AWSSupport-ShareEncryptedAMIOrEBSSnapshot - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-ShareEncryptedAMIOrEBSSnapshot

Descripción

Este manual automatiza el proceso de compartir instantáneas cifradas Amazon Machine Image o de Amazon Elastic Block Store con otras cuentas de Amazon Web Services. Este manual aborda los complejos requisitos para compartir recursos cifrados entre cuentas, incluidas las modificaciones AWS Key Management Service clave de las políticas y las actualizaciones de los permisos de los recursos.

Esta automatización lleva a cabo los pasos descritos en el artículo del blog de AWS seguridad Cómo compartir AMI s cifrados entre cuentas para lanzar instancias cifradas de Amazon Elastic Compute Cloud.

Consideraciones importantes

  • Este manual modificará sus recursos: añadirá permisos multicuenta a su política de claves gestionadas por el AWS KMS cliente (CMK) y concederá permisos de lanzamiento o AMI permisos de creación de volúmenes de creación de instantáneas de Amazon EBS a la cuenta de destino.

  • Pueden aplicarse costes adicionales: al copiar recursos (cifrado de clave AWS gestionada o de región diferente), se incurrirá en costes adicionales por la instantánea nueva AMI o de Amazon EBS y por cualquier transferencia de datos entre regiones.

  • Compruebe el ID de la cuenta de destino: vuelva a comprobar el ID de la cuenta de destino, ya que este manual no puede validar la existencia de la cuenta.

  • Reversión automática con verificación manual: este manual intenta revertir automáticamente los cambios si fallan. Sin embargo, si la reversión en sí misma no funciona, compruebe que no hayan quedado copias adicionales de AMI /Snapshot en su cuenta, que LaunchPermission/CreateVolumePermission los atributos de los recursos no incluyan las cuentas no deseadas y que la política AWS KMS clave esté en su estado original.

¿Cómo funciona?

El manual de ejecución lleva a cabo los siguientes pasos de alto nivel:

  • Valida la existencia, el estado y la configuración de cifrado de los recursos de entrada

  • Comprueba los permisos actuales para compartir recursos con la cuenta de destino

  • Analiza AWS KMS la política clave y crea una vista previa completa de todos los cambios necesarios

  • Solicita la aprobación de los directores designados antes de realizar cualquier cambio

  • Ejecuta los cambios aprobados, incluida la copia de recursos (si es necesario), las actualizaciones de permisos y las modificaciones AWS KMS clave de las políticas

  • Proporciona un informe de ejecución completo con información sobre la reversión si es necesario

Ejecuta esta automatización (consola)

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

El AutomationAssumeRole parámetro requiere las siguientes acciones:

  • ec2: DescribeImages

  • ec2: DescribeSnapshots

  • ec2: DescribeImageAttribute

  • ec2: DescribeSnapshotAttribute

  • ec2: ModifyImageAttribute

  • ec2: ModifySnapshotAttribute

  • ec2: CopyImage

  • ec2: CopySnapshot

  • ec2: DeregisterImage

  • ec2: DeleteSnapshot

  • km: DescribeKey

  • km: GetKeyPolicy

  • km: PutKeyPolicy

  • km: CreateGrant

  • km: GenerateDataKey *

  • km: ReEncrypt *

  • kms:Decrypt

  • analizador de acceso: CheckAccessNotGranted

Instrucciones

Siga estos pasos para configurar la automatización:

  1. Navegue hasta AWSSupport-ShareEncryptedAMIOrEBSSnapshotSystems Manager, en Documentos.

  2. Elija Execute automation (Ejecutar automatización).

  3. Para los parámetros de entrada, introduzca lo siguiente:

    • AutomationAssumeRole (Opcional):

      El nombre del recurso de Amazon del AWS AWS Identity and Access Management rol que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

    • Aprobadores (obligatorio):

      La lista de directores AWS autenticados que pueden aprobar o rechazar la acción. El número máximo de aprobadores es 10. Puede especificar los principales mediante cualquiera de los siguientes formatos: nombre de usuario, ARN de usuario, ARN del rol de IAM o ARN de asumir rol de IAM.

    • ResourceId (Obligatorio):

      AMIo ID de instantánea de Amazon EBS para compartir (por ejemplo, ami-123456789012 o snap-123456789012).

    • DestinationAccountId (Obligatorio):

      El ID de AWS cuenta de 12 dígitos en el que se compartirá el recurso.

    • CustomerManagedKeyId (Opcional):

      AWS KMS ID de CMK para volver a cifrar el recurso. Es obligatorio si el recurso está cifrado con una clave AWS gestionada o si DestinationRegion se especifica para la copia entre regiones. Para copiar entre regiones, esta clave debe estar en la región de destino.

    • DestinationRegion (Opcional):

      La AWS región en la que se copiará el recurso. El valor predeterminado es la región actual. Si se especifica una región diferente, el recurso se copiará en la región de destino mediante la AWS KMS CMK especificada en el CustomerManagedKeyId parámetro.

  4. Seleccione Ejecutar.

  5. Se inicia la automatización.

  6. Este documento realiza los siguientes pasos:

    • ValidateResources:

      Valida la existencia, el estado y la configuración de cifrado de los recursos de entrada y determina los cambios necesarios para compartirlos.

    • BranchOnResourcePermission:

      Ramifica el flujo de trabajo en función de si es necesario comprobar el permiso para compartir recursos.

    • CheckResourcePermission:

      Comprueba si la cuenta de destino requiere el permiso para compartir el recurso.

    • AnalyzeChanges:

      Analiza AWS KMS la política clave y crea una vista previa completa de todos los cambios necesarios.

    • BranchOnChanges:

      Ramifica el flujo de trabajo en función de si los cambios requieren aprobación.

    • GetApproval:

      Espera la aprobación de los directores de AWS IAM designados para proceder con los cambios necesarios.

    • ExecuteChanges:

      Ejecuta los cambios aprobados y los revierte en caso de error.

    • Results:

      Genera un informe de ejecución completo que resume todas las acciones realizadas durante el proceso de cifrado AMI o de intercambio de instantáneas.

  7. Una vez finalizada, consulte la sección de resultados para ver los resultados detallados de la ejecución.

AWS AWS Identity and Access Management Política requerida para la cuenta de destino

El rol o usuario de IAM de la cuenta de destino debe configurar los siguientes permisos de IAM para lanzar instancias de Amazon EC2 cifradas a partir de la instantánea de Amazon EBS AMI cifrada compartida o para crear volúmenes a partir de la instantánea de Amazon EBS cifrada compartida:


    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:DescribeKey",
                    "kms:ReEncrypt*",
                    "kms:CreateGrant",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "arn:aws:kms:<region>:<account-id>:key/<key-id>"
                ]
            }
        ]
    }

Referencias

Automatización de Systems Manager