По умолчанию Amazon X-Ray шифрует данные трассировки с помощью управляемого AWS ключа с именем «aws/Xray». Чтобы получить полный контроль над управлением ключами шифрования AWS X-Ray, вам необходимо создать собственный главный ключ клиента KMS (CMK). Сервис Amazon KMS позволяет легко чередовать, отключать и проверять ключ шифрования CMK, используемый для ваших рентгеновских трассировок.
- Войдите в Консоль управления AWS.
2. Перейдите на панель инструментов X-Ray по адресу https://console.aws.amazon.com/xray/home.
3. На левой навигационной панели в разделе Конфигурация выберите Шифрование, чтобы открыть страницу конфигурации шифрования, доступную для службы X-Ray.
4. На странице Конфигурация шифрования проверьте существующий набор настроек для рентгеновских трассировок. Если установлен флажок Использовать шифрование по умолчанию вместо флажка Использовать главный ключ клиента, сервис Amazon X-Ray шифрует данные трассировки с помощью управляемого ключа AWS, созданного по умолчанию Amazon Web Services в выбранном регионе.
5. Измените регион AWS на панели навигации и повторите процесс аудита для других регионов.
Использование интерфейса командной строки AWS
- Запустите команду get-encryption-config (OSX/Linux/UNIX), используя настраиваемые фильтры запросов, чтобы описать идентификатор главного ключа клиента KMS (CMK), используемого для шифрования (если применимо):
aws xray get-encryption-config --region us-east-1 --query 'EncryptionConfig.KeyId'
2. Выходные данные команды должны возвращать запрошенный идентификатор ключа KMS или null, если ключ CMK не используется для шифрования данных рентгеновской трассировки в выбранном регионе AWS:
null
Если выходные данные команды get-encryption-config возвращают значение null, как показано в приведенном выше примере, Amazon X-Ray не использует главный ключ клиента KMS (CMK) для шифрования. данные трассировки в выбранном регионе, вместо этого служба использует управляемый ключ по умолчанию для шифрования.
3. Измените регион AWS, обновив значение параметра команды —region и повторив шаги 1 и 2, чтобы выполнить процесс аудита для других регионов.
Разрешение
Чтобы настроить AWS X-Ray для шифрования трассировки и связанных данных в состоянии покоя с помощью собственного главного ключа клиента AWS KMS (CMK), выполните следующие действия.
Использование интерфейса командной строки AWS
- Перед созданием главного ключа клиента AWS KMS (CMK) необходимо определить политику, которая позволит выбранным пользователям и/или ролям IAM управлять новым ключом CMK и шифровать/дешифровать данные рентгеновской трассировки с помощью API KMS. Создайте новый документ политики, назовите его xray-kms-cmk-policy.json и вставьте следующее содержимое (замените выделенные детали, т. е. ARN для пользователей и/или ролей IAM, своими собственными). подробности):
{
"Version": "2012-10-17",
"Id": "aws-xray-cmk-policy",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Grant access to CMK manager",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/cc-xray-manager"
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow the use of the CMK",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/cc-xray-admin"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/cc-xray-admin"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
2. Запустите команду create-key (OSX/Linux/UNIX), используя в качестве требуемой команды имя файла документа политики, созданного на предыдущем шаге (например, Xray-kms-cmk-policy.json). параметр для создания нового KMS CMK:
aws kms create-key --region us-east-1 --description 'AWS KMS CMK to encrypt X-Ray trace data' --policy file://xray-kms-cmk-policy.json
3. Выходные данные команды должны вернуть новые метаданные главного ключа клиента KMS. Скопируйте CMK ARN (выделено), так как этот идентификатор потребуется позже, когда вам нужно указать ключ, необходимый для шифрования данных трассировки:
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "aaaabbbb-cccc-dddd-eeee-aaaabbbbcccc",
"Description": "AWS KMS CMK to encrypt X-Ray trace data",
"Enabled": true,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1517235833.150,
"Arn": "arn:aws:kms:us-east-1:123456789012:key/aaaabbbb-cccc-dddd-eeee-aaaabbbbcccc",
"AWSAccountId": "123456789012"
}
}
4. Запустите команду create-alias (OSX/Linux/UNIX), используя ключ ARN, возвращенный на предыдущем шаге, в качестве значения для атрибута "Arn", чтобы прикрепить псевдоним. на новый ЦМК. Псевдоним должен начинаться с префикса "alias/" (команда не выводит результат):
aws kms create-alias --region us-east-1 --alias-name alias/xray-trace-data-cmk --target-key-id arn:aws:kms:us-east-1:123456789012:key/aaaabbbb-cccc-dddd-eeee-aaaabbbbcccc
5. Запустите команду put-encryption-config (OSX/Linux/UNIX), используя ARN главного ключа клиента (CMK), созданного ранее в качестве параметра команды, чтобы обновить конфигурацию шифрования для Amazon X- Сервис Ray в выбранном регионе AWS:
aws xray put-encryption-config --region us-east-1 --type KMS --key-id arn:aws:kms:us-east-1:123456789012:key/aaaabbbb-cccc-dddd-eeee-aaaabbbbcccc
6. Выходные данные команды должны возвращать метаданные конфигурации шифрования для AWS X-Ray:
{
"EncryptionConfig": {
"Status": "UPDATING",
"KeyId": "arn:aws:kms:us-east-1:123456789012:key/aaaabbbb-cccc-dddd-eeee-aaaabbbbcccc",
"Type": "KMS"
}
}
07Измените регион AWS, обновив значение параметра команды — region, и повторите весь процесс исправления/разрешения для других регионов.
Рекомендации
- Документация AWS
- Что такое AWS X-Ray?
- Настройка параметров шифрования в консоли AWS X-Ray
- Концепции службы управления ключами AWS
👋 Присоединяйтесь к нам сегодня!!
️Подпишитесь на нас в LinkedIn, Twitter, Facebook и Instagram.
Если этот пост был полезен, пожалуйста, нажмите кнопку аплодисментов 👏 несколько раз, чтобы выразить свою поддержку! ⬇
