Opzioni di crittografia per oggetti S3 Consentire a Macie di utilizzare un servizio gestito dal cliente AWS KMS key

Analisi di oggetti Amazon S3 crittografati

Quando abiliti Amazon Macie for your Account AWS, Macie crea un ruolo collegato al servizio che concede a Macie le autorizzazioni necessarie per chiamare Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) e altro per tuo conto. Servizi AWS Un ruolo collegato al servizio semplifica il processo di configurazione di un ruolo Servizio AWS perché non è necessario aggiungere manualmente le autorizzazioni affinché il servizio completi le azioni per tuo conto. Per ulteriori informazioni su questo tipo di ruolo, consulta i IAMruoli nella Guida per l'utente.AWS Identity and Access Management

La politica di autorizzazione per il ruolo collegato al servizio Macie (AWSServiceRoleForAmazonMacie) consente a Macie di eseguire azioni che includono il recupero di informazioni sui bucket e sugli oggetti S3 e il recupero e l'analisi di oggetti nei bucket S3. Se il tuo account è l'account amministratore Macie di un'organizzazione, la politica consente inoltre a Macie di eseguire queste azioni per tuo conto per gli account dei membri dell'organizzazione.

Se un oggetto S3 è crittografato, la politica di autorizzazione per il ruolo collegato al servizio Macie in genere concede a Macie le autorizzazioni necessarie per decrittografare l'oggetto. Tuttavia, ciò dipende dal tipo di crittografia utilizzato. Può anche dipendere dal fatto che Macie sia autorizzato a utilizzare la chiave di crittografia appropriata.

Argomenti

Opzioni di crittografia per oggetti S3
Consentire a Macie di utilizzare un servizio gestito dal cliente AWS KMS key

Opzioni di crittografia per oggetti Amazon S3

Amazon S3 supporta diverse opzioni di crittografia per oggetti S3. Per la maggior parte di queste opzioni, Amazon Macie può decrittografare un oggetto utilizzando il ruolo collegato al servizio Macie per il tuo account. Tuttavia, ciò dipende dal tipo di crittografia utilizzato per crittografare un oggetto.

Crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE

Se un oggetto viene crittografato utilizzando la crittografia lato server con una chiave gestita Amazon S3 SSE (-S3), Macie può decrittografare l'oggetto.

Per informazioni su questo tipo di crittografia, consulta la sezione Uso della crittografia lato server con le chiavi gestite di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Crittografia lato server con AWS KMS keys (- e -) DSSE KMS SSE KMS

Se un oggetto è crittografato utilizzando la crittografia lato server a due livelli o la crittografia lato server con una crittografia AWS gestita AWS KMS key (DSSE- KMS o SSE -KMS), Macie può decrittografare l'oggetto.

Se un oggetto è crittografato utilizzando la crittografia lato server a doppio livello o la crittografia lato server con una crittografia gestita dal cliente AWS KMS key (DSSE- KMS o SSE -KMS), Macie può decrittografare l'oggetto solo se si consente a Macie di utilizzare la chiave. Questo è il caso degli oggetti crittografati con KMS chiavi gestite interamente all'interno e chiavi in un archivio di chiavi esterno. AWS KMS KMS Se a Macie non è consentito utilizzare la KMS chiave applicabile, Macie può solo archiviare e riportare i metadati relativi all'oggetto.

Per ulteriori informazioni su questi tipi di crittografia, consulta Utilizzo della crittografia lato server a doppio livello con AWS KMS keys e Utilizzo della crittografia lato server con nella Guida per l'utente di Amazon AWS KMS keys Simple Storage Service.

Suggerimento

Puoi generare automaticamente un elenco di tutti i clienti gestiti AWS KMS keys a cui Macie deve accedere per analizzare gli oggetti nei bucket S3 per il tuo account. A tale scopo, esegui lo script AWS KMS Permission Analyzer, disponibile nel repository Amazon Macie Scripts su. GitHub Lo script può anche generare uno script aggiuntivo di comandi (). AWS Command Line Interface AWS CLI Facoltativamente, è possibile eseguire questi comandi per aggiornare le impostazioni e le politiche di configurazione necessarie per le KMS chiavi specificate.

Crittografia lato server con chiavi fornite dal cliente (-C) SSE

Se un oggetto è crittografato utilizzando la crittografia lato server con una chiave fornita dal cliente (SSE-C), Macie non può decrittografare l'oggetto. Macie può solo archiviare e riportare i metadati dell'oggetto.

Per ulteriori informazioni su questo tipo di crittografia, consulta la sezione Uso della crittografia lato server con chiavi fornite dal cliente nella Guida per l'utente di Amazon Simple Storage Service.

Crittografia lato client

Se un oggetto è crittografato utilizzando la crittografia lato client, Macie non può decrittografare l'oggetto. Macie può solo archiviare e riportare i metadati dell'oggetto. Ad esempio, Macie può riportare le dimensioni dell'oggetto e i tag associati all'oggetto.

Per informazioni su questo tipo di crittografia nel contesto di Amazon S3, consulta Proteggere i dati utilizzando la crittografia lato client nella Guida per l'utente di Amazon Simple Storage Service.

Puoi filtrare l'inventario dei bucket in Macie per determinare in quali bucket S3 sono archiviati oggetti che utilizzano determinati tipi di crittografia. Puoi anche determinare quali bucket utilizzano determinati tipi di crittografia lato server per impostazione predefinita quando archiviano nuovi oggetti. La tabella seguente fornisce esempi di filtri che puoi applicare al tuo inventario dei bucket per trovare queste informazioni.

Per mostrare i bucket che...	Applica questo filtro...
Archivia oggetti che utilizzano la SSE crittografia -C	Il numero di oggetti mediante crittografia* è fornito dal cliente e il valore da = 1*
Archivia oggetti che utilizzano DSSE - KMS o SSE - KMS la crittografia	Il conteggio degli oggetti tramite crittografia viene AWS KMS gestito e From = 1
Archivia oggetti che utilizzano la SSE crittografia -S3	Il numero di oggetti tramite crittografia è gestito da Amazon S3 e From = 1
Archivia oggetti che utilizzano la crittografia lato client (o non sono crittografati)	Il numero di oggetti mediante crittografia è Nessuna crittografia e Da = 1
Crittografa i nuovi oggetti per impostazione predefinita utilizzando DSSE - encryption KMS	Crittografia predefinita = aws:kms:dsse
Crittografa nuovi oggetti per impostazione predefinita utilizzando - crittografia SSE KMS	Crittografia predefinita = aws:kms
Crittografa nuovi oggetti per impostazione predefinita utilizzando la crittografia -S3 SSE	Crittografia predefinita = AES256

Se un bucket è configurato per crittografare nuovi oggetti per impostazione predefinita utilizzando DSSE - KMS o SSE - KMS la crittografia, puoi anche determinare quale AWS KMS key viene utilizzato. Per fare ciò, scegli il bucket nella pagina dei bucket S3. Nel pannello dei dettagli del bucket, sotto Crittografia lato server, fai riferimento al campo. AWS KMS key Questo campo mostra l'Amazon Resource Name (ARN) o l'identificatore univoco (ID chiave) per la chiave.

Consentire a Macie di utilizzare un servizio gestito dal cliente AWS KMS key

Se un oggetto Amazon S3 è crittografato utilizzando la crittografia lato server a doppio livello o la crittografia lato server con una crittografia gestita dal cliente KMS (DSSE- AWS KMS key o -)SSE, KMS Amazon Macie può decrittografare l'oggetto solo se gli è consentito l'uso della chiave. Il modo in cui fornire questo accesso dipende dal fatto che l'account proprietario della chiave possieda anche il bucket S3 che memorizza l'oggetto:

Se lo stesso account possiede l' AWS KMS key and the bucket, un utente dell'account deve aggiornare la policy della chiave.
Se un account possiede il bucket AWS KMS key e un altro account possiede il bucket, un utente dell'account che possiede la chiave deve consentire l'accesso alla chiave da più account.

Questo argomento descrive come eseguire queste attività e fornisce esempi per entrambi gli scenari. Per ulteriori informazioni su come consentire l'accesso ai servizi gestiti dai clienti AWS KMS keys, consulta KMSla sezione Accesso chiave e autorizzazioni nella Guida per gli AWS Key Management Service sviluppatori.

Consentire l'accesso dello stesso account a una chiave gestita dal cliente

Se lo stesso account possiede AWS KMS key sia il bucket S3 che il bucket S3, un utente dell'account deve aggiungere una dichiarazione alla policy relativa alla chiave. L'istruzione aggiuntiva deve consentire al ruolo collegato al servizio Macie dell'account di decrittografare i dati utilizzando la chiave. Per informazioni dettagliate sull'aggiornamento di una politica chiave, consulta Modifica di una politica chiave nella Guida per gli sviluppatori.AWS Key Management Service

Nella dichiarazione:

L'Principalelemento deve specificare l'Amazon Resource Name (ARN) del ruolo collegato al servizio Macie per l'account che possiede il bucket AWS KMS key S3.

Se l'account è in modalità opt-in Regione AWS, ARN deve includere anche il codice regionale appropriato per la regione. Ad esempio, se l'account si trova nella regione del Medio Oriente (Bahrein), che ha il codice regionale me-south-1, l'elemento deve specificare, dove Principal arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie 123456789012 è l'ID dell'account. Per un elenco dei codici regionali per le regioni in cui Macie è attualmente disponibile, consulta Endpoint e quote Amazon Macie nel. Riferimenti generali di AWS
L'Actionarray deve specificare l'azione. kms:Decrypt Questa è l'unica AWS KMS azione che Macie deve poter eseguire per decrittografare un oggetto S3 crittografato con la chiave.

Di seguito è riportato un esempio dell'istruzione da aggiungere alla policy per un. AWS KMS key


{
    "Sid": "Allow the Macie service-linked role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Nell'esempio precedente:

Il AWS campo dell'Principalelemento specifica il ARN ruolo collegato al servizio Macie (AWSServiceRoleForAmazonMacie) per l'account. Consente al ruolo collegato al servizio Macie di eseguire l'azione specificata dalla dichiarazione politica. 123456789012 è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account che possiede la KMS chiave e il bucket S3.
L'Actionarray specifica l'azione che il ruolo collegato al servizio Macie può eseguire utilizzando la KMS chiave: decrittografare il testo cifrato crittografato con la chiave.

La posizione in cui si aggiunge questa dichiarazione a una politica chiave dipende dalla struttura e dagli elementi attualmente contenuti nella politica. Quando aggiungete l'istruzione, assicuratevi che la sintassi sia valida. Le politiche chiave utilizzano il JSON formato. Ciò significa che è necessario aggiungere anche una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica.

Consentire l'accesso tra più account a una chiave gestita dal cliente

Se un account possiede il AWS KMS key (proprietario della chiave) e un altro account possiede il bucket S3 (proprietario del bucket), il proprietario della chiave deve fornire al proprietario del bucket l'accesso alla chiave da più account. KMS Per fare ciò, il proprietario della chiave si assicura innanzitutto che la politica della chiave consenta al proprietario del bucket di utilizzare la chiave e di creare una concessione per la chiave. Il proprietario del bucket crea quindi una concessione per la chiave. Una sovvenzione è uno strumento politico che consente ai AWS mandanti di utilizzare KMS le chiavi nelle operazioni crittografiche se le condizioni specificate dalla concessione sono soddisfatte. In questo caso, la concessione delega le autorizzazioni pertinenti al ruolo collegato al servizio Macie per l'account del proprietario del bucket.

Per informazioni dettagliate sull'aggiornamento di una politica chiave, consulta Modifica di una politica chiave nella Guida per gli sviluppatori.AWS Key Management Service Per ulteriori informazioni sulle sovvenzioni, consulta Grants AWS KMS nella AWS Key Management Service Developer Guide.

Fase 1: Aggiorna la politica chiave

Nella politica chiave, il proprietario della chiave deve assicurarsi che la politica includa due dichiarazioni:

La prima istruzione consente al proprietario del bucket di utilizzare la chiave per decrittografare i dati.
La seconda istruzione consente al proprietario del bucket di creare una concessione per il ruolo collegato al servizio Macie per il proprio account (del proprietario del bucket).

Nella prima istruzione, l'Principalelemento deve specificare l'account del proprietario ARN del bucket. L'Actionarray deve specificare l'kms:Decryptazione. Questa è l'unica AWS KMS azione che Macie deve poter eseguire per decriptare un oggetto cifrato con la chiave. Di seguito è riportato un esempio di questa dichiarazione nella politica per un. AWS KMS key


{
    "Sid": "Allow account 111122223333 to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Nell'esempio precedente:

Il AWS campo nell'Principalelemento specifica l'account ARN del proprietario del bucket (111122223333). Consente al proprietario del bucket di eseguire l'azione specificata dall'informativa. 111122223333 è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account del proprietario del bucket.
L'Actionarray specifica l'azione che il proprietario del bucket è autorizzato a eseguire utilizzando la KMS chiave: decrittografare il testo cifrato crittografato con la chiave.

La seconda dichiarazione della policy chiave consente al proprietario del bucket di creare una concessione per il ruolo collegato al servizio Macie per il proprio account. In questa dichiarazione, l'Principalelemento deve specificare l'account del ARN proprietario del bucket. L'Actionarray deve specificare l'kms:CreateGrantazione. Un Condition elemento può filtrare l'accesso kms:CreateGrant all'azione specificata nell'istruzione. Di seguito è riportato un esempio di questa dichiarazione nella politica per un AWS KMS key.


{
    "Sid": "Allow account 111122223333 to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
        }
    }
}

Nell'esempio precedente:

Il AWS campo nell'Principalelemento specifica l'account ARN del proprietario del bucket (111122223333). Consente al proprietario del bucket di eseguire l'azione specificata dall'informativa. 111122223333 è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account del proprietario del bucket.
L'Actionarray specifica l'azione che il proprietario del bucket è autorizzato a eseguire sulla KMS chiave: creare una concessione per la chiave.
L'Conditionelemento utilizza l'operatore di StringEquals condizione e la chiave di kms:GranteePrincipal condizione per filtrare l'accesso all'azione specificata dall'informativa. In questo caso, il proprietario del bucket può creare una concessione solo per il ruolo specificatoGranteePrincipal, ovvero il ARN ruolo collegato al servizio Macie per il proprio account. In questo ARN caso, 111122223333 è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account del proprietario del bucket.

Se l'account del proprietario del bucket è abilitato Regione AWS, includi anche il codice regionale appropriato nel ruolo collegato al servizio ARN Macie. Ad esempio, se l'account si trova nella regione del Medio Oriente (Bahrein), con il codice regionale me-south-1, sostituiscilo con in. macie.amazonaws.com macie.me-south-1.amazonaws.com ARN Per un elenco dei codici regionali per le regioni in cui Macie è attualmente disponibile, consulta Endpoint e quote Amazon Macie nel. Riferimenti generali di AWS

Il luogo in cui il proprietario della chiave aggiunge queste istruzioni alla politica chiave dipende dalla struttura e dagli elementi attualmente contenuti nella politica. Quando il proprietario della chiave aggiunge le istruzioni, deve assicurarsi che la sintassi sia valida. Le politiche chiave utilizzano il JSON formato. Ciò significa che il proprietario della chiave deve aggiungere anche una virgola prima o dopo ogni istruzione, a seconda di dove aggiunge l'istruzione alla politica.

Fase 2: Creare una sovvenzione

Dopo che il proprietario della chiave ha aggiornato la policy chiave secondo necessità, il proprietario del bucket deve creare una concessione per la chiave. La concessione delega le autorizzazioni pertinenti al ruolo collegato al servizio Macie per il loro account (del proprietario del bucket). Prima che il proprietario del bucket crei la concessione, deve verificare di essere autorizzato a eseguire l'azione per il proprio account. kms:CreateGrant Questa azione consente loro di aggiungere una sovvenzione a una sovvenzione esistente gestita AWS KMS key dal cliente.

Per creare la concessione, il proprietario del bucket può utilizzare l'CreateGrantoperazione di. AWS Key Management Service API Quando il proprietario del bucket crea la concessione, deve specificare i seguenti valori per i parametri richiesti:

KeyId— La ARN KMS chiave. Per l'accesso a una KMS chiave da più account, questo valore deve essere unARN. Non può essere un ID chiave.
GranteePrincipal— Il ARN ruolo collegato al servizio Macie (AWSServiceRoleForAmazonMacie) per il loro account. Questo valore dovrebbe essere, dove arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie 111122223333 è l'ID dell'account del proprietario del bucket.

Se il suo account si trova in una regione che accetta l'iscrizione, ARN deve includere il codice regionale appropriato. Ad esempio, se il suo account si trova nella regione del Medio Oriente (Bahrein), che ha il codice regionale me-south-1, dovrebbe essere, dove ARN arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie 111122223333 è l'ID dell'account del proprietario del bucket.
Operations— L'azione di AWS KMS decrittografia (). Decrypt Questa è l'unica AWS KMS azione che Macie deve poter eseguire per decriptare un oggetto cifrato con la chiave. KMS

Per creare una concessione per una KMS chiave gestita dal cliente utilizzando AWS Command Line Interface (AWS CLI), esegui il comando create-grant. L'esempio seguente mostra come. L'esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.


C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"

Dove:

key-idspecifica la chiave a cui applicare ARN la concessione. KMS
grantee-principalspecifica il ARN ruolo collegato al servizio Macie per l'account autorizzato a eseguire l'azione specificata dalla concessione. Questo valore deve corrispondere a quello ARN specificato dalla kms:GranteePrincipal condizione della seconda istruzione nella politica chiave.
operationsspecifica l'azione che la concessione consente al principale specificato di eseguire: decrittografare il testo cifrato crittografato con la chiave. KMS

Se eseguirai il comando correttamente, riceverai un output simile al seguente.


{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Dove GrantToken è una stringa univoca, non segreta, a lunghezza variabile e con codifica in base64 che rappresenta la concessione creata e ne rappresenta l'identificatore univoco. GrantId

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Identificatori di dati gestiti consigliati per i lavori

Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili