Configuración opcional de AWS KMS keys - AWS Control Tower
Actualiza la política KMS clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración opcional de AWS KMS keys

Si desea cifrar y descifrar sus recursos con una clave de AWS KMS cifrado, seleccione la casilla de verificación. Si ya dispone de claves, podrá seleccionarlas entre los identificadores que aparecen en un menú desplegable. Para generar una clave nueva, seleccione Crear una clave. Puedes añadir o cambiar una KMS clave cada vez que actualices tu landing zone.

Cuando seleccionas Configurar landing zone, AWS Control Tower realiza una comprobación previa para validar tu KMS clave. La clave debe cumplir los requisitos siguientes:

  • Habilitado

  • Simétrica

  • No ser una clave de varias regiones

  • Tener los permisos correctos añadidos a la política

  • La clave está en la cuenta de administración

Es posible que aparezca un banner de error si la clave no cumple estos requisitos. En ese caso, elija otra clave o genere una. Asegúrese de editar la política de permisos de la clave, tal y como se describe en la sección siguiente.

Actualiza la política KMS clave

Antes de poder actualizar una política KMS clave, debe crear una KMS clave. Para obtener más información, consulte Creating a key policy en la Guía del desarrollador de AWS Key Management Service .

Para usar una KMS clave con AWS Control Tower, debe actualizar la política de KMS claves predeterminada añadiendo los permisos mínimos requeridos para AWS Config y AWS CloudTrail. Como práctica recomendada, le sugerimos que incluya los permisos mínimos necesarios en cualquier política. Al actualizar una política KMS clave, puede agregar los permisos como un grupo en una sola JSON declaración o línea por línea.

El procedimiento describe cómo actualizar la política de KMS claves predeterminada en la AWS KMS consola mediante la adición de declaraciones de política que permitan el cifrado AWS Config y se utilicen CloudTrail AWS KMS para ello. Las instrucciones de política requieren que incluya la siguiente información:

  • YOUR-MANAGEMENT-ACCOUNT-ID— el ID de la cuenta de administración en la que se configurará la Torre de AWS Control.

  • YOUR-HOME-REGION— la región de origen que seleccionarás al configurar la Torre AWS de Control.

  • YOUR-KMS-KEY-ID— el identificador KMS clave que se utilizará en la política.

Para actualizar la política KMS clave

  1. Abra la AWS KMS consola en https://console.aws.amazon.com/kms

  2. En el panel de navegación, seleccione Claves administradas por el cliente.

  3. En la tabla, seleccione la clave que desee editar.

  4. En la pestaña Política de claves, asegúrese de que puede ver la política de claves. Si no puede ver la política de claves, seleccione Cambiar a la vista de política.

  5. Seleccione Editar y actualice la política KMS clave predeterminada añadiendo las siguientes declaraciones de política para AWS Config y CloudTrail.

    AWS Config declaración de política 

    {
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

    CloudTrail declaración de política 

    {
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

  6. Elija Guardar cambios.

Ejemplo de política KMS clave

El siguiente ejemplo de política muestra el aspecto que tendría su política KMS clave después de agregar las declaraciones de política que otorgan AWS Config y CloudTrail los permisos mínimos requeridos. La política de ejemplo no incluye la política de KMS claves predeterminada. 

{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Para ver otros ejemplos de políticas, consulte las páginas siguientes:

Protección contra atacantes

Al añadir determinadas condiciones a las políticas, puede ayudar a prevenir un tipo específico de ataque, conocido como ataque del suplente confuso, que se produce cuando una entidad coacciona a otra con más privilegios para que lleve a cabo una acción, como la suplantación entre servicios. Para obtener información general sobre las condiciones de las políticas, consulte también Especificación de las condiciones de una política.

El AWS Key Management Service (AWS KMS) permite crear KMS claves multirregionales y asimétricas; sin embargo, AWS Control Tower no admite claves multirregionales ni asimétricas. AWS Control Tower realiza una comprobación previa de tus llaves existentes. Es posible que aparezca un mensaje de error si selecciona una clave de varias regiones o una clave asimétrica. En ese caso, genere otra clave para usarla con los recursos de la Torre de AWS Control.

Para obtener más información al respecto AWS KMS, consulte la Guía para AWS KMS desarrolladores.

Tenga en cuenta que los datos de los clientes en la Torre de AWS Control Tower se cifran en reposo, de forma predeterminada, mediante SSE -S3.