启用会话数据 KMS 密钥加密(控制台) - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用会话数据 KMS 密钥加密(控制台)

使用 Amazon Key Management Service (Amazon KMS) 创建和管理密钥。借助 Amazon KMS,您可以控制加密在各个 Amazon 服务之间和应用程序中的使用。您可以指定在 Amazon Elastic Compute Cloud (Amazon EC2) 实例和 Amazon Web Services 账户 使用 KMS 密钥加密进行加密。(除了 TLS 1.2 加密之外,Amazon默认情况下已提供。) 会话的 KMS 密钥加密是使用Amazon KMS. 使用选项加密会话数据,使用Amazon KMS,版本 2.3.539.0 或更高版本Amazon Systems Manager SSM Agent必须安装在托管实例上。

注意

您必须允许Amazon KMS加密来重置托管实例上的密码,从Amazon Systems Manager控制台。有关更多信息,请参阅在托管实例上重置密码

您可以使用您在 Amazon Web Services 账户 . 您也可以使用在其他 Amazon Web Services 账户 . 在不同的密钥的创建者 Amazon Web Services 账户 必须为您提供使用此密钥所需的权限。

在您为会话数据打开 KMS 密钥加密后,启动会话的用户及其所连接的实例都必须具有使用密钥的权限。您提供将 KMS 密钥与Session Manager通过Amazon Identity and Access Management(IAM) 策略。有关信息,请参阅以下主题:

有关创建和管理 KMS 密钥的更多信息,请参阅Amazon Key Management Service开发人员指南.

有关使用Amazon CLI要启用账户中会话数据的 KMS 密钥,请参阅创建 Session Manager 首选项(命令行)或者更新 Session Manager 首选项(命令行).

注意

使用 KMS 密钥需支付费用。有关信息,请参阅 Amazon Key Management Service 定价

启用会话数据 KMS 密钥加密会话数据(控制台)

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择。Session Manager

  3. 选择 Preferences (首选项) 选项卡,然后选择 Edit (编辑)

  4. 选中 Key Management Service (KMS) 旁边的复选框。

  5. 请执行下列操作之一:

    • 选择旁边的按钮在我当前帐户中选择 KMS 密钥,然后从列表中选择一个密钥。

      -或者-

      选择输入 KMS 密钥别名或 KMS 密钥 ARN 旁边的按钮。手动输入在您的当前账户中创建的密钥的 KMS 密钥别名,或输入另一账户中的密钥的 Amazon 资源名称 (ARN)。示例如下:

      • 密钥别名:alias/my-kms-key-alias

      • 密钥 ARN:arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

      -或者-

      选择创建新密钥在您的账户中创建新 KMS 密钥。在创建新密钥后,返回到 Preferences (首选项) 选项卡,然后选择用于在您的账户中加密会话数据的密钥。

    有关共享密钥的更多信息,请参阅允许外部 Amazon Web Services 账户 访问密钥中的Amazon Key Management Service开发人员指南.

  6. 选择 Save