Configurare facoltativamente AWS KMS keys

Se desideri crittografare e decrittografare le tue risorse con una chiave di AWS KMS crittografia, seleziona la casella di controllo. Se disponi di chiavi esistenti, potrai selezionarle dagli identificatori visualizzati in un menu a discesa. Puoi generare una nuova chiave scegliendo Crea una chiave. Puoi aggiungere o modificare una chiave KMS ogni volta che aggiorni la tua landing zone.

Quando selezioni Set up landing zone, AWS Control Tower esegue un controllo preliminare per convalidare la tua chiave KMS. La chiave deve soddisfare questi requisiti:

Abilitato
Simmetria
Non è una chiave multiregionale
Alla politica sono state aggiunte le autorizzazioni corrette
La chiave è nell'account di gestione

È possibile che venga visualizzato un banner di errore se la chiave non soddisfa questi requisiti. In tal caso, scegli un'altra chiave o genera una chiave. Assicurati di modificare la politica di autorizzazione della chiave, come descritto nella sezione successiva.

Aggiorna la politica delle chiavi KMS

Prima di poter aggiornare una politica delle chiavi KMS, devi creare una chiave KMS. Per ulteriori informazioni, consulta Creazione di una policy delle chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

Per utilizzare una chiave KMS con AWS Control Tower, devi aggiornare la policy delle chiavi KMS predefinita aggiungendo le autorizzazioni minime richieste per e. AWS Config AWS CloudTrail Come best practice, ti consigliamo di includere le autorizzazioni minime richieste in qualsiasi policy. Quando aggiorni una policy chiave KMS, puoi aggiungere le autorizzazioni come gruppo in una singola istruzione JSON o riga per riga.

La procedura descrive come aggiornare la politica delle chiavi KMS predefinita nella AWS KMS console aggiungendo istruzioni di policy che consentono AWS Config e utilizzano CloudTrail la crittografia. AWS KMS Le dichiarazioni politiche richiedono l'inclusione delle seguenti informazioni:

YOUR-MANAGEMENT-ACCOUNT-ID— l'ID dell'account di gestione in cui verrà configurato AWS Control Tower.
YOUR-HOME-REGION— la regione di residenza che selezionerai durante la configurazione di AWS Control Tower.
YOUR-KMS-KEY-ID— l'ID della chiave KMS che verrà utilizzata con la policy.

Per aggiornare la politica delle chiavi KMS

Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms
Dal riquadro di navigazione, scegli Customer managed keys.
Nella tabella, seleziona la chiave che desideri modificare.
Nella scheda Politica chiave, assicurati di poter visualizzare la politica chiave. Se non riesci a visualizzare la politica principale, scegli Passa alla visualizzazione della politica.

Scegli Modifica e aggiorna la politica chiave KMS predefinita aggiungendo le seguenti dichiarazioni politiche per AWS Config e CloudTrail.

AWS Config dichiarazione politica


{
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

CloudTrail dichiarazione politica


{
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

Scegli Save changes (Salva modifiche).

Esempio di politica chiave KMS

La seguente politica di esempio mostra come potrebbe apparire la politica delle chiavi KMS dopo aver aggiunto le dichiarazioni di policy che concedono e le autorizzazioni AWS Config minime CloudTrail richieste. La politica di esempio non include la politica delle chiavi KMS predefinita.


{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Per visualizzare altre politiche di esempio, consulta le seguenti pagine:

Concessione delle autorizzazioni di crittografia nella Guida per l'AWS CloudTrail utente.
Autorizzazioni richieste per la chiave KMS (quando si utilizza il servizio Roless3 Bucket Delivery) nella Guida per gli sviluppatori.AWS Config

Proteggiti dagli aggressori

Aggiungendo determinate condizioni alle politiche, è possibile contribuire a prevenire un tipo specifico di attacco, noto come attacco secondario confuso, che si verifica se un'entità costringe un'entità con più privilegi a eseguire un'azione, ad esempio con l'impersonificazione tra servizi diversi. Per informazioni generali sulle condizioni delle polizze, consulta anche. Specifica delle condizioni in una policy

La AWS Key Management Service (AWS KMS) consente di creare chiavi KMS multiregione e chiavi asimmetriche; tuttavia, AWS Control Tower non supporta chiavi multiregione o chiavi asimmetriche. AWS Control Tower esegue un controllo preliminare delle chiavi esistenti. Potresti visualizzare un messaggio di errore se selezioni una chiave multiregionale o una chiave asimmetrica. In tal caso, genera un'altra chiave da utilizzare con le risorse AWS Control Tower.

Per ulteriori informazioni in merito AWS KMS, consulta la AWS KMS Developer Guide.

Tieni presente che i dati dei clienti in AWS Control Tower sono crittografati a riposo, per impostazione predefinita, utilizzando SSE-S3.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configura facoltativamente i percorsi AWS CloudTrail

Facoltativamente, configura e crea account utente personalizzati