Configurare facoltativamente AWS KMS keys

Se desideri crittografare e decrittografare le tue risorse con una chiave di AWS KMS crittografia, seleziona la casella di controllo. Se disponi di chiavi esistenti, potrai selezionarle dagli identificatori visualizzati in un menu a discesa. Puoi generare una nuova chiave scegliendo Crea una chiave. Puoi aggiungere o modificare una KMS chiave ogni volta che aggiorni la landing zone.

Quando selezioni Configura landing zone, AWS Control Tower esegue un controllo preliminare per convalidare la tua KMS chiave. La chiave deve soddisfare questi requisiti:

Abilitato
Simmetria
Non è una chiave multiregionale
Alla politica sono state aggiunte le autorizzazioni corrette
La chiave è nell'account di gestione

È possibile che venga visualizzato un banner di errore se la chiave non soddisfa questi requisiti. In tal caso, scegli un'altra chiave o genera una chiave. Assicurati di modificare la politica di autorizzazione della chiave, come descritto nella sezione successiva.

Aggiorna la politica KMS chiave

Prima di poter aggiornare una politica KMS chiave, è necessario creare una KMS chiave. Per ulteriori informazioni, consulta Creazione di una policy delle chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

Per utilizzare una KMS chiave con AWS Control Tower, è necessario aggiornare la politica delle KMS chiavi predefinita aggiungendo le autorizzazioni minime richieste per AWS Config e AWS CloudTrail. Come procedura consigliata, si consiglia di includere le autorizzazioni minime richieste in qualsiasi politica. Quando aggiorni una politica KMS chiave, puoi aggiungere le autorizzazioni come gruppo in un'unica JSON istruzione o riga per riga.

La procedura descrive come aggiornare la politica delle KMS chiavi predefinita nella AWS KMS console aggiungendo istruzioni di policy che consentono AWS Config e possono CloudTrail essere utilizzate AWS KMS per la crittografia. Le dichiarazioni politiche richiedono l'inclusione delle seguenti informazioni:

YOUR-MANAGEMENT-ACCOUNT-ID— l'ID dell'account di gestione in cui verrà configurata AWS Control Tower.
YOUR-HOME-REGION— la regione d'origine che selezionerai durante la configurazione del AWS Control Tower.
YOUR-KMS-KEY-ID— l'ID della KMS chiave che verrà utilizzato con la politica.

Per aggiornare la politica KMS chiave

Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms
Dal riquadro di navigazione, scegli Customer managed keys.
Nella tabella, seleziona la chiave che desideri modificare.
Nella scheda Politica chiave, assicurati di poter visualizzare la politica chiave. Se non riesci a visualizzare la politica principale, scegli Passa alla visualizzazione della politica.

Scegli Modifica e aggiorna la politica KMS chiave predefinita aggiungendo le seguenti dichiarazioni politiche per AWS Config e CloudTrail.

AWS Config dichiarazione politica


{
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

CloudTrail dichiarazione politica


{
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

Scegli Save changes (Salva modifiche).

Esempio di KMS politica chiave

La seguente politica di esempio mostra come potrebbe apparire la politica KMS chiave dopo aver aggiunto le dichiarazioni di policy che concedono AWS Config e CloudTrail le autorizzazioni minime richieste. La politica di esempio non include la politica KMS chiave predefinita.


{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Per visualizzare altre politiche di esempio, consulta le pagine seguenti:

Concessione delle autorizzazioni di crittografia nella Guida per l'AWS CloudTrail utente.
Autorizzazioni richieste per la KMS chiave (quando si utilizza il servizio Roless3 Bucket Delivery) nella Guida per gli sviluppatori.AWS Config

Proteggiti dagli aggressori

Aggiungendo determinate condizioni alle politiche, è possibile contribuire a prevenire un tipo specifico di attacco, noto come attacco secondario confuso, che si verifica se un'entità costringe un'entità con più privilegi a eseguire un'azione, ad esempio con l'impersonificazione tra servizi diversi. Per informazioni generali sulle condizioni delle polizze, consulta anche. Specifica delle condizioni in una policy

Il AWS Key Management Service (AWS KMS) consente di creare chiavi multiregionali e KMS chiavi asimmetriche; tuttavia, Control Tower AWS non supporta chiavi multiregione o chiavi asimmetriche. AWSControl Tower esegue un controllo preliminare delle chiavi esistenti. È possibile che venga visualizzato un messaggio di errore se si seleziona una chiave multiregionale o una chiave asimmetrica. In tal caso, genera un'altra chiave da utilizzare con le risorse AWS Control Tower.

Per ulteriori informazioni in merito AWS KMS, consulta la Guida per AWS KMS gli sviluppatori.

Tieni presente che i dati dei clienti in AWS Control Tower sono crittografati quando sono inattivi, per impostazione predefinita, utilizzando SSE -S3.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configura facoltativamente i percorsi AWS CloudTrail

Facoltativamente, configura e crea account utente personalizzati