Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per impostazione predefinita, Amazon SES crittografa tutti i dati inattivi. La crittografia predefinita aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati. La crittografia consente inoltre di creare archivi di Mail Manager che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
SES offre le seguenti opzioni di crittografia:
-
AWS chiavi di proprietà: SES le utilizza per impostazione predefinita. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la pagina chiavi di proprietàAWS nella Guida per gli sviluppatori di AWS Key Management Service .
-
Chiavi gestite dal cliente: SES supporta l'uso di chiavi simmetriche gestite dal cliente che create, possedete e gestite. Poiché hai il pieno controllo della crittografia, puoi eseguire attività come:
-
Stabilire e mantenere le policy delle chiavi
-
Stabilire e mantenere le policy e le sovvenzioni IAM
-
Abilitare e disabilitare le policy delle chiavi
-
Ruotare i materiali crittografici delle chiavi
-
Aggiungere tag
-
Creare alias delle chiavi
-
Pianificare l’eliminazione delle chiavi
Per utilizzare la tua chiave, scegli una chiave gestita dal cliente quando crei le tue risorse SES.
Per ulteriori informazioni, consulta Customer managed keys nella Guida per sviluppatori AWS Key Management Service .
-
Nota
SES abilita automaticamente la crittografia a riposo utilizzando chiavi AWS di proprietà senza alcun costo.
Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i AWS Key Management Service prezzi
Creazione di una chiave gestita dal cliente
Puoi creare una chiave simmetrica gestita dal cliente utilizzando AWS Management Console, o il. AWS KMS APIs
Per creare una chiave simmetrica gestita dal cliente
Segui i passaggi per la creazione di chiavi KMS di crittografia simmetrica nella Guida per gli sviluppatori.AWS Key Management Service
Nota
Per l'archiviazione, la chiave deve soddisfare i seguenti requisiti:
-
La chiave deve essere simmetrica.
-
L'origine del materiale chiave deve essere.
AWS_KMS -
L'utilizzo della chiave deve essere
ENCRYPT_DECRYPT.
Policy della chiave
Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .
Per utilizzare la chiave gestita dal cliente con l'archiviazione di Mail Manager, la politica delle chiavi deve consentire le seguenti operazioni API:
-
kms: DescribeKey — Fornisce i dettagli chiave gestiti dal cliente che consentono a SES di convalidare la chiave.
-
kms: GenerateDataKey — Consente a SES di generare una chiave dati per crittografare i dati inattivi.
-
kms:Decrypt — Consente a SES di decrittografare i dati memorizzati prima di restituirli ai client API.
L'esempio seguente mostra una politica chiave tipica:
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},Per ulteriori informazioni, consulta Specificare le autorizzazioni in una politica, nella Guida per gli AWS Key Management Service sviluppatori.
Per ulteriori informazioni sulla risoluzione dei problemi, consulta la sezione Risoluzione dei problemi di accesso tramite chiave, nella Guida per gli AWS Key Management Service sviluppatori.
Specificazione di una chiave gestita dal cliente per l'archiviazione di Mail Manager
È possibile specificare una chiave gestita dal cliente come alternativa all'utilizzo di chiavi di AWS proprietà. Quando si crea un archivio, è possibile specificare la chiave dati inserendo una chiave KMS ARN, che l'archiviazione di Mail Manager utilizza per crittografare tutti i dati dei clienti nell'archivio.
-
ARN della chiave KMS: un identificatore chiave per AWS KMS una chiave gestita dal cliente. Inserisci l'ID della chiave, l'ARN della chiave, il nome dell'alias o l'ARN dell'alias.
Contesto di crittografia di Amazon SES
Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
Nota
Amazon SES non supporta i contesti di crittografia per la creazione di archivi. Utilizza invece una policy IAM o KMS. Per esempioPolitiche di creazione degli archivi, consulta le politiche più avanti in questa sezione.
Contesto di crittografia Amazon SES
SES utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, in cui la chiave è aws:ses:arn e il valore è la risorsa Amazon Resource Name (ARN).
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}Utilizzo del contesto di crittografia per il monitoraggio
Quando utilizzi una chiave simmetrica gestita dal cliente per crittografare la tua risorsa SES, puoi anche utilizzare il contesto di crittografia nei record e nei log di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.
Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come conditions per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
SES utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nell'account o nella regione dell'utente. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}
}
}Politiche di creazione degli archivi
Le seguenti politiche di esempio mostrano come abilitare la creazione di archivi. Le politiche funzionano su tutte le risorse.
Policy IAM
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ses:CreateArchive",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com",
"kms:CallerAccount": "012345678910"
}
}
}AWS KMS policy
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},Monitoraggio delle chiavi di crittografia per Amazon SES
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon SES, puoi utilizzare AWS CloudTrailAmazon CloudWatch Logs per tenere traccia delle richieste inviate da AWS KMS SES.
Gli esempi seguenti sono AWS CloudTrail eventi per e per GenerateDataKey DescribeKey monitorare le operazioni KMS chiamate da SES per accedere ai dati crittografati dalla chiave gestita dal cliente: Decrypt
Quando abiliti una chiave gestita AWS KMS dal cliente per la tua risorsa, SES crea una chiave di tabella unica. Invia una GenerateDataKey richiesta a AWS KMS che specifica la chiave gestita AWS KMS dal cliente per la risorsa.
Quando si abilita una chiave gestita AWS KMS dal cliente per la risorsa di archivio di Mail Manager, questa verrà utilizzata GenerateDataKey per crittografare i dati di archivio inattivi.
L'evento di esempio seguente registra l'operazione GenerateDataKey:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
-
Per ulteriori informazioni su Concetti base di AWS Key Management Service, consulta la Guida per gli sviluppatori di AWS Key Management Service .
-
Per ulteriori informazioni su Best Practice di sicurezza per AWS Key Management Service nella Guida per sviluppatori di AWS Key Management Service .
