Configurez éventuellement AWS KMS keys

Si vous souhaitez chiffrer et déchiffrer vos ressources à l'aide d'une clé de AWS KMS chiffrement, cochez la case. Si vous avez des clés existantes, vous pourrez les sélectionner parmi les identifiants affichés dans un menu déroulant. Vous pouvez générer une nouvelle clé en choisissant Créer une clé. Vous pouvez ajouter ou modifier une KMS clé à chaque fois que vous mettez à jour votre zone de landing zone.

Lorsque vous sélectionnez Set up landing zone, AWS Control Tower effectue une pré-vérification pour valider votre KMS clé. La clé doit répondre aux exigences suivantes :

Activées
Symétrique
Il ne s'agit pas d'une clé multirégionale
Les autorisations correctes ont été ajoutées à la politique
La clé se trouve dans le compte de gestion

Une bannière d'erreur peut s'afficher si la clé ne répond pas à ces exigences. Dans ce cas, choisissez une autre clé ou générez une clé. Veillez à modifier la politique d'autorisation de la clé, comme décrit dans la section suivante.

Mettre à jour la politique KMS clé

Avant de pouvoir mettre à jour une politique KMS clé, vous devez créer une KMS clé. Pour plus d'informations, consultez Création d'une stratégie de clé dans le Guide du développeur AWS Key Management Service .

Pour utiliser une KMS clé avec AWS Control Tower, vous devez mettre à jour la politique de KMS clé par défaut en ajoutant les autorisations minimales requises pour AWS Config et AWS CloudTrail. À titre de bonne pratique, nous vous recommandons d'inclure les autorisations minimales requises dans toute politique. Lorsque vous mettez à jour une politique KMS clé, vous pouvez ajouter des autorisations en tant que groupe dans une seule JSON déclaration ou ligne par ligne.

La procédure décrit comment mettre à jour la politique de KMS clé par défaut dans la AWS KMS console en ajoutant des instructions de politique autorisant AWS Config et CloudTrail à utiliser AWS KMS pour le chiffrement. Les déclarations de politique exigent que vous incluiez les informations suivantes :

YOUR-MANAGEMENT-ACCOUNT-ID— l'identifiant du compte de gestion sur lequel la AWS Control Tower sera configurée.
YOUR-HOME-REGION— la région d'origine que vous allez sélectionner lors de la configuration AWS de Control Tower.
YOUR-KMS-KEY-ID— l'ID de KMS clé qui sera utilisé avec la politique.

Pour mettre à jour la politique KMS clé

Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms
Dans le volet de navigation, sélectionnez Clés gérées par le client.
Dans le tableau, sélectionnez la clé que vous souhaitez modifier.
Dans l'onglet Stratégie clé, assurez-vous que vous pouvez consulter la politique clé. Si vous ne pouvez pas consulter la politique clé, choisissez Basculer vers l'affichage des politiques.

Choisissez Modifier, puis mettez à jour la politique KMS clé par défaut en ajoutant les déclarations de stratégie suivantes pour AWS Config et CloudTrail.

AWS Config déclaration de politique


{
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

CloudTrail déclaration de politique


{
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

Sélectionnez Enregistrer les modifications.

Exemple de politique KMS clé

L'exemple de politique suivant montre à quoi pourrait ressembler votre politique KMS clé une fois que vous aurez ajouté les déclarations de politique qui accordent AWS Config CloudTrail les autorisations minimales requises. L'exemple de politique n'inclut pas votre politique KMS clé par défaut.


{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Pour consulter d'autres exemples de politiques, consultez les pages suivantes :

Octroi d'autorisations de chiffrement dans le guide de AWS CloudTrail l'utilisateur.
Autorisations requises pour la KMS clé lors de l'utilisation de rôles liés à un service (livraison de compartiments S3) dans le guide du développeur.AWS Config

Protégez-vous contre les attaquants

En ajoutant certaines conditions à vos politiques, vous pouvez contribuer à empêcher un type d'attaque spécifique, connu sous le nom d'attaque adjointe confuse, qui se produit lorsqu'une entité contraint une entité plus privilégiée à effectuer une action, par exemple dans le cas d'une usurpation d'identité interservices. Pour des informations générales sur les conditions du contrat, voir égalementSpécification de conditions dans une politique.

Le AWS Key Management Service (AWS KMS) vous permet de créer des clés multirégionales et KMS des clés asymétriques ; toutefois, AWS Control Tower ne prend pas en charge les clés multirégionales ou asymétriques. AWSControl Tower effectue une pré-vérification de vos clés existantes. Un message d'erreur peut s'afficher si vous sélectionnez une clé multirégionale ou une clé asymétrique. Dans ce cas, générez une autre clé à utiliser avec les ressources AWS de Control Tower.

Pour plus d'informations à ce sujet AWS KMS, consultez le guide du AWS KMS développeur.

Notez que les données des clients dans AWS Control Tower sont cryptées au repos, par défaut, à l'aide de SSE -S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configurez éventuellement AWS CloudTrail des sentiers

Configurez et créez éventuellement des comptes de membres personnalisés