Security Hub 控制 AWS KMS - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 控制 AWS KMS

這些 AWS Security Hub 控制項:評估 AWS Key Management Service (AWS KMS)服務和資源。

這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性

[KMS.1] IAM 客戶管理策略不應允許對所有密KMS鑰進行解密操作

相關要求: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

類別:保護 > 安全存取管理

嚴重性:

資源類型:AWS::IAM::Policy

AWS Config 規則:iam-customer-policy-blocked-kms-actions

排程類型:已觸發變更

參數:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(不可定制)

  • excludePermissionBoundaryPolicyTrue(不可定制)

檢查IAM客戶管理策略的預設版本是否允許主參與者使用 AWS KMS 解密所有資源上的動作。如果政策足夠開放以允許kms:Decrypt或對所有KMS金鑰kms:ReEncryptFrom執行動作,則控制項會失敗。

控制項只會檢查 Resource 項目中的KMS索引鍵,而不會考慮原則之 Condition 項目中的任何條件。此外,控制項還會評估附加和未連接的客戶管理政策。它不檢查內聯策略或 AWS 受管理的策略。

同 AWS KMS,您可以控制誰可以使用您的密KMS鑰並訪問您的加密數據。IAM策略定義身分識別 (使用者、群組或角色) 可對哪些資源執行的動作。遵循安全性最佳做法, AWS 建議您允許最低權限。換句話說,您應該僅授與kms:Decryptkms:ReEncryptFrom權限,並僅授與執行工作所需的金鑰。否則,使用者可能會使用不適合您資料的金鑰。

決定使用者存取加密資料所需的最小金鑰集,而不是授與所有金鑰的權限。然後設計原則,讓使用者只能使用這些金鑰。例如,不允許所有KMS金鑰的kms:Decrypt權限。相反,kms:Decrypt只允許您帳戶的特定區域中的密鑰。通過採用最低權限原則,您可以降低數據意外披露的風險。

修補

若要修改IAM客戶管理的策略,請參閱《IAM使用指南》中的編輯客戶管理策略。編輯政策時,針對Resource欄位提供您要允許解密動作的特定金鑰或金鑰的 Amazon 資源名稱 (ARN)。

[KMS.2] IAM 主體不應具有允許對所有KMS金鑰進行解密動作的IAM內嵌政策

相關要求: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

類別:保護 > 安全存取管理

嚴重性:

資源類型:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config 規則:iam-inline-policy-blocked-kms-actions

排程類型:已觸發變更

參數:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(不可定制)

此控制項會檢查內嵌在IAM身分識別 (角色、使用者或群組) 中的內嵌原則是否允許 AWS KMS 解密和重新加密所有KMS金鑰的動作。如果政策足夠開放以允許kms:Decrypt或對所有KMS金鑰kms:ReEncryptFrom執行動作,則控制項會失敗。

控制項只會檢查 Resource 項目中的KMS索引鍵,而不會考慮原則之 Condition 項目中的任何條件。

同 AWS KMS,您可以控制誰可以使用您的密KMS鑰並訪問您的加密數據。IAM策略定義身分識別 (使用者、群組或角色) 可對哪些資源執行的動作。遵循安全性最佳做法, AWS 建議您允許最低權限。換句話說,您應該僅授與身分識別所需的權限,並僅授與執行工作所需的金鑰。否則,使用者可能會使用不適合您資料的金鑰。

決定使用者存取加密資料所需的最小金鑰集,而不是授與所有金鑰的權限。然後設計原則,讓使用者只能使用這些金鑰。例如,不允許所有KMS金鑰的kms:Decrypt權限。而是僅允許您帳戶的特定區域中特定密鑰的權限。通過採用最低權限原則,您可以降低數據意外披露的風險。

修補

若要修改內IAM嵌政策,請參閱IAM使用指南中的編輯內嵌政策。編輯政策時,針對Resource欄位提供您要允許解密動作的特定金鑰或金鑰的 Amazon 資源名稱 (ARN)。

[KMS3] AWS KMS keys 不應被無意中刪除

相關要求: NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-12、2

分類:保護 > 資料保護 > 資料刪除保護

嚴重性:嚴重

資源類型:AWS::KMS::Key

AWS Config 規則:kms-cmk-not-scheduled-for-deletion-2(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

此控制項會檢查是否已排定要刪除的KMS金鑰。如果已排定要刪除的KMS金鑰,則控制項會失敗。

KMS金鑰一旦刪除,就無法復原。如果密鑰被刪除,則在密KMS鑰下加密的數據也將KMS永久無法恢復。如果有意義的資料已使用排定KMS要刪除的金鑰加密,請考慮將資料解密或以新KMS金鑰重新加密資料,除非您故意執行加密刪除。

當KMS索引鍵排定要刪除時,如果排定錯誤,則會強制執行強制等待期間,以允許有時間回復刪除作業。預設等待期為 30 天,但在排定刪除KMS金鑰時,可縮短至最短 7 天。在等待期間,可以取消排定的刪除,且不會刪除KMS金鑰。

如需有關刪除KMS金鑰的其他資訊,請參閱刪除 KMS AWS Key Management Service 開發人員指南

修補

若要取消已排程的KMS金鑰刪除,請參閱中的排程和取消金鑰刪除 (主控台) 下的若要取消金鑰刪除 AWS Key Management Service 開發人員指南

[KMS.4] AWS KMS 鍵旋轉應該被啟用

相關要求:PCIDSSCIS AWS 基金會基準測試版 3.0.0/3.6 CIS AWS 基金會基準測試版 1.4.0/3.8 CIS AWS 基金會基準指標 V1.2.0/2.8, NIST.800-53.r5 SC-1 二, 二 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 8 (3)

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型:AWS::KMS::Key

AWS Config 規則:cmk-backing-key-rotation-enabled

排程類型:定期

參數:

AWS KMS 可讓客戶旋轉儲存在其中的關鍵材料的後備鍵 AWS KMS 並綁定到密鑰的密KMS鑰 ID。它是用來執行加密操作的備份金鑰,例如加密和解密。自動化輪換金鑰目前會保留之前所有的備份金鑰,以便透明解密加密的資料。

CIS建議您啟用KMS按鍵旋轉。輪換加密金鑰有助於降低被盜用金鑰造成的可能影響,因為可能公開的舊金鑰無法存取使用新金鑰加密的資料。

修補

若要啟用KMS按鍵旋轉,請參閱如何啟用和停用自動按鍵旋轉 AWS Key Management Service 開發人員指南