KMS를 사용한 SSM 세션 데이터 암호화
Session Manager를 사용하여 EC2 인스턴스에 연결하는 것은 이미 몇 년 동안 기본입니다. 그러나 대부분의 사용자는 AWS가 기본적으로 이미 제공하는 defaultTLS 1.2 암호화를 사용하고 있습니다. 대부분의 사용 사례에서 이것은 괜찮지만 때로는 고유한 KMS 키로 세션을 암호화해야 합니다. 키를 사용하여 세션 데이터를 암호화하면 세션에서 암호 재설정과 같은 기밀 데이터 상호 작용을 처리할 수 있으며 Systems Manager Session Manager를 사용할 때 보안 상태가 더욱 향상됩니다. AWS KMS에서 생성된 키를 사용하여 세션 데이터를 암호화하는 옵션을 사용하려면 버전 2.3.539.0 이상 AWS Systems Manager SSM 에이전트가 관리형 인스턴스에 설치되어 있어야 합니다.
또한 세션 데이터를 S3 또는 CloudWatch에 기록하고 자신의 KMS 키를 사용하여 대상에 기록되는 세션 데이터를 암호화하는 것이 좋습니다. 다음 게시물에서는 고유한 KMS 키를 사용하여 세션 데이터를 보호하기 위해 SSM 기본 설정을 자동으로 구성하는 방법을 설명합니다.
설정
boto3
로 LambdaLayer 생성 또는 prebuild layer. 사용성공적인 배포 후:
Session Manager의 CloudWatch LogGroup에는 민감한 데이터가 포함될 것이므로 감사 팀의 몇 사람만 읽을 수 있도록 SCP를 사용하여 LogGroup을 보호하는 것이 좋습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsDeny",
"Effect": "Deny",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/ssm/SessionManagerLogGroup:*"
],
"Condition": {
"ArnNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AuditRole"
]
}
}
}
]
}
용법
이제 브라우저 또는 CLI를 사용하여 세션 관리자를 사용하여 인스턴스에 연결할 수 있으며 세션 중에 모든 데이터는 자체 KMS 키를 사용하여 암호화됩니다.
ℹ️ 명령이 MFA를 요청하지 않는 🚨 issue이 있기 때문에 MFA가 필요한
aws ssm start-session
플래그와 함께 --profile
를 사용할 수 없습니다.해결 방법: awsume을 사용하면 이 문제가 해결됩니다.
Reference
이 문제에 관하여(KMS를 사용한 SSM 세션 데이터 암호화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/aws-builders/encryption-of-ssm-session-data-using-kms-36gm텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)