Điểm:0

Server

Chính sách khóa KMS tốt cho AWS Landing Zone (Tháp điều khiển) trông như thế nào?

Gomibushi

11:28, 26/03/2023

Gần đây tôi đã "phá vỡ" Tháp điều khiển bằng cách thêm thủ công khóa KMS vào chủ đề SNS của Tháp điều khiển. Điều này không hoạt động tốt khi Control Tower thực hiện kiểm tra hoặc nâng cấp trên ngăn xếp. Tôi đã phải xóa khóa và di chuyển một số ngăn xếp để khóa ở trạng thái bình thường, nhưng hiện tại các chủ đề SNS không được mã hóa và Trung tâm bảo mật không hài lòng.

Trước đây tôi đã triển khai một khóa KMS để sử dụng trên các chủ đề SNS cho tất cả các tài khoản tổ chức (mỗi tài khoản một), nhưng bây giờ tôi hiểu rằng Control Tower có thể làm điều này cho tôi nếu tôi cung cấp cho nó một khóa khi tạo hoặc sửa đổi Landing Zone. Theo những gì tôi hiểu thì khóa này phải là một khóa duy nhất trong tài khoản quản lý và có chính sách cho phép ít nhất các dịch vụ Config và CloudTrail, nhưng cũng có sẵn để sử dụng trong tất cả các tài khoản của tôi.

Nếu ai đó có thể vui lòng cung cấp cho tôi một mẫu về giao diện của nó, tôi sẽ rất biết ơn. Xin vui lòng và cảm ơn bạn. :)

524

0 + 0

amazon-web-services

Tim

20:06, 26/03/2023

Nó không thực sự rõ ràng câu hỏi của bạn là gì. Bạn có thể chỉnh sửa nó để loại bỏ chi tiết không liên quan và tập trung vào trạng thái và vấn đề hiện tại không? Ví dụ: làm rõ, chẳng hạn như giải thích "khóa SNS" là gì, bạn có thể có nghĩa là khóa do khách hàng KMS quản lý dành cho mục đích sử dụng SNS.

Hồi đáp

Gomibushi

20:50, 28/03/2023

@tim Xin lỗi! Đó là lỗi đánh máy/viết tắt. Ngoài ra: Tôi đã thử nghiệm một chút với giải pháp và tôi nghĩ mình đã hiểu. Tôi sẽ trả lời câu hỏi của riêng mình khi tôi có thời gian để xác minh nó.

Hồi đáp

Massimo

21:45, 09/06/2023

Tôi không bao giờ hết ngạc nhiên về mức độ mơ hồ của AWS đối với người không sử dụng AWS.

Hồi đáp

Điểm:0

Server

Gomibushi

11:50, 29/03/2023

Tôi không thể để điều này xảy ra nên tôi đã thử nghiệm và thấy rằng đây có thể là một giải pháp tốt.

Những điểm chính tôi đã học được:

Có vẻ như các dịch vụ chỉ cần quyền "kms:GenerateDataKey".
Sử dụng điều kiện "StringLike", không phải "StringEquals" nếu bạn muốn ký tự đại diện *

Cái này tài liệu là khá hữu ích. Tôi đã không thành công trong việc xây dựng chính sách sử dụng "aws:SourceArn" hoặc "aws:SourceAccount", nhưng tôi đã thành công với "kms:EncryptionContext:context".

Đây là chính sách của tôi, số tài khoản đã bị xóa:

{
    "Phiên bản": "17-10-2012",
    "Id": "SNS-KMS-Key",
    "Bản tường trình": [
        {
            "Sid": "Quản trị viên chính trong tài khoản mgmt",
            "Hiệu ứng": "Cho phép",
            "Hiệu trưởng": {
                "AWS": "arn:aws:iam::112211221122:root"
            },
            "Hành động": "km:*",
            "Nguồn": "*"
        },
        {
            "Sid": "Quyền dịch vụ AWS trong tất cả các tài khoản",
            "Hiệu ứng": "Cho phép",
            "Hiệu trưởng": {
                "Dịch vụ": [
                    "config.amazonaws.com",
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Hoạt động": [
                "kms:GenerateDataKey",
                "kms:Mã hóa",
                "kms:Giải mã",
                "kms:DescribeKey",
                "kms:Mã hóa lại*"
            ],
            "Nguồn": "*"
        }
    ]
}

Tôi hi vọng ai đó thấy nó hữu ích. Xin lưu ý rằng tôi nghi ngờ rằng bạn có thể và có thể nên sử dụng các điều kiện để giới hạn câu lệnh cuối cùng. Bản thân tôi đã không nhận được điều đó để làm việc.

0 + 0

Điểm:0

Server

Chris

20:57, 09/06/2023

Tôi đã có thể làm cho điều này hoạt động thông qua sự kết hợp của câu trả lời ở trên, cộng với việc cho phép các vai trò Dịch vụ AWS sau sử dụng khóa:

"arn:aws:iam::112211221122:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations",
"arn:aws:iam::112211221122:role/service-role/AWSControlTowerStackSetRole",
"arn:aws:iam::112211221122:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::112211221122:role/service-role/AWSControlTowerCloudTrailRole"

Tôi không biết liệu tất cả những thứ này có cần thiết hay không, tôi chỉ đoán thôi.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How does a good KMS key policy for AWS Landing Zone (Control Tower) look?

TH: นโยบายคีย์ KMS ที่ดีสำหรับ AWS Landing Zone (Control Tower) มีลักษณะอย่างไร

RO: Cum arată o politică bună a cheii KMS pentru AWS Landing Zone (Turn de control)?

RU: Как выглядит хорошая политика ключей KMS для AWS Landing Zone (Control Tower)?

VI: Chính sách khóa KMS tốt cho AWS Landing Zone (Tháp điều khiển) trông như thế nào?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.