Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So WorkMail verwendet Amazon AWS KMS
In diesem Thema wird erläutert, wie Amazon WorkMail verwendetAWS KMS, um E-Mail-Nachrichten zu verschlüsseln.
Themen
Amazon- WorkMail Übersicht
Amazon WorkMail ist ein sicherer, verwalteter Business-E-Mail- und Kalenderservice mit Unterstützung für bestehende Desktop- und mobile E-Mail-Clients. Sie können eine Amazon- WorkMail Organisation erstellen und ihr eine oder mehrere E-Mail-Domänen zuweisen, die Sie besitzen. Anschließend können Sie Postfächer für die E-Mail-Benutzer und Verteilergruppen in der Organisation erstellen.
Amazon verschlüsselt alle Nachrichten in den Postfächern aller Amazon- WorkMail Organisationen WorkMail transparent, bevor die Nachrichten auf die Festplatte geschrieben werden, und entschlüsselt die Nachrichten transparent, wenn Benutzer darauf zugreifen. Es gibt keine Option zum Deaktivieren der Verschlüsselung. Zum Schutz der Verschlüsselungsschlüssel, die die Nachrichten schützen, WorkMail ist Amazon in AWS Key Management Service (AWS KMS) integriert.
Amazon bietet WorkMail auch die Möglichkeit, Benutzern das Senden signierter oder verschlüsselter E-Mails zu ermöglichen. Diese Verschlüsselungsfunktion verwendet nicht AWS KMS .
Amazon- WorkMail Verschlüsselung
In Amazon kann WorkMailjede Organisation mehrere Postfächer enthalten, eines für jeden Benutzer in der Organisation. Alle Nachrichten, einschließlich E-Mail und Kalender, werden im Postfach des Benutzers gespeichert.
Um den Inhalt der Postfächer in Ihren Amazon- WorkMail Organisationen zu schützen, WorkMail verschlüsselt Amazon alle Postfachnachrichten, bevor sie auf die Festplatte geschrieben werden. Keine vom Kunden bereitgestellten Informationen werden als Klartext gespeichert.
Jede Nachricht wird mit einem eindeutigen Datenverschlüsselungsschlüssel verschlüsselt. Der Nachrichtenschlüssel wird durch einen Postfach-Schlüssel geschützt. Dabei handelt es sich um einen eindeutigen Verschlüsselungsschlüssel, der nur für das Postfach verwendet wird. Der Postfach-Schlüssel ist mit einem AWS KMS key für die Organisation verschlüsselt, der AWS KMS niemals unverschlüsselt verlässt. Das folgende Diagramm zeigt die Beziehung zwischen den verschlüsselten Nachrichten, den verschlüsselten Nachrichtenschlüsseln, dem verschlüsselten Postfach-Schlüssel und dem KMS-Schlüssel für die Organisation in AWS KMS auf.
Ein KMS-Schlüssel für die Organisation
Wenn Sie eine Amazon- WorkMail Organisation erstellen, können Sie eine AWS KMS keyfür die Organisation auswählen. Dieser KMS-Schlüssel schützt alle Postfach-Schlüssel in dieser Organisation.
Wenn Sie das Quick Setup-Verfahren verwenden, um Ihre Organisation zu erstellen, WorkMail verwendet Amazon die Von AWS verwalteter Schlüssel für Amazon WorkMail (aws/workmail) in Ihrem AWS-Konto. Wenn Sie die Standardeinrichtung verwenden, können Sie die Von AWS verwalteter Schlüssel für Amazon WorkMail oder einen kundenverwalteten Schlüssel auswählen, den Sie besitzen und verwalten. Sie können den gleichen KMS-Schlüssel oder einen anderen KMS-Schlüssel für jede Ihrer Organisationen auswählen. Einmal ausgewählt kann der KMS-Schlüssel jedoch nicht mehr geändert werden.
Wichtig
Amazon WorkMail unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um Daten in Amazon zu verschlüsseln WorkMail. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen asymmetrischer KMS-Schlüssel.
Um den KMS-Schlüssel für Ihre Organisation zu finden, verwenden Sie den AWS CloudTrail-Protokolleintrag, der Aufrufe an AWS KMS aufzeichnet.
Ein eindeutiger Verschlüsselungsschlüssel für jedes Postfach
Wenn Sie ein neues Postfach erstellen, WorkMail generiert Amazon einen eindeutigen symmetrischen 256-Bit Advanced Encryption Standard
Zum Schutz des WorkMail Postfachschlüssels ruft Amazon auf, AWS KMS um den Postfachschlüssel mit dem KMS-Schlüssel der Organisation zu verschlüsseln. Anschließend wird der verschlüsselte Postfach-Schlüssel in den Postfach-Metadaten gespeichert.
Anmerkung
Amazon WorkMail verwendet einen symmetrischen Postfach-Verschlüsselungsschlüssel, um Nachrichtenschlüssel zu schützen. Zuvor WorkMail schützte Amazon jedes Postfach mit einem asymmetrischen Schlüsselpaar. Der öffentliche Schlüssel wurde zum Verschlüsseln einzelner Nachrichtenschlüssel verwendet und der private Schlüssel, um sie zu entschlüsseln. Der private Postfach-Schlüssel wurde durch den KMS-Schlüssel der Organisation geschützt. Vorhandene Postfächer verwenden unter Umständen weiterhin ein asymmetrisches Postfach-Schlüsselpaar. Diese Änderung hat keine Auswirkungen auf die Sicherheit des Postfachs oder seiner Nachrichten.
Ein eindeutiger Verschlüsselungsschlüssel für jede Nachricht
Wenn dem Postfach eine Nachricht hinzugefügt wird, WorkMail generiert Amazon einen eindeutigen symmetrischen 256-Bit-AES-Verschlüsselungsschlüssel für die Nachricht außerhalb von AWS KMS. Es verwendet diesen Nachrichtenschlüssel, um die Nachricht zu verschlüsseln. Amazon WorkMail verschlüsselt den Nachrichtenschlüssel unter dem Postfachschlüssel und speichert den verschlüsselten Nachrichtenschlüssel mit der Nachricht. Anschließend wird der Postfach-Schlüssel mit dem KMS-Schlüssel der Organisation verschlüsselt.
Erstellen eines neuen Postfachs
Wenn Amazon ein neues Postfach WorkMail erstellt, verwendet es den folgenden Prozess, um das Postfach auf das Speichern verschlüsselter Nachrichten vorzubereiten.
-
Amazon WorkMail generiert einen eindeutigen symmetrischen 256-Bit-AES-Verschlüsselungsschlüssel für das Postfach außerhalb von AWS KMS.
-
Amazon WorkMail ruft die AWS KMS Encrypt-Operation auf. Dabei werden der Postfach-Schlüssel und der Bezeichner des AWS KMS key für die Organisation übergeben. AWS KMS gibt einen Chiffretext des mit dem KMS-Schlüssel verschlüsselten Postfach-Schlüssels zurück.
-
Amazon WorkMail speichert den verschlüsselten Postfachschlüssel mit den Postfach-Metadaten.
Verschlüsseln einer Postfach-Nachricht
Zum Verschlüsseln einer Nachricht WorkMail verwendet Amazon den folgenden Prozess.
-
Amazon WorkMail generiert einen eindeutigen symmetrischen 256-Bit-AES-Schlüssel für die Nachricht. Zum Verschlüsseln der Nachricht außerhalb von AWS KMS werden der Klartext-Nachrichtenschlüssel und der Advanced Encryption Standard (AES)-Algorithmus angewandt.
-
Um den Nachrichtenschlüssel unter dem Postfachschlüssel zu schützen, WorkMail muss Amazon den Postfachschlüssel entschlüsseln, der immer in verschlüsselter Form gespeichert ist.
Amazon WorkMail ruft den Vorgang AWS KMS Decrypt auf und übergibt den verschlüsselten Postfachschlüssel. AWS KMS verwendet den KMS-Schlüssel für die Organisation, um den Postfachschlüssel zu entschlüsseln, und gibt den Klartext-Postfachschlüssel an Amazon zurück WorkMail.
-
Amazon WorkMail verwendet den Klartext-Postfachschlüssel und den Advanced Encryption Standard (AES)-Algorithmus, um den Nachrichtenschlüssel außerhalb von zu verschlüsselnAWS KMS.
-
Amazon WorkMail speichert den verschlüsselten Nachrichtenschlüssel in den Metadaten der verschlüsselten Nachricht, damit er zum Entschlüsseln verfügbar ist.
Entschlüsseln einer Postfach-Nachricht
Zum Entschlüsseln einer Nachricht WorkMail verwendet Amazon den folgenden Prozess.
-
Amazon WorkMail ruft die Operation AWS KMS Decrypt auf und übergibt den verschlüsselten Postfachschlüssel. AWS KMS verwendet den KMS-Schlüssel für die Organisation, um den Postfachschlüssel zu entschlüsseln, und gibt den Klartext-Postfachschlüssel an Amazon zurück WorkMail.
-
Amazon WorkMail verwendet den Klartext-Postfachschlüssel und den Advanced Encryption Standard (AES)-Algorithmus, um den verschlüsselten Nachrichtenschlüssel außerhalb von zu entschlüsselnAWS KMS.
-
Amazon WorkMail verwendet den Klartext-Nachrichtenschlüssel, um die verschlüsselte Nachricht zu entschlüsseln.
Zwischenspeichern von Postfachschlüsseln
Um die Leistung zu verbessern und Aufrufe an zu minimierenAWS KMS, WorkMail speichert Amazon jeden Klartext-Postfachschlüssel für jeden Client lokal bis zu eine Minute lang zwischen. Am Ende des Caching-Zeitraums wird der Postfach-Schlüssel entfernt. Wenn der Postfach-Schlüssel für diesen Client während des Caching-Zeitraums erforderlich ist, WorkMail kann Amazon ihn aus dem Cache abrufen, anstatt aufzurufenAWS KMS. Der Postfach-Schlüssel wird im Cache geschützt und wird nie als Klartext auf den Datenträger geschrieben.
Autorisieren der Nutzung des KMS-Schlüssels
Wenn Amazon einen AWS KMS key in kryptografischen Operationen WorkMail verwendet, handelt es im Namen des Postfachadministrators.
Um den AWS KMS key für ein Geheimnis in Ihrem Namen verwenden zu können, benötigt der Administrator die folgenden Berechtigungen. Sie können diese erforderlichen Berechtigungen in einer IAM-Richtlinie oder einer Schlüsselrichtlinie festlegen.
-
kms:Encrypt -
kms:Decrypt -
kms:CreateGrant
Um zu erlauben, dass der KMS-Schlüssel nur für Anforderungen verwendet wird, die von Amazon stammen WorkMail, können Sie den Bedingungsschlüssel kms:ViaService mit dem workmail. Wert verwenden.<region>.amazonaws.com
Sie können auch die Schlüssel oder Werte im Verschlüsselungskontext als Bedingung für die Nutzung des KMS-Schlüssels in kryptografischen Operationen verwenden. Sie können beispielsweise einen Zeichenfolgen-Bedingungsoperator in einem IAM- oder Schlüsselrichtliniendokument oder eine Erteilungseinschränkung in einer Erteilung verwenden.
Schlüsselrichtlinie für den Von AWS verwalteter Schlüssel
Die Schlüsselrichtlinie für das Von AWS verwalteter Schlüssel für Amazon WorkMail erteilt Benutzern nur dann die Berechtigung, den KMS-Schlüssel für bestimmte Operationen zu verwenden, wenn Amazon die Anforderung im Namen des Benutzers WorkMail stellt. Die Schlüsselrichtlinie erlaubt es keinem Benutzer, den KMS-Schlüssel direkt zu verwenden.
Diese Schlüsselrichtlinie wird – wie die Richtlinien aller Von AWS verwaltete Schlüssel – vom Service eingerichtet. Sie können die Schlüsselrichtlinie nicht ändern, Sie können sie jedoch jederzeit anzeigen. Details hierzu finden Sie unter Anzeigen einer Schlüsselrichtlinie.
Die Richtlinienanweisungen in der Schlüsselrichtlinie haben folgende Wirkungen:
-
Erlauben Sie Benutzern im Konto und in der Region, den KMS-Schlüssel für kryptografische Operationen zu verwenden und Erteilungen zu erstellen, jedoch nur, wenn die Anforderung WorkMail in ihrem Namen von Amazon stammt. Der Bedingungsschlüssel
kms:ViaServicesetzt diese Beschränkung durch. -
Erteilt dem AWS-Konto die Berechtigung zum Erstellen von IAM-Richtlinien, mit denen Benutzer KMS-Schlüssel-Eigenschaften anzeigen und Erteilungen widerrufen können.
Im Folgenden finden Sie eine Schlüsselrichtlinie für ein Beispiel Von AWS verwalteter Schlüssel für Amazon WorkMail.
{ "Version" : "2012-10-17", "Id" : "auto-workmail-1", "Statement" : [ { "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "workmail.us-east-1.amazonaws.com", "kms:CallerAccount" : "111122223333" } } }, { "Sid" : "Allow direct access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ], "Resource" : "*" } ] }
Verwenden von Erteilungen zur Autorisierung von Amazon WorkMail
Zusätzlich zu den Schlüsselrichtlinien WorkMail verwendet Amazon Erteilungen, um dem KMS-Schlüssel für jede Organisation Berechtigungen hinzuzufügen. Um die Erteilungen für den KMS-Schlüssel in Ihrem Konto anzuzeigen, verwenden Sie die -ListGrantsOperation.
Amazon WorkMail verwendet Erteilungen, um dem KMS-Schlüssel für die Organisation die folgenden Berechtigungen hinzuzufügen.
-
Fügen Sie die
kms:EncryptBerechtigung hinzu, WorkMail damit Amazon den Postfachschlüssel verschlüsseln kann. -
Fügen Sie die
kms:DecryptBerechtigung hinzu, damit Amazon den KMS WorkMail -Schlüssel zum Entschlüsseln des Postfachschlüssels verwenden kann. Amazon WorkMail benötigt diese Berechtigung in einer Erteilung, da die Anforderung zum Lesen von Postfachnachrichten den Sicherheitskontext des Benutzers verwendet, der die Nachricht liest. Die Anforderung verwendet nicht die Anmeldeinformationen des AWS-Konto. Amazon WorkMail erstellt diese Erteilung, wenn Sie einen KMS-Schlüssel für die Organisation auswählen.
Um die Erteilungen zu erstellen, WorkMail ruft Amazon CreateGrant im Namen des Benutzers auf, der die Organisation erstellt hat. Die Berechtigung zum Erstellen der Erteilung stammt aus der Schlüsselrichtlinie. Diese Richtlinie ermöglicht es Kontobenutzern, CreateGrant für den KMS-Schlüssel der Organisation aufzurufen, wenn Amazon die Anforderung im Namen eines autorisierten Benutzers WorkMail stellt.
Die Schlüsselrichtlinie erlaubt dem Konto-Root außerdem, die für den Von AWS verwalteter Schlüssel geltende Erteilung zu widerrufen. Wenn Sie jedoch die Erteilung widerrufen, WorkMail kann Amazon die verschlüsselten Daten in Ihren Postfächern nicht entschlüsseln.
Amazon WorkMail -Verschlüsselungskontext
Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit zufälligen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Amazon WorkMail verwendet bei allen kryptografischen Operationen dasselbe AWS KMS Verschlüsselungskontextformat. Sie können eine kryptografische Operation in Prüfungsdatensätzen und -Protokollen wie AWS CloudTrail anhand des Verschlüsselungskontexts identifizieren. Dieser kann auch als Bedingung für die Autorisierung in Richtlinien und Erteilungen verwendet werden.
In seinen Encrypt- und Decrypt-Anforderungen an WorkMail verwendet Amazon einen VerschlüsselungskontextAWS KMS, wobei der Schlüssel aws:workmail:arn und der Wert der Amazon-Ressourcenname (ARN) der Organisation ist.
"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization ID"Der folgende Verschlüsselungskontext enthält einen Beispiel-Organisations-ARN in der Region USA Ost (Ohio) (us-east-2).
"aws:workmail:arn":"arn:aws:workmail:us-east-2:111122223333:organization/m-68755160c4cb4e29a2b2f8fb58f359d7"Überwachen der Amazon- WorkMail Interaktion mit AWS KMS
Sie können AWS CloudTrail und Amazon CloudWatch Logs verwenden, um die Anforderungen zu verfolgen, die Amazon AWS KMS in Ihrem Namen an WorkMail sendet.
Encrypt
Wenn Sie ein neues Postfach erstellen, WorkMail generiert Amazon einen Postfachschlüssel und ruft auf, AWS KMS um den Postfachschlüssel zu verschlüsseln. Amazon WorkMail sendet eine Encrypt-Anforderung an AWS KMS mit dem Klartext-Postfachschlüssel und einer Kennung für den KMS-Schlüssel der Amazon- WorkMail Organisation.
Das Ereignis, das die Encrypt-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist der Amazon- WorkMail Service. Zu den Parametern gehören die KMS-Schlüssel-ID (keyId) und der Verschlüsselungskontext für die Amazon- WorkMail Organisation. Amazon übergibt WorkMail auch den Postfachschlüssel, der jedoch nicht im CloudTrail Protokoll aufgezeichnet wird.
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-19T10:01:09Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455" }, "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" }, "responseElements": null, "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c", "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c" }
Decrypt
Wenn Sie eine Postfachnachricht hinzufügen, anzeigen oder löschen, WorkMail fordert Amazon auf, den Postfachschlüssel AWS KMS zu entschlüsseln. Amazon WorkMail sendet eine Decrypt-Anforderung an AWS KMS mit dem verschlüsselten Postfachschlüssel und einer Kennung für den KMS-Schlüssel der Amazon WorkMail-Organisation.
Das Ereignis, das die Decrypt-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist der Amazon- WorkMail Service. Zu den Parametern gehören der verschlüsselte Postfachschlüssel (als Geheimtext-Blob), der nicht im Protokoll aufgezeichnet wird, und der Verschlüsselungskontext für die Amazon- WorkMail Organisation. AWS KMS leitet die ID des KMS-Schlüssels aus dem Geheimtext ab.
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-20T11:51:10Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455" } }, "responseElements": null, "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9", "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214" }
