启用会话数据 KMS 密钥加密(控制台) - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用会话数据 KMS 密钥加密(控制台)

使用 AWS Key Management Service (AWS KMS) 创建和管理密钥。借助 AWS KMS,您可以控制加密在各个 AWS 服务之间和应用程序中的使用。您可以指定在 Amazon Elastic Compute Cloud (Amazon EC2) 实例和 AWS 账户中用户的本地计算机之间传输的会话数据使用 KMS 密钥加密进行加密。(这是 AWS 默认已提供的 TLS 1.2 加密之外的加密。) 会话的 KMS 密钥加密是使用 AWS KMS 中创建的密钥来完成的。要使用此选项使用在 AWS KMS 中创建的密钥加密会话数据,必须在托管实例上安装 SSM Agent 的版本 2.3.539.0 或更高版本。

注意

您必须启用 AWS KMS 加密才能从 Systems Manager 控制台重置托管实例上的密码。有关更多信息,请参阅 在托管实例上重置密码

您可以使用您在 AWS 账户中创建的密钥。您还可以使用在其他 AWS 账户中创建的密钥。其他 AWS 账户中密钥的创建者必须为您提供使用密钥所需的权限。

在您为会话数据启用 KMS 密钥加密后,启动会话的用户及其所连接的实例都必须具有使用密钥的权限。您通过 IAM 策略提供将 KMS 密钥用于会话管理器的权限。有关信息,请参阅以下主题:

有关创建和管理 KMS 密钥的更多信息,请参阅AWS Key Management Service 开发人员指南

有关使用 AWS CLI 为您账户中的会话数据启用 KMS 密钥加密的信息,请参阅创建会话管理器首选项(命令行)或者更新会话管理器首选项(命令行)

注意

使用 KMS 密钥需支付费用。想要了解有关信息,请参阅AWS Key Management Service 定价

启用会话数据 KMS 密钥加密(控制台)

  1. 以下网址打开 AWS Systems Manager 控制台:https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择会话管理器

  3. 选择 Preferences (首选项) 选项卡,然后选择 Edit (编辑)

  4. 选中 Key Management Service (KMS) 旁边的复选框。

  5. 请执行下列操作之一:

    • 选择旁边的按钮在我当前帐户中选择 KMS 密钥,然后从列表中选择一个密钥。

      -或者-

      选择输入 KMS 密钥别名或 KMS 密钥 ARN 旁边的按钮。手动输入在您的当前账户中创建的密钥的 KMS 密钥别名,或输入另一账户中的密钥 Amazon Resource Name (ARN) 密钥。示例如下:

      • 密钥别名:alias/my-kms-key-alias

      • 密钥 ARN:arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

      -或者-

      选择创建新密钥以在您的账户中创建新的 KMS 密钥。在创建新密钥后,返回到 Preferences (首选项) 选项卡,然后选择用于在您的账户中加密会话数据的密钥。

    有关共享密钥的更多信息,请参阅允许外部 AWS 账户访问密钥中的AWS Key Management Service 开发人员指南

  6. 选择 Save