Contrôles Security Hub pour AWS KMS - AWS Security Hub
[KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS[KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS[KMS.3] AWS KMS keys ne doit pas être supprimé par inadvertance[KMS4] AWS KMS la rotation des touches doit être activée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour AWS KMS

Ces AWS Security Hub les contrôles évaluent le AWS Key Management Service (AWS KMS) service et ressources.

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

Exigences associées : NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::Policy

AWS Config règle : iam-customer-policy-blocked-kms-actions

Type de calendrier : changement déclenché

Paramètres :

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(non personnalisable)

  • excludePermissionBoundaryPolicy: True (non personnalisable)

Vérifie si la version par défaut des politiques gérées par IAM le client autorise les donneurs d'ordre à utiliser AWS KMS actions de déchiffrement sur toutes les ressources. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser kms:Decrypt des kms:ReEncryptFrom actions sur toutes les KMS touches.

Le contrôle vérifie uniquement KMS les clés de l'élément Ressource et ne prend pas en compte les conditions de l'élément Condition d'une politique. En outre, le contrôle évalue les politiques gérées par le client à la fois attachées et non attachées. Il ne vérifie pas les politiques en ligne ou AWS politiques gérées.

Avec AWS KMS, vous contrôlez qui peut utiliser vos KMS clés et accéder à vos données cryptées. IAMles politiques définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. En suivant les meilleures pratiques en matière de sécurité, AWS vous recommande d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les kms:ReEncryptFrom autorisations kms:Decrypt ou et uniquement les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.

Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui autorisent les utilisateurs à utiliser uniquement ces clés. Par exemple, n'kms:Decryptautorisez pas l'accès à toutes les KMS clés. Au lieu de cela, autorisez kms:Decrypt uniquement les clés d'une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.

Correction

Pour modifier une politique gérée par IAM le client, voir Modifier les politiques gérées par le client dans le Guide de IAM l'utilisateur. Lorsque vous modifiez votre politique, pour le Resource champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.

[KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

Exigences associées : NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource :

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config règle : iam-inline-policy-blocked-kms-actions

Type de calendrier : changement déclenché

Paramètres :

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(non personnalisable)

Ce contrôle vérifie si les politiques intégrées à vos IAM identités (rôle, utilisateur ou groupe) autorisent AWS KMS actions de déchiffrement et de rechiffrement sur toutes les KMS clés. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser kms:Decrypt des kms:ReEncryptFrom actions sur toutes les KMS touches.

Le contrôle vérifie uniquement KMS les clés de l'élément Ressource et ne prend pas en compte les conditions de l'élément Condition d'une politique.

Avec AWS KMS, vous contrôlez qui peut utiliser vos KMS clés et accéder à vos données cryptées. IAMles politiques définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. En suivant les meilleures pratiques en matière de sécurité, AWS vous recommande d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les autorisations dont elles ont besoin et uniquement pour les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.

Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui permettent aux utilisateurs de n'utiliser que ces clés. Par exemple, n'kms:Decryptautorisez pas l'accès à toutes les KMS clés. Au lieu de cela, autorisez l'autorisation uniquement sur des clés spécifiques dans une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.

Correction

Pour modifier une politique IAM intégrée, consultez la section Modification des politiques intégrées dans le Guide de l'IAMutilisateur. Lorsque vous modifiez votre politique, pour le Resource champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.

[KMS.3] AWS KMS keys ne doit pas être supprimé par inadvertance

Exigences connexes : NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Gravité : Critique

Type de ressource : AWS::KMS::Key

AWS Config règle : kms-cmk-not-scheduled-for-deletion-2 (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la suppression des KMS clés est planifiée. Le contrôle échoue si la suppression d'une KMS clé est planifiée.

KMSles clés ne peuvent pas être récupérées une fois supprimées. Les données chiffrées sous une KMS clé sont également irrémédiablement irrécupérables si la KMS clé est supprimée. Si des données significatives ont été chiffrées sous une KMS clé dont la suppression est prévue, envisagez de les déchiffrer ou de les rechiffrer sous une nouvelle KMS clé, sauf si vous effectuez intentionnellement un effacement cryptographique.

Lorsqu'il est prévu de supprimer une KMS clé, une période d'attente obligatoire est imposée afin de laisser le temps d'annuler la suppression, si elle a été planifiée par erreur. Le délai d'attente par défaut est de 30 jours, mais il peut être réduit à 7 jours lorsque la suppression de la KMS clé est programmée. Pendant la période d'attente, la suppression planifiée peut être annulée et la KMS clé ne sera pas supprimée.

Pour plus d'informations sur la suppression de KMS clés, consultez la section Suppression de KMS clés dans le AWS Key Management Service Guide du développeur.

Correction

Pour annuler une suppression de KMS clé planifiée, voir Pour annuler la suppression de clé sous Planification et annulation de la suppression de clé (console) dans le AWS Key Management Service Guide du développeur.

[KMS4] AWS KMS la rotation des touches doit être activée

Exigences connexes : PCI DSS v3.2.1/3.6.4, CIS AWS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-2 8 (3)

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::KMS::Key

AWS Config règle : cmk-backing-key-rotation-enabled

Type de calendrier : Périodique

Paramètres : Aucun

AWS KMS permet aux clients de faire pivoter la clé de sauvegarde, qui est le matériau clé stocké dans AWS KMS et est lié à l'identifiant de la KMS clé. Il s'agit de la clé de stockage utilisée pour effectuer les opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation de clé automatique conserve actuellement toutes les clés de stockage précédentes afin que le déchiffrement des données chiffrées puisse se dérouler de façon transparente.

CISvous recommande d'activer la rotation KMS des touches. La rotation des clés de chiffrement contribue à réduire l'impact potentiel d'une clé compromise, puisque les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une ancienne clé susceptible d'avoir été exposée.

Correction

Pour activer KMS la rotation automatique des touches, voir Comment activer et désactiver la rotation automatique des touches dans AWS Key Management Service Guide du développeur.