AWS AppConfig 中的安全性
AWS 十分重视云安全性。作为 AWS 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。
安全性是 AWS 和您的共同责任。责任共担模式
-
云的安全性 – AWS 负责保护在 AWS Cloud 中运行 AWS 服务的基础设施。AWS 还向您提供可安全使用的服务。第三方审核员定期测试和验证我们的安全性的有效性,作为 AWS Compliance Programs
的一部分。要了解适用于 AWS Systems Manager 的合规性计划,请参阅合规性计划范围内的 AWS 服务 。 -
云中的安全性——您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
AWS AppConfig 是 AWS Systems Manager 的功能。了解如何在使用 AWS AppConfig 时应用责任共担模式,请参阅 Security in AWS Systems Manager。本节介绍了如何配置 Systems Manager 以实现 AWS AppConfig 的安全性和合规性目标。
实施最低权限访问
作为安全最佳实践,应向身份授予其在特定条件下对特定资源执行特定操作所需的最低权限。AWS AppConfig代理提供两种功能,使代理能够访问实例或容器的文件系统:备份 和写入磁盘。如果启用这些功能,请验证只有 AWS AppConfig 代理才有权写入到文件系统上的指定配置文件。还要验证只有从这些配置文件中进行读取所需的进程才能读取这些配置文件。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。
有关实施最低权限访问的更多信息,请参阅《AWS Well-Architected Tool 用户指南》中的 SEC03-BP02 Grant least privilege access。有关本节提到的 AWS AppConfig 代理功能的更多信息,请参阅使用清单启用其它检索功能。
AWS AppConfig 中的静态数据加密
AWS AppConfig 默认提供加密,使用 AWS 拥有的密钥 保护客户静态数据。
AWS 拥有的密钥— AWS AppConfig 默认使用这些密钥自动加密由服务部署并托管在 AWS AppConfig 数据存储中的数据。您无法查看、管理或使用 AWS 拥有的密钥,或者审查其使用情况。但是您无需执行任何工作或更改任何计划即可保护用于加密数据的密钥。有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的 AWS 拥有的密钥。
虽然您无法禁用此加密层或选择其他加密类型,但您可以指定在保存 AWS AppConfig 数据存储中托管的配置数据以及部署配置数据时使用的客户托管密钥。
客户托管密钥 — AWS AppConfig 支持使用您创建、拥有和管理的对称客户托管密钥,在现有 AWS 拥有的密钥 密钥的基础上添加第二层加密。由于您可以完全控制这一层加密,因此可以执行以下任务:
-
建立和维护密钥政策和授权
-
建立和维护 IAM 策略
-
启用和禁用密钥政策
-
轮换加密材料
-
添加标签
-
创建密钥别名
-
计划删除密钥
有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的客户托管密钥。
AWS AppConfig 支持客户托管密钥
AWS AppConfig 为配置数据的客户托管密钥加密提供支持。对于保存到AWS AppConfig托管数据存储的配置版本,客户可以在相应的配置文件上设置 KmsKeyIdentifier
。每次使用 CreateHostedConfigurationVersion
API 操作创建新版本的配置数据时,AWS AppConfig 都会从 KmsKeyIdentifier
中生成一个 AWS KMS 数据密钥,以便在存储数据之前对其进行加密。之后在 GetHostedConfigurationVersion
或 StartDeployment
API 操作期间访问数据时,AWS AppConfig 会使用有关生成的数据密钥的信息解密配置数据。
AWS AppConfig还支持对已部署的配置数据进行客户托管密钥加密。要加密配置数据,客户可以为其部署提供 KmsKeyIdentifier
。AWS AppConfig 使用此 KmsKeyIdentifier
生成 AWS KMS 数据密钥,以加密 StartDeployment
API 操作中的数据。
AWS AppConfig 加密访问
创建客户托管密钥时,请使用以下密钥政策来确保密钥可以使用。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account_ID
:role/role_name
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" } ]
要使用客户托管密钥加密托管配置数据,CreateHostedConfigurationVersion
的身份调用需要以下可分配给用户、群组或角色的策略声明:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:GenerateDataKey, "Resource": "arn:aws:kms:
Region
:account_ID
:key_ID
" } ] }
如果您使用的是 Secrets Manager 密钥或使用客户托管密钥加密的任何其他配置数据,则您的 retrievalRoleArn
将需要 kms:Decrypt
来解密和检索数据。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:
Region
:account_ID
:configuration source
/object
" } ] }
调用 AWS AppConfig StartDeployment API 操作时,StartDeployment
的身份调用需要以下可分配给用户、群组或角色的 IAM 策略:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey*" ], "Resource": "arn:aws:kms:
Region
:account_ID
:key_ID
" } ] }
调用 AWS AppConfig GetLatestConfiguration API 操作时,GetLatestConfiguration
的身份调用需要以下可分配给用户、群组或角色的 IAM 策略:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:Decrypt, "Resource": "arn:aws:kms:
Region
:account_ID
:key_ID
" } ] }
加密上下文
加密上下文是一组可选的键值对,包含有关数据的其他上下文信息。
AWS KMS 将加密上下文用作其他经过身份验证的数据,来支持经过身份验证的加密。在请求中包含加密上下文以加密数据时,AWS KMS 将加密上下文绑定到加密的数据。要解密数据,您必须在请求中传入相同的加密上下文。
AWS AppConfig 加密上下文:AWS AppConfig 在所有 AWS KMS 加密操作中使用加密上下文来处理加密托管配置数据和部署。上下文包含一个与数据类型对应的键和一个用于标识特定数据项的值。
为 AWS 监控您的加密密钥
当您将 AWS KMS 客户托管密钥与 AWS AppConfig 一起使用时,您可以使用 AWS CloudTrail 或 Amazon CloudWatch Logs 来跟踪 AWS AppConfig 发送到 AWS KMS 的请求。
以下示例是 Decrypt
的 CloudTrail 事件,用于监控 AWS AppConfig 调用的 AWS KMS 操作,以访问由客户托管密钥加密的数据:
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "appconfig.amazonaws.com" }, "eventTime": "2023-01-03T02:22:28z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "
Region
", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "aws:appconfig:deployment:arn": "arn:aws:appconfig:Region
:account_ID
:application/application_ID
/environment/environment_ID
/deployment/deployment_ID
" }, "keyId": "arn:aws:kms:Region
:account_ID
:key/key_ID
", "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "account_ID
", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:Region
:account_ID
:key_ID
" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "account_ID
", "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088" }
使用接口端点 (AWS PrivateLink) 访问 AWS AppConfig
您可以使用 AWS PrivateLink 在您的 VPC 和 AWS AppConfig 之间创建私有连接。您可以像在 VPC 中一样访问 AWS AppConfig,而无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 AWS AppConfig。
您可以通过创建由 AWS PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 AWS AppConfig 的流量的入口点。
有关更多信息,请参阅《AWS PrivateLink 指南》中的通过 AWS PrivateLink 访问 AWS 服务。
AWS AppConfig 的注意事项
在为 AWS AppConfig 设置接口端点之前,请首先查看《AWS PrivateLink 指南》中的注意事项。
AWS AppConfig 支持通过接口端点调用 appconfig
和 appconfigdata
服务。
为 AWS AppConfig 创建接口端点
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS AppConfig 创建接口端点。有关更多信息,请参阅《AWS PrivateLink 指南》中的创建接口端点。
使用以下服务名称为 AWS AppConfig 创建接口端点:
com.amazonaws.
region
.appconfig
com.amazonaws.
region
.appconfigdata
如果为接口端点启用私有 DNS,则可使用其默认区域 DNS 名称向 AWS AppConfig 发出 API 请求。例如,appconfig.us-east-1.amazonaws.com
和 appconfigdata.us-east-1.amazonaws.com
。
为 VPC 端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认端点策略允许通过接口端点完全访问 AWS AppConfig API。要控制允许从 VPC 访问 AWS AppConfig 的权限,请将自定义端点策略附加到接口端点。
端点策略指定以下信息:
-
可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《AWS PrivateLink 指南》中的使用端点策略控制对服务的访问权限。
示例:AWS AppConfig 操作的 VPC 端点策略
以下是自定义端点策略的一个示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 AWS AppConfig 操作的访问权限。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "
appconfig
:CreateApplication
", "appconfig
:CreateEnvironment
", "appconfig
:CreateConfigurationProfile
", "appconfig
:StartDeployment
", "appconfig
:GetLatestConfiguration
" "appconfig
:StartConfigurationSession
" ], "Resource":"*" } ] }
Secrets Manager 密钥轮换
本节介绍了有关 AWS AppConfig 与 Secrets Manager 集成的重要安全信息。有关 Secrets Manager 的更多信息,请参阅 AWS Secrets Manager 用户指南中的什么是 AWS Secrets Manager?。
设置 AWS AppConfig 部署的 Secrets Manager 密钥的自动轮换
Rotation 是定期更新存储在 Secrets Manager 中的密钥的过程。当轮换密钥时,会同时更新密钥和数据库或服务中的凭据。您可以通过使用 AWS Lambda 函数在 Secrets Manager 中配置自动密钥轮换,从而更新密钥和数据库。有关更多信息,请参阅 AWS Secrets Manager用户指南中的轮换 AWS Secrets Manager 密钥。
要启用 AWS AppConfig 部署的 Secrets Manager 密钥的密钥轮换,请更新您的轮换 Lambda 函数并部署轮换后的密钥。
注意
在您的密钥已轮换并完全更新到新版本后,请部署 AWS AppConfig 配置文件。您可以通过 VersionStage
的状态从 AWSPENDING
变为 AWSCURRENT
来确定密钥是否已轮换。密钥轮换完成发生在 Secrets Manager 轮换模板 finish_secret
函数中。
下面是一个示例函数,该函数在轮换密钥后启动 AWS AppConfig 部署。
import time import boto3 client = boto3.client('appconfig') def finish_secret(service_client, arn, new_version): """Finish the rotation by marking the pending secret as current This method finishes the secret rotation by staging the secret staged AWSPENDING with the AWSCURRENT stage. Args: service_client (client): The secrets manager service client arn (string): The secret ARN or other identifier new_version (string): The new version to be associated with the secret """ # First describe the secret to get the current version metadata = service_client.describe_secret(SecretId=arn) current_version = None for version in metadata["VersionIdsToStages"]: if "AWSCURRENT" in metadata["VersionIdsToStages"][version]: if version == new_version: # The correct version is already marked as current, return logger.info("finishSecret: Version %s already marked as AWSCURRENT for %s" % (version, arn)) return current_version = version break # Finalize by staging the secret version current service_client.update_secret_version_stage(SecretId=arn, VersionStage="AWSCURRENT", MoveToVersionId=new_version, RemoveFromVersionId=current_version) # Deploy rotated secret response = client.start_deployment( ApplicationId='TestApp', EnvironmentId='TestEnvironment', DeploymentStrategyId='TestStrategy', ConfigurationProfileId='ConfigurationProfileId', ConfigurationVersion=new_version, KmsKeyIdentifier=key, Description='Deploy secret rotated at ' + str(time.time()) ) logger.info("finishSecret: Successfully set AWSCURRENT stage to version %s for secret %s." % (new_version, arn))