기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이러한 AWS Security Hub 제어는 AWS Key Management Service (AWS KMS) 서비스 및 리소스를 평가합니다.
이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.
[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.
관련 요구 사항: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)
범주: 보호 > 보안 액세스 관리
심각도: 중간
리소스 유형: AWS::IAM::Policy
AWS Config 규칙: iam-customer-policy-blocked-kms-actions
스케줄 유형: 변경이 트리거됨
파라미터:
-
blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(사용자 지정할 수 없음) -
excludePermissionBoundaryPolicy:True(사용자 지정할 수 없음)
IAM 고객 관리형 정책의 기본 버전이 보안 주체가 모든 리소스에서 AWS KMS 복호화 작업을 사용하도록 허용하는지 확인합니다. 모든 KMS 키에 대해 kms:Decrypt 또는 kms:ReEncryptFrom 작업을 허용할 만큼 정책이 공개되어 있으면 제어가 실패합니다.
제어는 리소스 요소의 KMS 키만 검사하고 정책의 조건 요소에 있는 조건은 고려하지 않습니다. 또한 제어는 연결된 고객 관리형 정책과 연결되지 않은 고객 관리형 정책을 모두 평가합니다. 인라인 정책 또는 AWS 관리형 정책은 확인하지 않습니다.
AWS KMS를 사용하면 KMS 키를 사용할 수 있는 사용자를 제어하고 암호화된 데이터에 액세스할 수 있습니다. IAM 정책은 자격 증명(사용자, 그룹 또는 역할)이 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 정의합니다. 보안 모범 사례에 따라 최소 권한을 허용하는 것이 AWS 좋습니다. 즉, ID에 kms:Decrypt 또는 kms:ReEncryptFrom 권한만 부여하고 작업을 수행하는 데 필요한 키에 대해서만 부여해야 합니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수 있습니다.
모든 키에 대한 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 세트를 결정합니다. 그런 다음 사용자가 해당 키만 사용하도록 허용하는 정책을 설계합니다. 예를 들어, 모든 KMS 키에 대한 kms:Decrypt 권한을 허용하지 마세요. 대신 계정의 특정 리전에 있는 키에만 kms:Decrypt를 허용하세요. 최소 권한 원칙을 채택하면 데이터가 의도하지 않게 공개될 위험을 줄일 수 있습니다.
문제 해결
IAM 고객 관리형 정책을 수정하려면 IAM 사용 설명서의 고객 관리형 정책 편집을 참조하세요. 정책을 편집할 때 암호 해독 작업을 허용하려는 특정 키의 Amazon 리소스 이름(ARN)을 Resource 필드에 제공합니다.
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)
범주: 보호 > 보안 액세스 관리
심각도: 중간
리소스 유형:
-
AWS::IAM::Group -
AWS::IAM::Role -
AWS::IAM::User
AWS Config 규칙: iam-inline-policy-blocked-kms-actions
스케줄 유형: 변경이 트리거됨
파라미터:
-
blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(사용자 지정할 수 없음)
이 제어는 IAM 자격 증명(역할, 사용자 또는 그룹)에 포함된 인라인 정책이 모든 KMS 키에서 AWS KMS 복호화 및 재암호화 작업을 허용하는지 확인합니다. 모든 KMS 키에 대해 kms:Decrypt 또는 kms:ReEncryptFrom 작업을 허용할 만큼 정책이 공개되어 있으면 제어가 실패합니다.
제어는 리소스 요소의 KMS 키만 검사하고 정책의 조건 요소에 있는 조건은 고려하지 않습니다.
AWS KMS를 사용하면 KMS 키를 사용할 수 있는 사용자를 제어하고 암호화된 데이터에 액세스할 수 있습니다. IAM 정책은 자격 증명(사용자, 그룹 또는 역할)이 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 정의합니다. 보안 모범 사례에 따라 최소 권한을 허용하는 것이 AWS 좋습니다. 즉, 필요한 권한과 작업을 수행하는 데 필요한 키만 ID에 부여해야 합니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수 있습니다.
모든 키에 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 세트를 결정하세요. 그런 다음 사용자가 해당 키만 사용하도록 허용하는 정책을 설계합니다. 예를 들어, 모든 KMS 키에 대한 kms:Decrypt 권한을 허용하지 마세요. 대신 계정에 대한 특정 리전의 특정 키에 대해서만 권한을 허용하세요. 최소 권한 원칙을 채택하면 데이터가 의도하지 않게 공개될 위험을 줄일 수 있습니다.
문제 해결
IAM 인라인 정책을 수정하려면 IAM 사용 설명서의 인라인 정책 편집을 참조하세요. 정책을 편집할 때 암호 해독 작업을 허용하려는 특정 키의 Amazon 리소스 이름(ARN)을 Resource 필드에 제공합니다.
[KMS.3] 실수로 삭제해서는 AWS KMS keys 안 됩니다.
관련 요구 사항: NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-12(2)
범주: 보호 > 데이터 보호 > 데이터 삭제 보호
심각도: 심각
리소스 유형: AWS::KMS::Key
AWS Config 규칙: kms-cmk-not-scheduled-for-deletion-2 (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 KMS 키가 삭제되도록 예약되어 있는지 여부를 확인합니다. KMS 키 삭제가 예약된 경우, 제어가 실패합니다.
KMS 키는 일단 삭제되면 복구할 수 없습니다. KMS 키를 삭제하면 KMS 키로 암호화된 데이터도 영구적으로 복구할 수 없습니다. 삭제될 예정인 KMS 키로 의미 있는 데이터를 암호화한 경우, 의도적으로 암호화 삭제를 수행하지 않는 한 데이터를 해독하거나 새로운 KMS 키로 데이터를 다시 암호화하는 것을 고려해 보세요.
KMS 키 삭제가 예약되면 오류로 예약된 경우, 삭제를 되돌릴 수 있는 시간을 확보하기 위해 필수 대기 기간이 적용됩니다. 기본 대기 기간은 30일이지만 KMS 키 삭제가 예정된 경우, 짧게는 7일로 줄일 수 있습니다. 대기 기간 동안에는 예약된 삭제를 취소할 수 있으며 KMS 키는 삭제되지 않습니다.
KMS 키 삭제에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 KMS 키 삭제를 참조하세요.
문제 해결
예약된 KMS 키 삭제를 취소하려면 AWS Key Management Service 개발자 안내서의 키 삭제 예약 및 취소(콘솔) 아래의 키 삭제를 취소하려면을 참조하세요.
[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-12(2), NIST.800-53.r5 SC-28(3), PCI DSS v3.2.1/3.6.4, PCI DSS v4.0.1/3.7.4
범주: 보호 > 데이터 보호 > 저장 데이터 암호화
심각도: 중간
리소스 유형: AWS::KMS::Key
AWS Config 규칙: cmk-backing-key-rotation-enabled
스케줄 유형: 주기적
파라미터: 없음
AWS KMS 를 사용하면에 저장된 키 구성 요소이며 KMS 키의 키 ID에 AWS KMS 연결된 지원 키를 교체할 수 있습니다. 이 백업 키는 암호화, 해독 등 암호화 작업을 수행하는 데 사용됩니다. 자동화된 키 교체는 암호화된 데이터의 해독이 투명하게 이루어질 수 있도록 하기 위해 현재 모든 이전 버전의 백업 키를 유지합니다.
CIS에서는 KMS 키 순환을 활성화할 것을 권장합니다. 암호화 키를 교체하면 노출되었을 수 있는 이전 키로 새로운 키로는 암호화된 데이터에 액세스할 수 없으므로 침해된 키가 영향을 미칠 가능성을 줄일 수 있습니다.
문제 해결
KMS 키 교체를 활성화하려면 AWS Key Management Service 개발자 안내서의 자동 키 교체를 활성화 및 비활성화하는 방법을 참조하세요.
[KMS.5] KMS 키는 공개적으로 액세스할 수 없어야 합니다.
범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스
심각도: 심각
리소스 유형: AWS::KMS::Key
AWS Config 규칙: kms-key-policy-no-public-access
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어 AWS KMS key 는에 공개적으로 액세스할 수 있는지 확인합니다. KMS 키에 공개적으로 액세스할 수 있는 경우, 제어가 실패합니다.
최소 권한 액세스를 구현하는 것은 보안 위험과 오류 또는 악의적 의도의 영향을 줄이는 데 필수적입니다. 의 키 정책이 외부 계정에서 액세스를 AWS KMS key 허용하는 경우, 타사는 키를 사용하여 데이터를 암호화하고 복호화할 수 있습니다. 이로 인해 키를 사용하는에서 내부 또는 외부 위협이 데이터를 유출할 수 AWS 서비스 있습니다.
참고
또한이 제어는 구성으로 인해가 KMS 키의 구성 항목(CI)에 키 정책을 기록 AWS Config 하지 못하는 AWS KMS key 경우에 대한 FAILED 조사 결과를 반환합니다. 가 KMS 키의 CI에 키 정책을 채우 AWS Config 려면 AWS Config 역할이 GetKeyPolicy API 호출을 사용하여 키 정책을 읽을 수 있는 액세스 권한이 있어야 합니다. 이러한 유형의 FAILED 조사 결과를 해결하려면 AWS Config 역할이 KMS 키의 키 정책에 대한 읽기 액세스 권한을 갖지 못하게 할 수 있는 정책을 확인합니다. 예를 들어 다음을 확인합니다.
-
KMS 키의 키 정책입니다.
-
계정에 AWS Organizations 적용되는의 서비스 제어 정책(SCPs) 및 리소스 제어 정책(RCPs).
-
AWS Config 서비스 연결 AWS Config 역할을 사용하지 않는 경우 역할에 대한 권한입니다.
문제 해결
의 키 정책 업데이트에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 의 키 정책을 AWS KMS AWS KMS key참조하세요.
