înregistrare Logare
Puncte:0
avatar Server

Cum arată o politică bună a cheii KMS pentru AWS Landing Zone (Turn de control)?

drapel ml
Gomibushi

Recent, am „rupt” Control Tower adăugând manual o cheie KMS la subiectele SNS Control Tower. Acest lucru nu a funcționat foarte bine când Control Tower a făcut o verificare sau o actualizare a stivelor. A trebuit să scot cheia și să împing câteva stive pentru a-l obține într-o stare sănătoasă, dar acum subiectele SNS sunt necriptate și Security Hub este nemulțumit.

Anterior, am implementat o cheie KMS pentru utilizare pe subiecte SNS în toate conturile organizației (unul din fiecare), dar acum înțeleg că Control Tower poate face acest lucru pentru mine dacă îi dau o cheie la crearea sau modificarea Landing Zone. Din câte am înțeles, această cheie trebuie să fie o singură cheie în contul de management și cu o politică care să permită cel puțin serviciile Config și CloudTrail, dar este disponibilă și pentru utilizare în toate conturile mele.

Dacă cineva ar putea să-mi ofere un șablon despre cum ar arăta, aș fi foarte recunoscător. Te rog si multumesc. :)

524
0 + 0
Tim avatar
drapel gp
Tim
Nu este chiar clar care este întrebarea ta. Îl puteți edita pentru a elimina detaliile străine și pentru a vă concentra pe starea și problema actuală? Clarificări precum explicarea a ceea ce este o „cheie SNS” ar fi utile, s-ar putea să vă referiți la o cheie gestionată de client KMS destinată utilizării SNS, de exemplu.
0
Răspunde
drapel ml
Gomibushi
@tim Îmi pare rău! A fost o greșeală de tipar/scurtizare. De asemenea: am experimentat puțin cu o soluție și cred că am prins-o. Voi răspunde la întrebarea mea când voi avea timp să o verific.
0
Răspunde
Massimo avatar
drapel ng
Massimo
Nu încetez să fiu uimit de cât de obscur poate fi AWS pentru un non-utilizator AWS.
0
Răspunde
Puncte:0
avatar Server
drapel jp
Chris

Am reușit să fac acest lucru să funcționeze printr-o combinație a răspunsului de mai sus, plus permițând următoarelor roluri AWS Service să utilizeze cheia:

„arn:aws:iam::112211221122:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations”,
„arn:aws:iam::112211221122:rol/service-role/AWSControlTowerStackSetRole”,
„arn:aws:iam::112211221122:rol/service-role/AWSControlTowerAdmin”,
„arn:aws:iam::112211221122:rol/service-role/AWSControlTowerCloudTrailRole”

Nu știu dacă toate acestea sunt necesare sau nu, am ghicit.

0 + 0
Puncte:0
avatar Server
drapel ml
Gomibushi

Nu am putut să renunț la asta, așa că am trecut la testare și am găsit că următoarea este probabil o soluție bună.

Puncte cheie pe care le-am învățat:

  • Se pare că serviciile au nevoie doar de permisiuni „kms:GenerateDataKey”.
  • Folosiți condiția „StringLike”, nu „StringEquals” dacă doriți *-wildcard

Acest documentație a fost destul de util. Nu am reușit să elaborez o politică care să folosească „aws:SourceArn” sau „aws:SourceAccount”, dar am reușit cu „kms:EncryptionContext:context”.

Iată politica mea, numărul de cont a fost redactat:

{
    „Versiune”: „2012-10-17”,
    „Id”: „SNS-KMS-Key”,
    "Afirmație": [
        {
            „Sid”: „Administrator cheie în contul de administrare”,
            „Efect”: „Permite”,
            „Principal”: {
                „AWS”: „arn:aws:iam::112211221122:root”
            },
            „Acțiune”: „kms:*”,
            „Resurse”: „*”
        },
        {
            „Sid”: „Permisiuni pentru serviciile AWS în toate conturile”,
            „Efect”: „Permite”,
            „Principal”: {
                „Serviciul”: [
                    „config.amazonaws.com”,
                    „cloudtrail.amazonaws.com”
                ]
            },
            "Acțiune": [
                „kms:GenerateDataKey”,
                "kms:Encrypt",
                "kms:Decriptare",
                "kms:DescribeKey",
                „kms:ReEncrypt*”
            ],
            „Resurse”: „*”
        }
    ]
}

Sper că cineva va găsi acest lucru util. Vă rugăm să rețineți că bănuiesc că ați putea și ar trebui să utilizați condiții pentru a limita ultima declarație. Nu am reușit să funcționeze.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.