Opcionalmente, configure AWS KMS keys - AWS Control Tower
Actualice la política KMS clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Opcionalmente, configure AWS KMS keys

Si desea cifrar y descifrar sus recursos con una clave de AWS KMS cifrado, seleccione la casilla de verificación. Si ya tienes claves, podrás seleccionarlas entre los identificadores que aparecen en un menú desplegable. Para generar una clave nueva, selecciona Crear una clave. Puedes añadir o cambiar una KMS clave cada vez que actualices tu landing zone.

Cuando seleccionas Configurar landing zone, AWS Control Tower realiza una comprobación previa para validar tu KMS clave. La clave debe cumplir los siguientes requisitos:

  • Habilitado

  • Simétrica

  • No es una clave multirregional

  • ¿Se han agregado los permisos correctos a la política

  • La clave está en la cuenta de administración

Es posible que aparezca un mensaje de error si la clave no cumple estos requisitos. En ese caso, elija otra clave o genere una clave. Asegúrese de editar la política de permisos de la clave, tal y como se describe en la siguiente sección.

Actualice la política KMS clave

Antes de poder actualizar una política KMS clave, debe crear una KMS clave. Para obtener más información, consulte Creating a key policy en la Guía del desarrollador de AWS Key Management Service .

Para usar una KMS clave con AWS Control Tower, debe actualizar la política de KMS claves predeterminada añadiendo los permisos mínimos requeridos para AWS Config y AWS CloudTrail. Como práctica recomendada, le recomendamos que incluya los permisos mínimos requeridos en cualquier política. Al actualizar una política KMS clave, puede agregar permisos como un grupo en una sola JSON declaración o línea por línea.

El procedimiento describe cómo actualizar la política de KMS claves predeterminada en la AWS KMS consola mediante la adición de declaraciones de política que permitan el cifrado AWS Config y se utilicen CloudTrail AWS KMS para ello. Las declaraciones de política requieren que incluya la siguiente información:

  • YOUR-MANAGEMENT-ACCOUNT-ID— el ID de la cuenta de administración en la que se configurará la Torre de AWS Control.

  • YOUR-HOME-REGION— la región de origen que seleccionarás al configurar la Torre AWS de Control.

  • YOUR-KMS-KEY-ID— el identificador KMS clave que se utilizará en la política.

Para actualizar la política KMS clave

  1. Abra la AWS KMS consola en https://console.aws.amazon.com/kms

  2. En el panel de navegación, elija Claves administradas por el cliente.

  3. En la tabla, seleccione la clave que desee editar.

  4. En la pestaña Política clave, asegúrese de poder ver la política clave. Si no puedes ver la política clave, selecciona Cambiar a la vista de políticas.

  5. Selecciona Editar y actualiza la política KMS clave predeterminada añadiendo las siguientes declaraciones de política para AWS Config y CloudTrail.

    AWS Config declaración de política 

    {
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

    CloudTrail declaración de política 

    {
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

  6. Elija Guardar cambios.

Ejemplo de política KMS clave

El siguiente ejemplo de política muestra el aspecto que tendría su política KMS clave después de agregar las declaraciones de política que otorgan AWS Config y CloudTrail los permisos mínimos requeridos. La política de ejemplo no incluye la política de KMS claves predeterminada. 

{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Para ver otros ejemplos de políticas, consulta las páginas siguientes:

Protéjase contra los atacantes

Al añadir determinadas condiciones a sus políticas, puede ayudar a prevenir un tipo específico de ataque, conocido como ataque de agentes confusos, que se produce cuando una entidad coacciona a una entidad con más privilegios para que lleve a cabo una acción, como la suplantación de identidad entre servicios. Para obtener información general sobre las condiciones de la política, consulte también. Especificación de las condiciones de una política

El AWS Key Management Service (AWS KMS) permite crear KMS claves multirregionales y asimétricas; sin embargo, AWS Control Tower no admite claves multirregionales ni asimétricas. AWSControl Tower realiza una comprobación previa de tus llaves existentes. Es posible que aparezca un mensaje de error si selecciona una clave multirregional o asimétrica. En ese caso, genere otra clave para usarla con los recursos de la Torre de AWS Control.

Para obtener más información al respecto AWS KMS, consulte la Guía para AWS KMS desarrolladores.

Tenga en cuenta que los datos de los clientes en la Torre de AWS Control Tower se cifran en reposo, de forma predeterminada, mediante SSE -S3.