Bewährte Methoden zur Verschlüsselung für AWS Key Management Service - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden zur Verschlüsselung für AWS Key Management Service

AWS Key Management Service (AWS KMS) hilft Ihnen dabei, kryptografische Schlüssel zu erstellen und zu kontrollieren, um Ihre Daten zu schützen. AWS KMS lässt sich in die meisten anderen Systeme integrieren AWS-Services , die Ihre Daten verschlüsseln können. Eine vollständige Liste finden Sie unter AWS-Services integriert mit AWS KMS. AWS KMS lässt sich auch integrieren AWS CloudTrail , um die Verwendung Ihrer KMS Schlüssel für Prüfungs-, behördliche und Compliance-Anforderungen zu protokollieren.

KMSSchlüssel sind die primäre Ressource in AWS KMS und sie sind logische Repräsentationen eines kryptografischen Schlüssels. Es gibt drei Haupttypen von KMS Schlüsseln:

  • Vom Kunden verwaltete Schlüssel sind KMS Schlüssel, die Sie erstellen.

  • AWS Verwaltete Schlüssel sind KMS Schlüssel, die in Ihrem Konto in Ihrem Namen AWS-Services erstellt werden.

  • AWS Eigene Schlüssel sind KMS Schlüssel, die ein Benutzer AWS-Service besitzt und verwaltet und die in mehreren Schlüsseln verwendet AWS-Konten werden können.

Weitere Informationen zu diesen Schlüsseltypen finden Sie unter Kundenschlüssel und AWS -Schlüssel.

In der werden Richtlinien verwendet AWS Cloud, um zu kontrollieren, wer auf Ressourcen und Dienste zugreifen kann. In AWS Identity and Access Management (IAM) definieren identitätsbasierte Richtlinien beispielsweise Berechtigungen für Benutzer, Benutzergruppen oder Rollen, und ressourcenbasierte Richtlinien werden an eine Ressource, z. B. einen S3-Bucket, angehängt und definieren, welchen Prinzipalen Zugriff gewährt wird, welche Aktionen unterstützt werden und welche anderen Bedingungen erfüllt sein müssen. AWS KMS Verwendet ähnlich wie IAM Richtlinien wichtige Richtlinien, um den Zugriff auf einen Schlüssel zu kontrollieren. KMS Jeder KMS Schlüssel muss über eine Schlüsselrichtlinie verfügen, und jeder Schlüssel kann nur eine Schlüsselrichtlinie haben. Beachten Sie bei der Definition von Richtlinien, die den Zugriff auf KMS Schlüssel zulassen oder verweigern, Folgendes:

  • Sie können die Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel steuern, aber Sie können die Schlüsselrichtlinie für AWS verwaltete Schlüssel oder für AWS eigene Schlüssel nicht direkt steuern.

  • Wichtige Richtlinien ermöglichen die Gewährung eines detaillierten Zugriffs auf AWS KMS API Anrufe innerhalb eines AWS-Konto. Sofern die Schlüsselrichtlinie dies nicht ausdrücklich zulässt, können Sie IAM Richtlinien nicht verwenden, um den Zugriff auf einen KMS Schlüssel zu gewähren. Ohne die Genehmigung durch die Schlüsselrichtlinie haben IAM Richtlinien, die Berechtigungen zulassen, keine Wirkung. Weitere Informationen finden Sie unter Zulassen, dass IAM Richtlinien den Zugriff auf den KMS Schlüssel zulassen.

  • Sie können eine IAM Richtlinie verwenden, um den Zugriff auf einen vom Kunden verwalteten Schlüssel ohne die entsprechende Genehmigung der Schlüsselrichtlinie zu verweigern.

  • Beachten Sie beim Entwerfen wichtiger IAM Richtlinien und Richtlinien für Schlüssel mit mehreren Regionen Folgendes:

    • Schlüsselrichtlinien sind nicht gemeinsam genutzte Eigenschaften von multiregionalen Schlüsseln und nicht kopiert oder synchronisiert zwischen verwandten multiregionalen Schlüsseln.

    • Wenn ein Schlüssel für mehrere Regionen mit dem CreateKey und ReplicateKey-Aktionen erstellt wird, wird die Standardschlüsselrichtlinie angewendet, sofern in der Anfrage keine Schlüsselrichtlinie angegeben ist.

    • Sie können Bedingungsschlüssel wie aws: implementierenRequestedRegion, um Berechtigungen auf einen bestimmten AWS-Region Bereich zu beschränken.

    • Sie können Erteilungen verwenden, um Berechtigungen für einen multiregionalen Primärschlüssel oder Replikatschlüssel zuzulassen. Eine einzelne Erteilung kann jedoch nicht verwendet werden, um Berechtigungen für mehrere KMS Schlüssel zu gewähren, selbst wenn es sich um verwandte Schlüssel für mehrere Regionen handelt.

Beachten Sie bei der Verwendung AWS KMS und Erstellung von Schlüsselrichtlinien die folgenden bewährten Verschlüsselungsmethoden und andere bewährte Sicherheitsmethoden:

  • Halten Sie sich an die Empfehlungen in den folgenden Ressourcen für AWS KMS bewährte Methoden:

  • In Übereinstimmung mit der bewährten Praxis der Aufgabentrennung sollten Sie die Identitäten derjenigen, die Schlüssel verwalten, und derjenigen, die sie benutzen, getrennt halten:

    • Administratorrollen, die Schlüssel erstellen und löschen, sollten nicht in der Lage sein, den Schlüssel zu verwenden.

    • Einige Services müssen möglicherweise nur Daten verschlüsseln und sollten nicht berechtigt sein, die Daten mithilfe des Schlüssels zu entschlüsseln.

  • Schlüsselrichtlinien sollten immer dem Modell der geringsten Berechtigung folgen. Verwenden Sie es nicht kms:* für Aktionen in IAM oder wichtige Richtlinien, da dadurch der Hauptbenutzer die Rechte erhält, den Schlüssel sowohl zu verwalten als auch zu verwenden.

  • Beschränken Sie die Verwendung von vom Kunden verwalteten Schlüsseln auf bestimmte Schlüssel, AWS-Services indem Sie den ViaService Bedingungsschlüssel kms: in der Schlüsselrichtlinie verwenden.

  • Wenn Sie zwischen Schlüsseltypen wählen können, werden vom Kunden verwaltete Schlüssel bevorzugt, da sie die detailliertesten Kontrolloptionen bieten, darunter die folgenden:

  • AWS KMS Administrations- und Änderungsberechtigungen müssen nicht genehmigten Prinzipalen ausdrücklich verweigert werden, und in einer Zulassungsanweisung für nicht autorisierte Prinzipale sollten keine AWS KMS Änderungsberechtigungen enthalten sein. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Key Management Service.

  • Implementieren Sie die Regeln -kms-actions und KMS iam-customer-policy-blocked-kms-actions, um die unbefugte Verwendung von Schlüsseln zu erkennen. AWS Config iam-inline-policy-blocked Dadurch wird verhindert, dass Prinzipale die Entschlüsselungsaktionen für alle Ressourcen verwenden. AWS KMS

  • Implementieren Sie Richtlinien zur Dienststeuerung (SCPs) AWS Organizations , um zu verhindern, dass nicht autorisierte Benutzer oder Rollen KMS Schlüssel löschen, entweder direkt als Befehl oder über die Konsole. Weitere Informationen finden Sie unter Verwendung SCPs als präventive Kontrollen (AWS Blogbeitrag).

  • AWS KMS APIAnrufe in einem Protokoll CloudTrail protokollieren. Dadurch werden die relevanten Ereignisattribute aufgezeichnet, z. B. welche Anfragen gestellt wurden, die Quell-IP-Adresse, von der die Anfrage stammt und wer die Anfrage gestellt hat. Weitere Informationen finden Sie unter AWS KMS APIAnrufe protokollieren mit AWS CloudTrail.

  • Wenn Sie den Verschlüsselungskontext verwenden, sollte dieser keine vertraulichen Informationen enthalten. CloudTrail speichert den Verschlüsselungskontext in JSON Klartextdateien, die von jedem eingesehen werden können, der Zugriff auf den S3-Bucket hat, der die Informationen enthält.

  • Konfigurieren Sie bei der Überwachung der Verwendung von kundenverwalteten Schlüsseln Ereignisse, um Sie zu benachrichtigen, wenn bestimmte Aktionen wie z. B. die Erstellung von Schlüsseln, die Aktualisierung von Richtlinien für kundenverwaltete Schlüssel oder der Import von Schlüsselmaterial erkannt werden. Es wird auch empfohlen, automatisierte Antworten zu implementieren, z. B. eine AWS Lambda -Funktion, die den Schlüssel deaktiviert oder andere Maßnahmen zur Reaktion auf Vorfälle durchführt, wie es in Ihren Organisationsrichtlinien vorgeschrieben ist.

  • Schlüssel für mehrere Regionen werden für bestimmte Szenarien wie Compliance, Notfallwiederherstellung oder Backups empfohlen. Die Sicherheitseigenschaften von Schlüsseln für mehrere Regionen unterscheiden sich erheblich von denen für eine Region. Die folgenden Empfehlungen gelten für die Autorisierung der Erstellung, Verwaltung und Verwendung von Schlüsseln für mehrere Regionen:

    • Erlauben Sie Prinzipalen die Replikation eines multiregionalen Schlüssels nur in AWS-Regionen , die sie erfordern.

    • Erteilen Sie Berechtigungen für multiregionale Schlüssel nur an Prinzipale, die sie benötigen, und nur für Aufgaben, für die sie erforderlich sind.