启用会话数据的 KMS 密钥加密(控制台) - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用会话数据的 KMS 密钥加密(控制台)

使用 Amazon Key Management Service (Amazon KMS) 创建和管理加密密钥。借助 Amazon KMS,您可以控制各个 Amazon Web Services之间以及应用程序中对加密的使用。您可以指定使用 KMS 密钥加密方式对在托管式节点与 Amazon Web Services 账户 中用户的本地计算机之间传输的会话数据进行加密。(这是对 Amazon 默认提供的 TLS 1.2 加密的补充)。要加密Session Manager会话数据,请使用Amazon KMS创建对称 KMS 密钥。

Amazon KMS加密适用于Standard_StreamInteractiveCommands、和NonInteractiveCommands会话类型。要通过该选项使用在 Amazon KMS 中创建的密钥加密会话数据,必须在托管式节点上安装 2.3.539.0 版本或更高版本的 Amazon Systems Manager SSM Agent。

注意

您必须允许 Amazon KMS 加密,才能从 Amazon Systems Manager 控制台重置托管式节点上的密码。有关更多信息,请参阅 在托管式节点上重置密码

您可以使用您在 Amazon Web Services 账户中创建的密钥。您还可以使用在其他 Amazon Web Services 账户中创建的密钥。其他 Amazon Web Services 账户中密钥的创建者必须为您提供使用密钥所需的权限。

在您为会话数据启用 KMS 密钥加密后,启动会话的用户及其所连接的托管式节点都必须具有使用密钥的权限。您可以通过 Amazon Identity and Access Management (IAM) 策略向 Session Manager 提供使用 KMS 密钥的权限。有关信息,请参阅以下主题:

有关创建和管理 KMS 密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南

有关使用 Amazon CLI 在您的账户中启用会话数据的 KMS 密钥加密的信息,请参阅 创建 Session Manager 首选项文档(命令行)更新 Session Manager 首选项(命令行)

注意

使用 KMS 密钥需支付费用。有关信息,请参阅 Amazon Key Management Service 定价

要启用会话数据的 KMS 密钥加密(控制台),请执行以下步骤:
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,请选择 Session Manager

  3. 选择 Preferences (首选项) 选项卡,然后选择 Edit (编辑)

  4. 选中 Enable KMS encryption(启用 KMS 加密)旁边的复选框。

  5. 请执行以下操作之一:

    • 选择 Select a KMS key in my current account (选择我当前账户中的 KMS 密钥) 旁边的按钮,然后从列表中选择一个密钥。

      -或者-

      选择输入 KMS 密钥别名或 KMS 密钥 ARN 旁边的按钮。手动输入在您的当前账户中创建的密钥的 KMS 密钥别名,或输入另一账户中的密钥的密钥 Amazon Resource Name (ARN)。示例如下:

      • 密钥别名:alias/my-kms-key-alias

      • 密钥 ARN:arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

      -或者-

      选择 Create new key (创建新密钥),在您的账户中创建新 KMS 密钥。在创建新密钥后,返回到 Preferences (首选项) 选项卡,然后选择用于在您的账户中加密会话数据的密钥。

    有关共享密钥的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的允许外部 Amazon Web Services 账户 访问密钥

  6. 选择保存