Điểm:0

Chính sách khóa KMS tốt cho AWS Landing Zone (Tháp điều khiển) trông như thế nào?

lá cờ ml

Gần đây tôi đã "phá vỡ" Tháp điều khiển bằng cách thêm thủ công khóa KMS vào chủ đề SNS của Tháp điều khiển. Điều này không hoạt động tốt khi Control Tower thực hiện kiểm tra hoặc nâng cấp trên ngăn xếp. Tôi đã phải xóa khóa và di chuyển một số ngăn xếp để khóa ở trạng thái bình thường, nhưng hiện tại các chủ đề SNS không được mã hóa và Trung tâm bảo mật không hài lòng.

Trước đây tôi đã triển khai một khóa KMS để sử dụng trên các chủ đề SNS cho tất cả các tài khoản tổ chức (mỗi tài khoản một), nhưng bây giờ tôi hiểu rằng Control Tower có thể làm điều này cho tôi nếu tôi cung cấp cho nó một khóa khi tạo hoặc sửa đổi Landing Zone. Theo những gì tôi hiểu thì khóa này phải là một khóa duy nhất trong tài khoản quản lý và có chính sách cho phép ít nhất các dịch vụ Config và CloudTrail, nhưng cũng có sẵn để sử dụng trong tất cả các tài khoản của tôi.

Nếu ai đó có thể vui lòng cung cấp cho tôi một mẫu về giao diện của nó, tôi sẽ rất biết ơn. Xin vui lòng và cảm ơn bạn. :)

Tim avatar
lá cờ gp
Tim
Nó không thực sự rõ ràng câu hỏi của bạn là gì. Bạn có thể chỉnh sửa nó để loại bỏ chi tiết không liên quan và tập trung vào trạng thái và vấn đề hiện tại không? Ví dụ: làm rõ, chẳng hạn như giải thích "khóa SNS" là gì, bạn có thể có nghĩa là khóa do khách hàng KMS quản lý dành cho mục đích sử dụng SNS.
lá cờ ml
@tim Xin lỗi! Đó là lỗi đánh máy/viết tắt. Ngoài ra: Tôi đã thử nghiệm một chút với giải pháp và tôi nghĩ mình đã hiểu. Tôi sẽ trả lời câu hỏi của riêng mình khi tôi có thời gian để xác minh nó.
Massimo avatar
lá cờ ng
Tôi không bao giờ hết ngạc nhiên về mức độ mơ hồ của AWS đối với người không sử dụng AWS.
Điểm:0
lá cờ ml

Tôi không thể để điều này xảy ra nên tôi đã thử nghiệm và thấy rằng đây có thể là một giải pháp tốt.

Những điểm chính tôi đã học được:

  • Có vẻ như các dịch vụ chỉ cần quyền "kms:GenerateDataKey".
  • Sử dụng điều kiện "StringLike", không phải "StringEquals" nếu bạn muốn ký tự đại diện *

Cái này tài liệu là khá hữu ích. Tôi đã không thành công trong việc xây dựng chính sách sử dụng "aws:SourceArn" hoặc "aws:SourceAccount", nhưng tôi đã thành công với "kms:EncryptionContext:context".

Đây là chính sách của tôi, số tài khoản đã bị xóa:

{
    "Phiên bản": "17-10-2012",
    "Id": "SNS-KMS-Key",
    "Bản tường trình": [
        {
            "Sid": "Quản trị viên chính trong tài khoản mgmt",
            "Hiệu ứng": "Cho phép",
            "Hiệu trưởng": {
                "AWS": "arn:aws:iam::112211221122:root"
            },
            "Hành động": "km:*",
            "Nguồn": "*"
        },
        {
            "Sid": "Quyền dịch vụ AWS trong tất cả các tài khoản",
            "Hiệu ứng": "Cho phép",
            "Hiệu trưởng": {
                "Dịch vụ": [
                    "config.amazonaws.com",
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Hoạt động": [
                "kms:GenerateDataKey",
                "kms:Mã hóa",
                "kms:Giải mã",
                "kms:DescribeKey",
                "kms:Mã hóa lại*"
            ],
            "Nguồn": "*"
        }
    ]
}

Tôi hi vọng ai đó thấy nó hữu ích. Xin lưu ý rằng tôi nghi ngờ rằng bạn có thể và có thể nên sử dụng các điều kiện để giới hạn câu lệnh cuối cùng. Bản thân tôi đã không nhận được điều đó để làm việc.

Điểm:0
lá cờ jp

Tôi đã có thể làm cho điều này hoạt động thông qua sự kết hợp của câu trả lời ở trên, cộng với việc cho phép các vai trò Dịch vụ AWS sau sử dụng khóa:

"arn:aws:iam::112211221122:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations",
"arn:aws:iam::112211221122:role/service-role/AWSControlTowerStackSetRole",
"arn:aws:iam::112211221122:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::112211221122:role/service-role/AWSControlTowerCloudTrailRole"

Tôi không biết liệu tất cả những thứ này có cần thiết hay không, tôi chỉ đoán thôi.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.