Konfigurasikan secara opsional AWS KMS keys - AWSControl Tower
Perbarui kebijakan KMS utama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan secara opsional AWS KMS keys

Jika Anda ingin mengenkripsi dan mendekripsi sumber daya Anda dengan kunci AWS KMS enkripsi, pilih kotak centang. Jika Anda memiliki kunci yang ada, Anda akan dapat memilihnya dari pengidentifikasi yang ditampilkan di menu tarik-turun. Anda dapat menghasilkan kunci baru dengan memilih Buat kunci. Anda dapat menambahkan atau mengubah KMS kunci setiap kali Anda memperbarui landing zone Anda.

Saat Anda memilih Siapkan landing zone, AWS Control Tower melakukan pra-pemeriksaan untuk memvalidasi kunci AndaKMS. Kuncinya harus memenuhi persyaratan ini:

  • Diaktifkan

  • Simetris

  • Bukan kunci Multi-wilayah

  • Memiliki izin yang benar ditambahkan ke kebijakan

  • Kunci ada di akun manajemen

Anda mungkin melihat spanduk kesalahan jika kunci tidak memenuhi persyaratan ini. Dalam hal ini, pilih kunci lain atau buat kunci. Pastikan untuk mengedit kebijakan izin kunci, seperti yang dijelaskan di bagian berikutnya.

Perbarui kebijakan KMS utama

Sebelum Anda dapat memperbarui kebijakan KMS kunci, Anda harus membuat KMS kunci. Untuk informasi selengkapnya, lihat Membuat kebijakan kunci di Panduan Developer AWS Key Management Service .

Untuk menggunakan KMS kunci dengan AWS Control Tower, Anda harus memperbarui kebijakan KMS kunci default dengan menambahkan izin minimum yang diperlukan untuk AWS Config dan AWS CloudTrail. Sebagai praktik terbaik, kami menyarankan Anda menyertakan izin minimum yang diperlukan dalam kebijakan apa pun. Saat memperbarui kebijakan KMS kunci, Anda dapat menambahkan izin sebagai grup dalam satu JSON pernyataan atau baris demi baris.

Prosedur ini menjelaskan cara memperbarui kebijakan KMS kunci default di AWS KMS konsol dengan menambahkan pernyataan kebijakan yang memungkinkan AWS Config dan digunakan CloudTrail AWS KMS untuk enkripsi. Pernyataan kebijakan mengharuskan Anda menyertakan informasi berikut:

  • YOUR-MANAGEMENT-ACCOUNT-ID— ID akun manajemen di mana AWS Control Tower akan diatur.

  • YOUR-HOME-REGION— Wilayah rumah yang akan Anda pilih saat mengatur AWS Control Tower.

  • YOUR-KMS-KEY-ID— ID KMS kunci yang akan digunakan dengan kebijakan.

Untuk memperbarui kebijakan KMS utama

  1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms

  2. Dari panel navigasi, pilih Kunci terkelola pelanggan.

  3. Dalam tabel, pilih tombol yang ingin Anda edit.

  4. Di tab Kebijakan kunci, pastikan Anda dapat melihat kebijakan kunci. Jika Anda tidak dapat melihat kebijakan utama, pilih Beralih ke tampilan kebijakan.

  5. Pilih Edit, dan perbarui kebijakan KMS kunci default dengan menambahkan pernyataan kebijakan berikut untuk AWS Config dan CloudTrail.

    AWS Config pernyataan kebijakan 

    {
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

    CloudTrail pernyataan kebijakan 

    {
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

  6. Pilih Simpan perubahan.

Contoh kebijakan KMS kunci

Contoh kebijakan berikut menunjukkan seperti apa kebijakan KMS kunci Anda setelah menambahkan pernyataan kebijakan yang memberikan AWS Config dan izin minimum CloudTrail yang diperlukan. Kebijakan contoh tidak menyertakan kebijakan KMS kunci default Anda. 

{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Untuk melihat contoh kebijakan lainnya, lihat halaman berikut:

Melindungi dari penyerang

Dengan menambahkan kondisi tertentu ke kebijakan Anda, Anda dapat membantu mencegah jenis serangan tertentu, yang dikenal sebagai serangan wakil bingung, yang terjadi jika entitas memaksa entitas yang lebih istimewa untuk melakukan tindakan, seperti dengan peniruan identitas lintas layanan. Untuk informasi umum tentang kondisi kebijakan, lihat jugaMenentukan kondisi dalam kebijakan.

The AWS Key Management Service (AWS KMS) memungkinkan Anda untuk membuat kunci Multi-region dan KMS tombol asimetris; Namun, AWS Control Tower tidak mendukung tombol Multi-region atau tombol asimetris. AWSControl Tower melakukan pra-pemeriksaan kunci yang ada. Anda mungkin melihat pesan galat jika memilih tombol Multi-region atau tombol asimetris. Dalam hal ini, buat kunci lain untuk digunakan dengan sumber daya AWS Control Tower.

Untuk informasi selengkapnya AWS KMS, lihat Panduan AWS KMS Pengembang.

Perhatikan bahwa data pelanggan di AWS Control Tower dienkripsi saat istirahat, secara default, menggunakan SSE -S3.