AWSSupport-ShareEncryptedAMIOrEBSSnapshot - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ShareEncryptedAMIOrEBSSnapshot

Beschreibung

Dieses Runbook automatisiert das Teilen von verschlüsselten Amazon Machine Image s- oder Amazon Elastic Block Store-Snapshots mit anderen Amazon Web Services Services-Konten. Dieses Runbook behandelt die komplexen Anforderungen für die kontenübergreifende gemeinsame Nutzung verschlüsselter Ressourcen, einschließlich AWS Key Management Service wichtiger Richtlinienänderungen und Aktualisierungen von Ressourcenberechtigungen.

Diese Automatisierung führt die Schritte aus, die im AWS Sicherheits-Blog-Artikel So teilen Sie verschlüsselte AMI s für mehrere Konten beschrieben sind, um verschlüsselte Amazon Elastic Compute Cloud-Instances zu starten.

Wichtige Überlegungen

  • Dieses Runbook ändert Ihre Ressourcen: Das Runbook fügt Ihrer CMK-Richtlinie ( AWS KMS Customer Managed Key) kontoübergreifende Berechtigungen hinzu und gewährt dem Zielkonto AMI Startberechtigungen oder Amazon EBS-Snapshot-Berechtigungen zum Erstellen von Volumes.

  • Zusätzliche Kosten können anfallen: Beim Kopieren von Ressourcen (andere Region oder AWS verwaltete Schlüsselverschlüsselung) fallen zusätzliche Kosten für den neuen AMI oder Amazon EBS-Snapshot und jede regionsübergreifende Datenübertragung an.

  • Bitte überprüfen Sie die Zielkonto-ID: Überprüfen Sie die Zielkonto-ID noch einmal, da dieses Runbook die Existenz eines Kontos nicht überprüfen kann.

  • Automatisches Rollback mit manueller Überprüfung: Dieses Runbook versucht, Änderungen automatisch rückgängig zu machen, falls dies fehlschlägt. Schlägt das Rollback selbst jedoch fehl, stellen Sie bitte sicher, dass keine zusätzlichen AMI /Snapshot-Kopien in Ihrem Konto übrig geblieben sind, dass die LaunchPermission/CreateVolumePermission Ressourcenattribute keine unbeabsichtigten Konten enthalten und dass sich die AWS KMS wichtige Richtlinie im Originalzustand befindet.

Wie funktioniert es?

Das Runbook führt die folgenden allgemeinen Schritte aus:

  • Überprüft das Vorhandensein, den Status und die Verschlüsselungskonfiguration der Eingaberessource

  • Überprüft die aktuellen Berechtigungen für die gemeinsame Nutzung von Ressourcen mit dem Zielkonto

  • Analysiert AWS KMS wichtige Richtlinien und erstellt eine umfassende Vorschau aller erforderlichen Änderungen

  • Fordert die Genehmigung der zuständigen Schulleiter an, bevor Änderungen vorgenommen werden

  • Führt genehmigte Änderungen aus, darunter das Kopieren von Ressourcen (falls erforderlich), Aktualisierungen von Berechtigungen und AWS KMS wichtige Richtlinienänderungen

  • Stellt bei Bedarf einen umfassenden Ausführungsbericht mit Rollback-Informationen bereit

Führen Sie diese Automatisierung aus (Konsole)

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen:

  • ec2: DescribeImages

  • ec2: DescribeSnapshots

  • ec2: DescribeImageAttribute

  • ec2: DescribeSnapshotAttribute

  • ec2: ModifyImageAttribute

  • ec2: ModifySnapshotAttribute

  • ec2: CopyImage

  • ec2: CopySnapshot

  • ec2: DeregisterImage

  • ec2: DeleteSnapshot

  • km: DescribeKey

  • km: GetKeyPolicy

  • km: PutKeyPolicy

  • km: CreateGrant

  • km: GenerateDataKey *

  • km: ReEncrypt *

  • kms:Decrypt

  • Zugriffsanalysator: CheckAccessNotGranted

Anweisungen

Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:

  1. Navigieren Sie AWSSupport-ShareEncryptedAMIOrEBSSnapshotim Systems Manager unter Dokumente zu.

  2. Wählen Sie Execute automation (Automatisierung ausführen).

  3. Geben Sie für die Eingabeparameter Folgendes ein:

    • AutomationAssumeRole (Fakultativ):

      Der Amazon-Ressourcenname der AWS AWS Identity and Access Management Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

    • Genehmiger (erforderlich):

      Die Liste der AWS authentifizierten Principals, die die Aktion entweder genehmigen oder ablehnen können. Die maximale Anzahl an Genehmigern ist 10. Sie können Prinzipale angeben, indem Sie eines der folgenden Formate verwenden: Benutzername, Benutzer-ARN, IAM-Rollen-ARN oder IAM Assume Role ARN.

    • ResourceId (Erforderlich):

      AMIoder Amazon EBS Snapshot ID, die geteilt werden soll (z. B. ami-123456789012 oder snap-123456789012).

    • DestinationAccountId (Erforderlich):

      Die 12-stellige AWS Konto-ID, unter der die Ressource gemeinsam genutzt wird.

    • CustomerManagedKeyId (Fakultativ):

      AWS KMS CMK-ID zum erneuten Verschlüsseln der Ressource. Erforderlich, wenn die Ressource mit einem AWS verwalteten Schlüssel verschlüsselt ist oder wenn sie für regionsübergreifendes DestinationRegion Kopieren angegeben ist. Für regionsübergreifendes Kopieren muss dieser Schlüssel in der Zielregion vorhanden sein.

    • DestinationRegion (Fakultativ):

      Die AWS Region, in die die Ressource kopiert wird. Der Standardwert ist die aktuelle Region. Wenn eine andere Region angegeben wird, wird die Ressource mithilfe des im CustomerManagedKeyId Parameter angegebenen AWS KMS CMK in die Zielregion kopiert.

  4. Wählen Sie Ausführen aus.

  5. Die Automatisierung wird initiiert.

  6. Das Dokument führt die folgenden Schritte aus:

    • ValidateResources:

      Überprüft das Vorhandensein, den Status und die Verschlüsselungskonfiguration der Eingaberessourcen und ermittelt, welche Änderungen für die gemeinsame Nutzung erforderlich sind.

    • BranchOnResourcePermission:

      Verzweigt den Workflow je nachdem, ob die Genehmigung zur gemeinsamen Nutzung von Ressourcen überprüft werden muss.

    • CheckResourcePermission:

      Prüft, ob für das Zielkonto eine Freigabeberechtigung für die Ressource erforderlich ist.

    • AnalyzeChanges:

      Analysiert AWS KMS wichtige Richtlinien und erstellt eine umfassende Vorschau aller erforderlichen Änderungen.

    • BranchOnChanges:

      Verzweigt den Workflow danach, ob Änderungen genehmigt werden müssen.

    • GetApproval:

      Wartet auf die Genehmigung durch die designierten AWS IAM-Prinzipale, um mit den erforderlichen Änderungen fortzufahren.

    • ExecuteChanges:

      Führt genehmigte Änderungen mit Rollback bei einem Fehler aus.

    • Results:

      Generiert einen umfassenden Ausführungsbericht, in dem alle Aktionen zusammengefasst sind, die während des verschlüsselten Vorgangs AMI oder der gemeinsamen Nutzung von Snapshots ergriffen wurden.

  7. Wenn der Vorgang abgeschlossen ist, finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung.

Erforderliche AWS AWS Identity and Access Management Richtlinie für das Zielkonto

Die IAM-Rolle oder der Benutzer im Zielkonto muss die folgenden IAM-Berechtigungen konfigurieren, um verschlüsselte Amazon EC2-Instances aus dem gemeinsam genutzten verschlüsselten Amazon EBS-Snapshot zu starten AMI oder Volumes aus dem gemeinsam genutzten verschlüsselten Amazon EBS-Snapshot zu erstellen:


    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:DescribeKey",
                    "kms:ReEncrypt*",
                    "kms:CreateGrant",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "arn:aws:kms:<region>:<account-id>:key/<key-id>"
                ]
            }
        ]
    }

Referenzen

Systems Manager Automation