As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Por padrão, o Amazon SES criptografa todos os dados em repouso. Por padrão, a criptografia ajuda a reduzir a sobrecarga operacional e a complexidade envolvidas na proteção de dados. A criptografia também permite que você crie arquivos do Mail Manager que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.
O SES fornece as seguintes opções de criptografia:
-
AWS chaves de propriedade — o SES as usa por padrão. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso. No entanto, não é necessário tomar nenhuma medida nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte chaves de propriedade da AWS no Guia do desenvolvedor do AWS Key Management Service .
-
Chaves gerenciadas pelo cliente: o SES oferece suporte ao uso de chaves simétricas gerenciadas pelo cliente que você cria, possui e gerencia. Uma vez que você tem controle total da criptografia, é possível realizar tarefas como:
-
Estabelecer e manter as políticas de chave
-
Estabelecer e manter subsídios e IAM policies
-
Habilitar e desabilitar políticas de chaves
-
Alternar os materiais de criptografia de chave
-
Adicionar etiquetas
-
Criar réplicas de chaves
-
Chaves de agendamento para exclusão
Para usar sua própria chave, escolha uma chave gerenciada pelo cliente ao criar os recursos do SES.
Para obter mais informações, consulte Chaves mestras do cliente (CMKs) no AWS Key Management Service Guia do desenvolvedor.
-
nota
O SES habilita automaticamente a criptografia em repouso usando chaves AWS próprias, sem nenhum custo.
No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte definição de preços da AWS Key Management Service
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console, ou o. AWS KMS APIs
Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas para Criar chaves do KMS de criptografia simétrica no Guia do desenvolvedor do AWS Key Management Service .
nota
Para o arquivamento, sua chave deve atender aos seguintes requisitos:
-
A chave deve ser simétrica.
-
A origem do material da chave deve ser
AWS_KMS. -
O uso da chave deve ser
ENCRYPT_DECRYPT.
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Gerenciamento do acesso às chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service .
Para usar sua chave gerenciada pelo cliente com o arquivamento do Mail Manager, sua política de chave deve permitir as seguintes operações de API:
-
kms: DescribeKey — Fornece os detalhes da chave gerenciada pelo cliente que permitem que o SES valide a chave.
-
kms: GenerateDataKey — Permite que o SES gere uma chave de dados para criptografar dados em repouso.
-
kms:Decrypt: permite que o SES descriptografe os dados armazenados antes de devolvê-los aos clientes da API.
O exemplo a seguir mostra uma política de chave típica:
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},Para obter mais informações, consulte especificação de permissões em uma política, no Guia do desenvolvedor do AWS Key Management Service .
Para obter mais informações sobre solução de problemas, consulte solucionar problemas de acesso à chave no Guia do desenvolvedor do AWS Key Management Service .
Especificar uma chave gerenciada pelo cliente para o arquivamento do Mail Manager
Você pode especificar uma chave gerenciada pelo cliente como alternativa ao uso de chaves AWS próprias. Ao criar um arquivo, você pode especificar a chave de dados inserindo o ARN da chave KMS, que o arquivamento do Mail Manager usa para criptografar todos os dados do cliente no arquivo.
-
kmsKeyArn: um identificador de chave para uma chave gerenciada pelo cliente da AWS KMS . Insira uma ID de chave, um ARN de chave, um nome de alias ou um ARN de alias.
Contexto de criptografia do Amazon SES
Um contexto de criptografia é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados.
AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.
nota
O Amazon SES não oferece suporte a contextos de criptografia para criação de arquivos. Em vez disso, é usada uma política IAM ou KMS. Para ver exemplos de políticas, consulte Políticas de criação de arquivos mais adiante nesta seção.
Contexto de criptografia do Amazon SES
O SES usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas, onde a chave está aws:ses:arn e o valor é o recurso Amazon Resource Name (ARN).
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}Uso do contexto de criptografia para monitoramento
Ao usar uma chave simétrica gerenciada pelo cliente para criptografar o recurso do SES, você também pode utilizar o contexto de criptografia em registros de auditoria e logs para identificar como a chave gerenciada pelo cliente está sendo utilizada. O contexto de criptografia também aparece nos registros gerados pelo AWS CloudTrail ou Amazon CloudWatch Logs.
Uso do contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chaves e políticas do IAM como conditions e controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
O SES utiliza uma restrição ao contexto de criptografia em concessões para controlar o acesso à chave gerenciada pelo cliente na sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}
}
}Políticas de criação de arquivos
O exemplo de políticas a seguir mostra como habilitar a criação de arquivos. As políticas funcionam em todos os ativos.
Política do IAM
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ses:CreateArchive",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com",
"kms:CallerAccount": "012345678910"
}
}
}AWS KMS política
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},Monitorar suas chaves de criptografia para o Amazon SES
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos do Amazon SES, você pode usar AWS CloudTrailo Amazon CloudWatch Logs para rastrear as solicitações enviadas pelo SES AWS KMS.
Os exemplos a seguir são AWS CloudTrail eventos paraGenerateDataKey,Decrypt, e DescribeKey para monitorar operações KMS chamadas pelo SES para acessar dados criptografados pela chave gerenciada pelo cliente:
Quando você ativa uma chave gerenciada pelo AWS KMS cliente para seu recurso, o SES cria uma chave de tabela exclusiva. Ele envia uma GenerateDataKey solicitação AWS KMS que especifica a chave gerenciada pelo AWS KMS cliente para o recurso.
Quando você ativa uma chave gerenciada pelo AWS KMS cliente para seu recurso de arquivamento do Mail Manager, ela é usada GenerateDataKey ao criptografar dados arquivados em repouso.
O evento de exemplo a seguir registra a operação GenerateDataKey:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}Saiba mais
Os recursos a seguir fornecem mais informações sobre a criptografia de dados em pausa.
-
Para obter mais informações sobre conceitos básicos do AWS Key Management Service, consulte o Guia do desenvolvedor do AWS Key Management Service .
-
Para obter mais informações sobre as melhores práticas de segurança para o AWS Key Management Service, consulte o Guia do desenvolvedor do AWS Key Management Service .
