Se desejar, configure AWS KMS keys - AWS Control Tower
Atualizar a política de chave do KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Se desejar, configure AWS KMS keys

Se você quiser criptografar e descriptografar seus recursos com uma chave de AWS KMS criptografia, marque a caixa de seleção. Se tiver chaves existentes, você poderá selecioná-las pelos identificadores exibidos em um menu suspenso. Você pode gerar uma nova chave escolhendo Criar uma chave. Você pode adicionar ou alterar uma chave do KMS sempre que atualizar a zona de pouso.

Quando você seleciona Configurar zona de pouso, o AWS Control Tower realiza uma pré-verificação para validar sua chave do KMS. A chave também deve atender a estes requisitos:

  • Habilitada

  • Simétrica

  • Não ser uma chave multirregional

  • Ter as permissões corretas adicionadas à política

  • Estar na conta de gerenciamento

Poderá ser exibido um banner de erro se a chave não atender a esses requisitos. Nesse caso, escolha outra chave ou gere uma. Certifique-se de atualizar a política de permissões da chave, conforme descrito na próxima seção.

Atualizar a política de chave do KMS

Antes de atualizar uma política de chave do KMS, você deve criar uma chave do KMS. Para obter mais informações, consulte Criar uma política de chave no Guia do desenvolvedor do AWS Key Management Service .

Para usar uma chave do KMS com o AWS Control Tower, você deve atualizar a política padrão de chaves do KMS adicionando as permissões mínimas necessárias para e. AWS Config AWS CloudTrail Como prática recomendada, sugerimos que você inclua as permissões mínimas exigidas em qualquer política. Ao atualizar uma política de chave do KMS, você pode adicionar permissões como um grupo em uma única instrução JSON ou linha por linha.

O procedimento descreve como atualizar a política de chave KMS padrão no AWS KMS console adicionando declarações de política que permitem AWS Config e devem CloudTrail ser usadas AWS KMS para criptografia. As instruções de política exigem que você inclua as seguintes informações:

  • YOUR-MANAGEMENT-ACCOUNT-ID: o ID da conta de gerenciamento na qual o AWS Control Tower será configurado.

  • YOUR-HOME-REGION: a região de origem que você selecionará ao configurar o AWS Control Tower.

  • YOUR-KMS-KEY-ID: o ID da chave do KMS que será usado com a política.

Como atualizar a política de chave do KMS

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms

  2. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  3. Na tabela, selecione a chave que você deseja editar.

  4. Na guia Política de chave, verifique se você consegue visualizar a política de chave. Se você não conseguir visualizar a política de chave, escolha Alternar para a visualização da política.

  5. Escolha Editar e atualize a política de chaves padrão do KMS adicionando as seguintes declarações de política para AWS Config e. CloudTrail

    AWS Config declaração de política 

    {
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

    CloudTrail declaração de política 

    {
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

  6. Escolha Salvar alterações.

Exemplo de política de chave do KMS

O exemplo de política a seguir mostra como sua política de chaves do KMS pode parecer depois de adicionar as declarações de política que concedem AWS Config e CloudTrail as permissões mínimas necessárias. O exemplo de política não inclui a política de chave padrão do KMS. 

{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Para ver outros exemplos de políticas, consulte as seguintes páginas:

Proteção contra invasores

Ao adicionar determinadas condições às suas políticas, você pode ajudar a evitar um tipo específico de ataque, conhecido como ataque confused deputy, que ocorre se uma entidade coagir uma entidade com mais privilégios a realizar uma ação, como a falsificação de identidade entre serviços. Também consulte informações gerais sobre condições de política em Especificar condições em uma política.

O AWS Key Management Service (AWS KMS) permite que você crie chaves KMS multirregionais e chaves assimétricas; no entanto, o AWS Control Tower não oferece suporte a chaves multirregionais ou chaves assimétricas. O AWS Control Tower realiza uma pré-verificação das chaves existentes. Você poderá receber uma mensagem de erro se selecionar uma chave multirregional ou uma chave assimétrica. Nesse caso, gere outra chave para usar com os recursos do AWS Control Tower.

Para obter mais informações sobre AWS KMS, consulte o Guia do AWS KMS desenvolvedor.

Observe que os dados do cliente no AWS Control Tower são criptografados em repouso, por padrão, usando SSE-S3.