CheckResourcePermission:

      Verifica se a conta de destino exigiu permissão de compartilhamento para o recurso.

    • AnalyzeChanges:

      Analisa as AWS KMS principais políticas e cria uma visualização abrangente de todas as alterações necessárias.

    • BranchOnChanges:

      Ramifica o fluxo de trabalho com base na necessidade de aprovação das alterações.

    • GetApproval:

      Aguarda a aprovação dos diretores designados AWS do IAM para prosseguir com as mudanças necessárias.

    • ExecuteChanges:

      Executa as alterações aprovadas com reversão em caso de falha.

    • Results:

      Gera um relatório de execução abrangente resumindo todas as ações tomadas durante o processo criptografado AMI ou de compartilhamento de instantâneos.

  7. Depois de concluído, revise a seção Outputs para obter os resultados detalhados da execução.

AWS AWS Identity and Access Management Política necessária para a conta de destino

A função ou o usuário do IAM na conta de destino deve configurar as seguintes permissões do IAM para iniciar instâncias criptografadas do Amazon EC2 a partir da criptografia compartilhada AMI ou para criar volumes a partir do snapshot criptografado compartilhado do Amazon EBS:


    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:DescribeKey",
                    "kms:ReEncrypt*",
                    "kms:CreateGrant",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "arn:aws:kms:<region>:<account-id>:key/<key-id>"
                ]
            }
        ]
    }

Referências

Automação do Systems Manager