Sicurezza nelle CloudWatch indagini - Amazon CloudWatch
CloudWatch Autorizzazioni, conservazione e crittografia predefinite per le indaginiAutorizzazioni utente per il tuo gruppo di CloudWatch indagine Autorizzazioni aggiuntive per Database InsightsCome controllare a quali dati CloudWatch hanno accesso le indagini durante le indaginiCrittografia dei dati di indagineInferenza tra regioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza nelle CloudWatch indagini

Questa sezione include argomenti su come CloudWatch le indagini si integrano con le funzionalità AWS di sicurezza e autorizzazioni.

CloudWatch Autorizzazioni, conservazione e crittografia predefinite per le indagini

Quando esegui indagini utilizzando le impostazioni predefinite senza configurazioni aggiuntive nell'account, l'indagine utilizza le autorizzazioni disponibili per la sessione corrente della console e accede ai dati di telemetria utilizzando esclusivamente le autorizzazioni di sola lettura. Non sono richieste policy di configurazione o autorizzazione dei ruoli IAM del gruppo di indagine. Tuttavia, ciò significa che l'accesso dell'indagine ai dati è limitato dalle autorizzazioni dell'utente registrato.

Questa indagine è disponibile solo per lo stesso utente che l'ha avviata. L'indagine è disponibile per la visualizzazione solo per un periodo di 24 ore, dopodiché viene eliminata senza che sia disponibile alcuna opzione di ripristino.

I dati delle indagini sono crittografati quando sono inattivi con una chiave AWS proprietaria. Non puoi visualizzare o gestire le chiavi AWS di proprietà e non puoi usarle per altri scopi o controllarne l'utilizzo. Tuttavia, non devi effettuare alcuna operazione né modificare impostazioni per utilizzare queste chiavi. Per ulteriori informazioni, consulta AWS KMS keys.

Autorizzazioni utente per il tuo gruppo di CloudWatch indagine

AWS ha creato tre policy IAM gestite che puoi utilizzare per i tuoi utenti che lavoreranno con il tuo gruppo CloudWatch investigativo.

  • AIOpsConsoleAdminPolicy— offre a un amministratore la possibilità di impostare CloudWatch indagini sull'account, accedere alle CloudWatch azioni investigative, gestire la propagazione delle identità affidabili e gestire l'integrazione con IAM Identity Center e l'accesso organizzativo.

  • AIOpsOperatorAccess— concede a un utente l'accesso alle azioni di indagine, incluso l'avvio di un'indagine. Concede inoltre le autorizzazioni aggiuntive necessarie per accedere agli eventi di indagine.

  • AIOpsReadOnlyAccess— concede autorizzazioni di sola lettura per CloudWatch indagini e altri servizi correlati.

Ti consigliamo di utilizzare tre principi IAM, garantendo a uno di essi la policy AIOpsConsoleAdminPolicyIAM, a un altro la policy e al terzo la AIOpsOperatorAccesspolicy. AIOpsReadOnlyAccess Questi principali potrebbero essere ruoli IAM (consigliato) o utenti IAM. Quindi i tuoi utenti che si occupano di CloudWatch indagini accederanno utilizzando uno di questi principi.

Autorizzazioni per la generazione di report sugli incidenti

La generazione di report sugli incidenti richiede autorizzazioni aggiuntive per consentire all'IA di raccogliere eventi, fatti e quindi creare report.

Gli utenti AIOpsConsoleAdminPolicypossono generare, modificare e copiare i report sugli incidenti. Per impostazione predefinita, al gruppo investigativo viene assegnato il compito AIOpsAssistantPolicy di consentirgli l'accesso alla risorsa. Tuttavia, non dispone delle autorizzazioni necessarie per generare un rapporto di indagine. Per concedere le autorizzazioni al gruppo di indagine per raccogliere i dati dell'indagine in un rapporto sugli incidenti, è necessario aggiungere una politica simile all'esempio seguente che includa autorizzazioni aggiuntive o aggiungere le azioni aggiuntive come politica in linea al gruppo:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "IncidentReportOperations",
            "Effect": "Allow",
            "Action": [
                "aiops:GetInvestigation",
                "aiops:ListInvestigationEvents",
                "aiops:GetInvestigationEvent",

                "aiops:CreateReport",
                "aiops:UpdateReport", 
                "aiops:GetReport",

                "aiops:PutFact",
                "aiops:ListFacts",
                "aiops:GetFact",
                "aiops:GetFactVersions"
            ],
            "Resource": [
                "arn:aws:aiops:*:*:investigation-group/*"
            ]
        }
    ]
}

La nuova policy gestita AIOpsAssistantIncidentReportPolicy fornisce le autorizzazioni richieste e viene aggiunta automaticamente ai gruppi di indagine creati dopo il 10 ottobre 2025. Per ulteriori informazioni, consulta AIOpsAssistantIncidentReportPolicy.

Autorizzazioni aggiuntive per Database Insights

Per utilizzare le funzionalità di Database Insights durante le indagini, devi collegare la policy AmazonRDSPerformanceInsightsFullAccess gestita al ruolo o all'utente IAM che utilizzi per eseguire le indagini. CloudWatch le indagini richiedono queste autorizzazioni per creare e accedere ai report di analisi delle prestazioni per le istanze di database Amazon RDS.

Per collegare questa policy, utilizza la console IAM per aggiungere la policy gestita AmazonRDSPerformanceInsightsFullAccess al principale dell'indagine. Per ulteriori informazioni su questa politica gestita e sulle relative autorizzazioni, consulta Amazon RDSPerformance InsightsFullAccess.

Come controllare a quali dati CloudWatch hanno accesso le indagini durante le indagini

Quando configuri un gruppo investigativo nel tuo account, specifichi le autorizzazioni di cui dispongono le CloudWatch indagini per accedere alle tue risorse durante le indagini. Puoi farlo assegnando un ruolo IAM al gruppo di indagine.

Per consentire alle CloudWatch indagini di accedere alle risorse ed essere in grado di formulare suggerimenti e ipotesi, il metodo consigliato consiste nell'attribuire il AIOpsAssistantPolicyruolo al gruppo di indagine. Ciò concede al gruppo d'indagine il permesso di analizzare le risorse dell'utente durante le AWS indagini. Per informazioni sui contenuti completi di questa policy, consulta AIOpsAssistantPolicy.

Puoi anche scegliere di assegnare il ruolo del generale AWS ReadOnlyAccessal gruppo investigativo, oltre a ricoprire il ruolo. AIOpsAssistantPolicy La ragione di ciò è che si AWS aggiorna ReadOnlyAccesspiù frequentemente con le autorizzazioni per AWS i nuovi servizi e le azioni rilasciate. AIOpsAssistantPolicyVerrà inoltre aggiornato per nuove azioni, ma non così frequentemente.

Se desideri definire i permessi concessi alle CloudWatch indagini, puoi allegare una policy IAM personalizzata al ruolo IAM del gruppo di indagine anziché allegare la policy. AIOpsAssistantPolicy Per fare ciò, avvia la tua policy personalizzata con il contenuto di AIOpsAssistantPolicye poi rimuovi le autorizzazioni che non desideri concedere alle indagini. CloudWatch Ciò impedirà CloudWatch alle indagini di fornire suggerimenti basati sui AWS servizi o sulle azioni a cui non concedi l'accesso.

Nota

Tutto ciò a cui CloudWatch le indagini possono accedere può essere aggiunto all'indagine e visto dai vostri operatori investigativi. Ti consigliamo di allineare le autorizzazioni per CloudWatch le indagini con le autorizzazioni di cui dispongono gli operatori del tuo gruppo investigativo.

Consentire alle CloudWatch indagini di decrittografare i dati crittografati durante le indagini

Se crittografi i dati in uno dei seguenti servizi con una chiave gestita dal cliente e desideri che CloudWatch le indagini siano in AWS KMS grado di decrittografare i dati di questi servizi e includerli nelle indagini, dovrai allegare una o più politiche IAM aggiuntive al ruolo IAM del gruppo d'indagine.

  • AWS Step Functions

L'istruzione della policy dovrebbe includere una chiave di contesto per il contesto di crittografia per aiutare a definire le autorizzazioni. Ad esempio, la seguente politica consentirebbe CloudWatch le indagini per decrittografare i dati per una macchina a stati Step Functions.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Per ulteriori informazioni su questi tipi di policy e sull'utilizzo di queste chiavi di contesto, consulta kms: ViaService and kms:EncryptionContext: context-key nella AWS Key Management Service Developer Guide e aws: nella IAM User Guide. SourceArn

Crittografia dei dati di indagine

Per la crittografia dei dati delle indagini, AWS offre due opzioni:

  • AWS chiavi di proprietà: per impostazione predefinita, CloudWatch investigations crittografa i dati di indagine inattivi con una chiave AWS proprietaria. Non è possibile visualizzare o gestire le chiavi AWS di proprietà e non è possibile utilizzarle per altri scopi o controllarne l'utilizzo. Tuttavia, non devi effettuare alcuna operazione né modificare impostazioni per utilizzare queste chiavi. Per ulteriori informazioni sulle chiavi AWS possedute, vedi chiavi AWS possedute.

  • Chiavi gestite dal cliente: sono chiavi che crei, possiedi e gestisci tu. Puoi scegliere di utilizzare una chiave gestita dal cliente anziché una chiave AWS proprietaria per i dati delle indagini. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Customer managed keys.

I report sugli incidenti generati dalle indagini utilizzano le stesse impostazioni di crittografia dell'indagine principale. Ciò mantiene un livello di sicurezza coerente per tutti i dati e la documentazione delle indagini

Nota

CloudWatch investigations abilita automaticamente la crittografia inattiva utilizzando AWS gratuitamente chiavi di proprietà. Se si utilizza una chiave gestita dal cliente, vengono applicati dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Key Management Service.

Per ulteriori informazioni su AWS KMS, vedere AWS Key Management Service.

Utilizzo di una chiave gestita dal cliente per il gruppo di indagine

Puoi associare un gruppo di indagine a una chiave gestita dal cliente. In tal modo, tutte le indagini create in quel gruppo utilizzeranno la chiave gestita dal cliente per crittografare i dati a riposo delle indagini.

CloudWatch l'utilizzo delle chiavi gestite dal cliente nelle indagini presenta le seguenti condizioni:

  • CloudWatch investigations supporta solo AWS KMS chiavi di crittografia simmetriche con le specifiche di chiave predefinite e il cui utilizzo SYMMETRIC_DEFAULT è definito come. ENCRYPT_DECRYPT

  • Affinché un utente possa creare o aggiornare un gruppo di indagine con una chiave gestita dal cliente, deve disporre delle autorizzazioni kms:DescribeKey, kms:GenerateDataKey e kms:Decrypt.

  • Affinché un utente possa creare o aggiornare un'indagine in un gruppo di indagine che utilizza una chiave gestita dal cliente, deve disporre delle autorizzazioni kms:GenerateDataKey e kms:Decrypt.

  • Affinché un utente possa visualizzare i dati di indagine in un gruppo di indagine che utilizza una chiave gestita dal cliente, deve disporre dell'autorizzazione kms:Decrypt.

Configurazione delle indagini per l'utilizzo di una chiave AWS KMS gestita dal cliente

Innanzitutto, se non disponi ancora di una chiave simmetrica da utilizzare, crea una nuova chiave con il seguente comando.

aws kms create-key

L'output del comando contiene l'ID e il nome della risorsa Amazon (ARN) della chiave. Ti serviranno nei passaggi successivi di questa sezione. Segue un esempio di output.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Impostazione delle autorizzazioni sulla chiave

Quindi, imposta le autorizzazioni sulla chiave. Per impostazione predefinita, tutte le chiavi sono private AWS KMS . Solo il proprietario della risorsa può utilizzarla per crittografare e decrittare i dati. Tuttavia, il proprietario della risorsa può concedere ad altri utenti e risorse le autorizzazioni per accedere alla chiave. Con questo passaggio, concedi al principale del servizio Operazioni di IA l'autorizzazione a utilizzare la chiave. L'entità del servizio deve trovarsi nella stessa AWS regione in cui è memorizzata la chiave KMS.

Come procedura ottimale, ti consigliamo di limitare l'uso della chiave KMS solo agli AWS account o alle risorse specificati.

Il primo passaggio per impostare le autorizzazioni consiste nel salvare la policy predefinita per la chiave come policy.json. A tale scopo, utilizza il comando seguente. Sostituiscila key-id con l'ID della tua chiave.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Apri il file policy.json in un editor di testo e aggiungi le seguenti sezioni della policy in tale policy. Separa l'istruzione esistente dalle nuove sezioni con una virgola. Queste nuove sezioni utilizzano Condition sezioni per migliorare la sicurezza della AWS KMS chiave. Per ulteriori informazioni, consulta AWS KMS keys and encryption context.

Questa policy fornisce le autorizzazioni ai principali del servizio per i seguenti motivi:

  • Il servizio aiops necessita delle autorizzazioni GenerateDataKey per ottenere la chiave dati e utilizzarla per crittografare i dati mentre sono archiviati in un file a riposo. L'autorizzazione Decrypt è necessaria per decrittografare i dati durante la lettura dall'archivio dati. La decrittografia avviene quando si leggono i dati utilizzando aiops APIs o quando si aggiorna l'indagine o l'evento di indagine. L'operazione di aggiornamento recupera i dati esistenti dopo averli decrittografati, li aggiorna e archivia i dati aggiornati nell'archivio dati dopo la crittografia.

  • Il servizio CloudWatch allarmi può creare indagini o eventi investigativi. Queste operazioni di creazione verificano che il chiamante abbia accesso alla AWS KMS chiave definita per il gruppo di indagine. La dichiarazione politica fornisce le autorizzazioni GenerateDataKey e Decrypt le autorizzazioni al servizio di CloudWatch allarmi per creare indagini per conto dell'utente.

Nota

La seguente politica presuppone che tu segua la raccomandazione di utilizzare tre principi IAM e di concedere a uno di essi la policy AIOpsConsoleAdminPolicyIAM, a un altro la policy e al terzo la AIOpsOperatorAccesspolicy. AIOpsReadOnlyAccess Questi principali potrebbero essere ruoli IAM (consigliato) o utenti IAM. Quindi i tuoi utenti che si occupano di CloudWatch indagini accederanno a uno di questi responsabili.

Per la seguente politica, avrai bisogno ARNs di uno di questi tre principi.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Dopo aver aggiornato la policy, assegnala alla chiave immettendo il seguente comando.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Associazione della chiave al gruppo di indagine

Quando utilizzi la CloudWatch console per creare un gruppo di indagine, puoi scegliere di associare la AWS KMS chiave al gruppo di indagine. Per ulteriori informazioni, consulta Configurazione di un gruppo di indagine.

Puoi anche associare una chiave gestita dal cliente a un gruppo di indagine esistente.

Modifica della configurazione di crittografia

Puoi aggiornare un gruppo di indagine per passare dall'utilizzo di una chiave gestita dal cliente a una chiave di proprietà del servizio. Puoi anche passare dall'utilizzo di una chiave gestita dal cliente all'utilizzo di un'altra. Quando apporti una modifica di questo tipo, la modifica si applica alle nuove indagini create dopo la modifica. Le indagini precedenti restano associate alla configurazione di crittografia precedente. Le indagini attualmente in corso continuano inoltre a utilizzare la chiave originale per i nuovi dati.

Se una chiave utilizzata in precedenza è attiva e Amazon Q può accedervi per le indagini, puoi recuperare le indagini precedenti crittografate con quel metodo, nonché i dati delle indagini in corso che erano crittografati con la chiave precedente. Se elimini una chiave utilizzata in precedenza o ne revochi l'accesso, i dati dell'indagine crittografati con quella chiave non potranno essere recuperati.

Inferenza tra regioni

CloudWatch le indagini utilizzano l'inferenza interregionale per distribuire il traffico tra diverse regioni. AWS Sebbene i dati rimangano archiviati solo nella Regione primaria, quando si utilizza l'inferenza tra Regioni i dati delle indagini potrebbero spostarsi al di fuori della Regione primaria. Tutti i dati verranno trasmessi crittografati attraverso la rete sicura di Amazon.

Per i dettagli su dove avviene la distribuzione dell'inferenza in tutte le Regioni per ciascuna Regione, consulta la tabella seguente.

Geografia delle indagini supportate CloudWatch Regione di indagine Possibili Regioni di inferenza
Stati Uniti d'America (US) Stati Uniti orientali (Virginia settentrionale) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Stati Uniti orientali (Ohio) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Stati Uniti occidentali (Oregon) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Europa (UE) Europa (Francoforte) UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma)
Europa (Irlanda) UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma)
Europa (Spagna) UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma)
Europa (Stoccolma) UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma)
Asia Pacifico (AP) Asia Pacifico (Hong Kong) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Asia Pacifico (Mumbai) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Asia Pacifico (Singapore) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Asia Pacifico (Sydney) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Asia Pacifico (Tokyo) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Asia Pacifico (Malesia) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)
Asia Pacifico (Thailandia) Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon)