Optional konfigurieren AWS KMS keys - AWS Control Tower
Aktualisieren Sie die KMS Schlüsselrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Optional konfigurieren AWS KMS keys

Wenn Sie Ihre Ressourcen mit einem AWS KMS Verschlüsselungsschlüssel ver- und entschlüsseln möchten, aktivieren Sie das Kontrollkästchen. Wenn Sie bereits Schlüssel haben, können Sie diese aus den Kennungen auswählen, die in einem Drop-down-Menü angezeigt werden. Sie können einen neuen Schlüssel generieren, indem Sie Schlüssel erstellen wählen. Sie können jederzeit einen KMS Schlüssel hinzufügen oder ändern, wenn Sie Ihre landing zone aktualisieren.

Wenn Sie landing zone einrichten auswählen, führt der AWS Control Tower eine Vorabprüfung durch, um Ihren KMS Schlüssel zu validieren. Der Schlüssel muss die folgenden Anforderungen erfüllen:

  • Aktiviert

  • Symmetrisch

  • Kein Schlüssel für mehrere Regionen

  • Wurden der Richtlinie die richtigen Berechtigungen hinzugefügt

  • Der Schlüssel befindet sich im Verwaltungskonto

Möglicherweise wird ein Fehlerbanner angezeigt, wenn der Schlüssel diese Anforderungen nicht erfüllt. Wählen Sie in diesem Fall einen anderen Schlüssel oder generieren Sie einen Schlüssel. Achten Sie darauf, die Berechtigungsrichtlinie des Schlüssels wie im nächsten Abschnitt beschrieben zu bearbeiten.

Aktualisieren Sie die KMS Schlüsselrichtlinie

Bevor Sie eine KMS wichtige Richtlinie aktualisieren können, müssen Sie einen KMS Schlüssel erstellen. Weitere Informationen finden Sie unter Erstellen einer Schlüsselrichtlinie im AWS Key Management Service -Entwicklerhandbuch.

Um einen KMS Schlüssel mit AWS Control Tower zu verwenden, müssen Sie die KMS Standardschlüsselrichtlinie aktualisieren, indem Sie die erforderlichen Mindestberechtigungen für AWS Config und hinzufügen AWS CloudTrail. Als bewährte Methode empfehlen wir, dass Sie die erforderlichen Mindestberechtigungen in jede Richtlinie aufnehmen. Wenn Sie eine KMS wichtige Richtlinie aktualisieren, können Sie Berechtigungen als Gruppe in einer einzelnen JSON Anweisung oder Zeile für Zeile hinzufügen.

Das Verfahren beschreibt, wie die standardmäßige KMS Schlüsselrichtlinie in der AWS KMS Konsole aktualisiert wird, indem Richtlinienanweisungen hinzugefügt werden, die Verschlüsselung zulassen AWS Config und CloudTrail AWS KMS für diese verwendet werden. Die Richtlinienerklärungen erfordern, dass Sie die folgenden Informationen angeben:

  • YOUR-MANAGEMENT-ACCOUNT-ID— die ID des Verwaltungskontos, in dem der AWS Control Tower eingerichtet wird.

  • YOUR-HOME-REGION— die Heimatregion, die Sie bei der Einrichtung des AWS Control Tower auswählen werden.

  • YOUR-KMS-KEY-ID— die KMS Schlüssel-ID, die für die Richtlinie verwendet wird.

Um die KMS Schlüsselrichtlinie zu aktualisieren

  1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms

  2. Wählen Sie im Navigationsbereich vom Kunden verwaltete Schlüssel aus.

  3. Wählen Sie in der Tabelle den Schlüssel aus, den Sie bearbeiten möchten.

  4. Stellen Sie auf der Registerkarte Schlüsselrichtlinie sicher, dass Sie die Schlüsselrichtlinie einsehen können. Wenn Sie die wichtige Richtlinie nicht anzeigen können, wählen Sie Zur Richtlinienansicht wechseln.

  5. Wählen Sie Bearbeiten und aktualisieren Sie die standardmäßige KMS Schlüsselrichtlinie, indem Sie die folgenden Richtlinienerklärungen für AWS Config und hinzufügen CloudTrail.

    AWS Config Grundsatzerklärung 

    {
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

    CloudTrail Grundsatzerklärung 

    {
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

  6. Wählen Sie Änderungen speichern.

Beispiel für eine KMS wichtige Richtlinie

Die folgende Beispielrichtlinie zeigt, wie Ihre KMS Schlüsselrichtlinie aussehen könnte, nachdem Sie die Richtlinienerklärungen hinzugefügt haben, die Berechtigungen gewähren AWS Config und CloudTrail die erforderlichen Mindestberechtigungen angeben. Die Beispielrichtlinie enthält nicht Ihre standardmäßige KMS Schlüsselrichtlinie. 

{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Weitere Beispielrichtlinien finden Sie auf den folgenden Seiten:

Schützen Sie sich vor Angreifern

Indem Sie Ihren Richtlinien bestimmte Bedingungen hinzufügen, können Sie dazu beitragen, eine bestimmte Art von Angriff zu verhindern, den sogenannten Confused Deputy Attack, der auftritt, wenn eine Entität eine Entität mit mehr Rechten dazu zwingt, eine Aktion auszuführen, z. B. durch dienstübergreifenden Identitätswechsel. Allgemeine Informationen zu den Richtlinienbedingungen finden Sie auch unter. Angeben von Bedingungen in einer Richtlinie

Mit AWS Key Management Service (AWS KMS) können Sie Schlüssel mit mehreren Regionen und asymmetrische KMS Schlüssel erstellen. AWS Control Tower unterstützt jedoch keine Schlüssel mit mehreren Regionen oder asymmetrische Schlüssel. AWSControl Tower führt eine Vorabprüfung Ihrer vorhandenen Schlüssel durch. Möglicherweise wird eine Fehlermeldung angezeigt, wenn Sie einen Schlüssel mit mehreren Regionen oder einen asymmetrischen Schlüssel auswählen. Generieren Sie in diesem Fall einen weiteren Schlüssel zur Verwendung mit AWS Control Tower Tower-Ressourcen.

Weitere Informationen zu AWS KMS finden Sie im AWS KMS Entwicklerhandbuch.

Beachten Sie, dass Kundendaten im AWS Control Tower im Ruhezustand standardmäßig mit SSE -S3 verschlüsselt werden.