AWSSupport-ShareEncryptedAMIOrEBSSnapshot - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-ShareEncryptedAMIOrEBSSnapshot

Description

Ce runbook automatise le processus de partage de snapshots Amazon Machine Image chiffrés ou d'Amazon Elastic Block Store avec d'autres comptes Amazon Web Services. Ce manuel répond aux exigences complexes relatives au partage entre comptes de ressources chiffrées, y compris les AWS Key Management Service principales modifications des politiques et les mises à jour des autorisations de ressources.

Cette automatisation exécute les étapes décrites dans l'article du blog sur la AWS sécurité Comment partager des données AMI chiffrées entre comptes pour lancer des instances Amazon Elastic Compute Cloud cryptées.

Importantes considérations

  • Ce runbook modifiera vos ressources : le runbook ajoutera des autorisations entre comptes à votre politique de clé gérée par le AWS KMS client (CMK) et accordera des autorisations de lancement ou Amazon EBS Snapshot créera des AMI autorisations de volume sur le compte de destination.

  • Des frais supplémentaires peuvent s'appliquer : lors de la copie de ressources (région différente ou chiffrement AWS par clé gérée), des coûts supplémentaires seront encourus pour le nouvel instantané AMI ou pour le snapshot Amazon EBS et pour tout transfert de données entre régions.

  • Vérifiez l'ID du compte de destination : Vérifiez l'ID du compte de destination car ce runbook ne peut pas valider l'existence du compte.

  • Annulation automatique avec vérification manuelle : ce runbook tente d'annuler automatiquement les modifications en cas d'échec. Toutefois, si la restauration elle-même échoue, vérifiez qu'aucune copie supplémentaire de AMI /Snapshot n'est restée dans votre compte, que les LaunchPermission/CreateVolumePermission attributs des ressources n'incluent pas les comptes indésirables et que la politique AWS KMS clé est dans son état d'origine.

Fonctionnement

Le runbook exécute les étapes de haut niveau suivantes :

  • Valide l'existence, l'état et la configuration de chiffrement des ressources d'entrée

  • Vérifie les autorisations de partage de ressources actuelles avec le compte de destination

  • Analyse les politiques AWS KMS clés et crée un aperçu complet de toutes les modifications requises

  • Demande l'approbation des directeurs désignés avant d'apporter des modifications

  • Exécute les modifications approuvées, y compris la copie des ressources (si nécessaire), les mises à jour des autorisations et les AWS KMS principales modifications des politiques

  • Fournit un rapport d'exécution complet avec des informations de restauration si nécessaire

Exécuter cette automatisation (console)

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

Le AutomationAssumeRole paramètre nécessite les actions suivantes :

  • EC2 : DescribeImages

  • EC2 : DescribeSnapshots

  • EC2 : DescribeImageAttribute

  • EC2 : DescribeSnapshotAttribute

  • EC2 : ModifyImageAttribute

  • EC2 : ModifySnapshotAttribute

  • EC2 : CopyImage

  • EC2 : CopySnapshot

  • EC2 : DeregisterImage

  • EC2 : DeleteSnapshot

  • km : DescribeKey

  • km : GetKeyPolicy

  • km : PutKeyPolicy

  • km : CreateGrant

  • km : GenerateDataKey *

  • km : ReEncrypt *

  • kms:Decrypt

  • analyseur d'accès : CheckAccessNotGranted

Instructions

Pour configurer l'automatisation, procédez comme suit :

  1. Accédez AWSSupport-ShareEncryptedAMIOrEBSSnapshotà Systems Manager sous Documents.

  2. Sélectionnez Execute automation (Exécuter l'automatisation).

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole (Facultatif) :

      Le nom de ressource Amazon du AWS Gestion des identités et des accès AWS rôle qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

    • Approbateurs (obligatoire) :

      La liste des principaux AWS authentifiés qui sont en mesure d'approuver ou de rejeter l'action. Le nombre maximum d'approbateurs est de 10. Vous pouvez spécifier des principes en utilisant l'un des formats suivants : nom d'utilisateur, ARN de rôle IAM, ARN de rôle IAM ou ARN de rôle IAM assume.

    • ResourceId (Obligatoire) :

      AMIou Amazon EBS Snapshot ID à partager (par exemple, ami-123456789012 ou snap-123456789012).

    • DestinationAccountId (Obligatoire) :

      L'identifiant de AWS compte à 12 chiffres sur lequel la ressource sera partagée.

    • CustomerManagedKeyId (Facultatif) :

      AWS KMS ID CMK pour rechiffrer la ressource. Obligatoire si la ressource est chiffrée à l'aide d'une clé AWS gérée ou si la copie entre régions DestinationRegion est spécifiée. Pour la copie entre régions, cette clé doit exister dans la région de destination.

    • DestinationRegion (Facultatif) :

      AWS Région dans laquelle la ressource sera copiée. La valeur par défaut est la région actuelle. Si une autre région est spécifiée, la ressource sera copiée dans la région de destination à l'aide de la clé AWS KMS CMK spécifiée dans le CustomerManagedKeyId paramètre.

  4. Sélectionnez Exécuter.

  5. L'automatisation démarre.

  6. Le document exécute les étapes suivantes :

    • ValidateResources:

      Valide l'existence, l'état et la configuration de chiffrement des ressources d'entrée et détermine les modifications requises pour le partage.

    • BranchOnResourcePermission:

      Divise le flux de travail en fonction de la nécessité de vérifier si l'autorisation de partage des ressources doit être vérifiée.

    • CheckResourcePermission:

      Vérifie si le compte cible a requis une autorisation de partage pour la ressource.

    • AnalyzeChanges:

      Analyse les politiques AWS KMS clés et crée un aperçu complet de toutes les modifications requises.

    • BranchOnChanges:

      Divise le flux de travail selon que les modifications doivent être approuvées ou non.

    • GetApproval:

      Attend l'approbation des responsables AWS IAM désignés pour procéder aux modifications requises.

    • ExecuteChanges:

      Exécute les modifications approuvées avec annulation en cas d'échec.

    • Results:

      Génère un rapport d'exécution complet résumant toutes les actions entreprises pendant le processus de chiffrement AMI ou de partage d'instantanés.

  7. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

AWS Gestion des identités et des accès AWS Politique requise pour le compte de destination

Le rôle ou l'utilisateur IAM du compte de destination doit configurer les autorisations IAM suivantes pour lancer des instances Amazon EC2 chiffrées à partir du chiffrement partagé AMI ou pour créer des volumes à partir du snapshot Amazon EBS crypté partagé :


    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:DescribeKey",
                    "kms:ReEncrypt*",
                    "kms:CreateGrant",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "arn:aws:kms:<region>:<account-id>:key/<key-id>"
                ]
            }
        ]
    }

Références

Systems Manager Automation