AWSSupport-ShareEncryptedAMIOrEBSSnapshot - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-ShareEncryptedAMIOrEBSSnapshot

Descrizione

Questo runbook automatizza il processo di condivisione di messaggi Amazon Machine Image crittografati o istantanee di Amazon Elastic Block Store con altri account Amazon Web Services. Questo runbook gestisce i complessi requisiti per la condivisione tra account di risorse crittografate, comprese le modifiche AWS Key Management Service chiave delle policy e gli aggiornamenti delle autorizzazioni delle risorse.

Questa automazione esegue i passaggi descritti nell'articolo del AWS Security Blog Come condividere messaggi crittografati AMI tra account per avviare istanze crittografate di Amazon Elastic Compute Cloud.

Considerazioni importanti

  • Questo runbook modificherà le tue risorse: il runbook aggiungerà autorizzazioni multiaccount alla tua politica AWS KMS Customer Managed Key (CMK) e concederà le autorizzazioni di avvio o AMI le autorizzazioni di creazione di volumi per lo snapshot di Amazon EBS all'account di destinazione.

  • Potrebbero essere applicati costi aggiuntivi: quando si copiano risorse (regione diversa o crittografia AWS a chiave gestita), verranno sostenuti costi aggiuntivi per lo snapshot nuovo o per AMI Amazon EBS e per qualsiasi trasferimento di dati tra regioni.

  • Verifica l'ID dell'account di destinazione: ricontrolla l'ID dell'account di destinazione poiché questo runbook non può convalidare l'esistenza dell'account.

  • Ripristino automatico con verifica manuale: questo runbook tenta di ripristinare automaticamente le modifiche in caso di errore. Tuttavia, se il rollback stesso fallisce, verifica che non siano rimaste copie AMI /Snapshot aggiuntive nel tuo account, che LaunchPermission/CreateVolumePermission gli attributi delle risorse non includano account non intenzionali e che la politica AWS KMS chiave sia nello stato originale.

Come funziona?

Il runbook esegue i seguenti passaggi di alto livello:

  • Convalida l'esistenza, lo stato e la configurazione della crittografia delle risorse di input

  • Verifica le attuali autorizzazioni di condivisione delle risorse con l'account di destinazione

  • Analizza le politiche AWS KMS chiave e crea un'anteprima completa di tutte le modifiche richieste

  • Richiede l'approvazione dei responsabili designati prima di apportare modifiche

  • Esegue le modifiche approvate, tra cui la copia delle risorse (se necessario), gli aggiornamenti delle autorizzazioni e AWS KMS le modifiche chiave delle politiche

  • Fornisce un rapporto di esecuzione completo con informazioni sul rollback, se necessario

Esegui questa automazione (console)

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

Il AutomationAssumeRole parametro richiede le seguenti azioni:

  • ec2: DescribeImages

  • ec2: DescribeSnapshots

  • ec2: DescribeImageAttribute

  • ec2: DescribeSnapshotAttribute

  • ec2: ModifyImageAttribute

  • ec2: ModifySnapshotAttribute

  • ec2: CopyImage

  • ec2: CopySnapshot

  • ec2: DeregisterImage

  • ec2: DeleteSnapshot

  • kms:DescribeKey

  • kms:GetKeyPolicy

  • kms:PutKeyPolicy

  • kms:CreateGrant

  • km: * GenerateDataKey

  • km: * ReEncrypt

  • kms:Decrypt

  • analizzatore di accesso: CheckAccessNotGranted

Istruzioni

Segui questi passaggi per configurare l'automazione:

  1. Accedere AWSSupport-ShareEncryptedAMIOrEBSSnapshota Systems Manager nella sezione Documenti.

  2. Seleziona Execute automation (Esegui automazione).

  3. Per i parametri di input, immettete quanto segue:

    • AutomationAssumeRole (Facoltativo):

      L'Amazon Resource Name del AWS AWS Identity and Access Management ruolo che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

    • Approvatori (obbligatorio):

      L'elenco dei responsabili AWS autenticati che sono in grado di approvare o rifiutare l'azione. Il numero massimo di approvatori è 10. Puoi specificare i principali utilizzando uno dei seguenti formati: nome utente, ARN utente, ruolo IAM ARN o IAM assume il ruolo ARN.

    • ResourceId (Obbligatorio):

      AMIo Amazon EBS Snapshot ID da condividere (ad esempio ami-123456789012 o snap-123456789012).

    • DestinationAccountId (Obbligatorio):

      L'ID dell' AWS account a 12 cifre in cui verrà condivisa la risorsa.

    • CustomerManagedKeyId (Facoltativo):

      AWS KMS ID CMK per crittografare nuovamente la risorsa. Obbligatorio se la risorsa è crittografata con chiave AWS gestita o quando DestinationRegion è specificata per la copia tra regioni. Per la copia tra regioni, questa chiave deve esistere nella regione di destinazione.

    • DestinationRegion (Facoltativo):

      La AWS regione in cui verrà copiata la risorsa. Il valore predefinito è la regione corrente. Se viene specificata una regione diversa, la risorsa verrà copiata nella regione di destinazione utilizzando il AWS KMS CMK specificato nel CustomerManagedKeyId parametro.

  4. Seleziona Esegui.

  5. L'automazione viene avviata.

  6. Il documento esegue le seguenti operazioni:

    • ValidateResources:

      Convalida l'esistenza, lo stato e la configurazione della crittografia delle risorse di input e determina le modifiche necessarie per la condivisione.

    • BranchOnResourcePermission:

      Suddivide il flusso di lavoro in base alla necessità o meno di verificare l'autorizzazione alla condivisione delle risorse.

    • CheckResourcePermission:

      Verifica se l'account di destinazione ha richiesto l'autorizzazione di condivisione per la risorsa.

    • AnalyzeChanges:

      Analizza le politiche AWS KMS chiave e crea un'anteprima completa di tutte le modifiche richieste.

    • BranchOnChanges:

      Suddivide il flusso di lavoro a seconda che le modifiche richiedano l'approvazione.

    • GetApproval:

      Attende l'approvazione dei responsabili AWS IAM designati per procedere con le modifiche richieste.

    • ExecuteChanges:

      Esegue le modifiche approvate con rollback in caso di errore.

    • Results:

      Genera un rapporto di esecuzione completo che riassume tutte le azioni intraprese durante il processo crittografato AMI o di condivisione delle istantanee.

  7. Al termine, consulta la sezione Output per i risultati dettagliati dell'esecuzione.

AWS AWS Identity and Access Management Politica richiesta per l'account di destinazione

Il ruolo o l'utente IAM nell'account di destinazione deve configurare le seguenti autorizzazioni IAM per avviare istanze Amazon EC2 crittografate da istanze crittografate condivise o per creare volumi dallo snapshot AMI crittografato condiviso di Amazon EBS:


    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:DescribeKey",
                    "kms:ReEncrypt*",
                    "kms:CreateGrant",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "arn:aws:kms:<region>:<account-id>:key/<key-id>"
                ]
            }
        ]
    }

Riferimenti

Systems Manager Automation