Erstellen Sie einen KMS-Schlüssel, um Anmeldeinformationen zu verschlüsseln - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen KMS-Schlüssel, um Anmeldeinformationen zu verschlüsseln

Die Integrationsverfahren in diesem Abschnitt bieten Ihnen die Möglichkeit, Ihre Anmeldeinformationen mit einem AWS eigenen Schlüssel oder einem vom Kunden verwalteten Schlüssel zu verschlüsseln. Ein AWS eigener Schlüssel ist ein KMS-Schlüssel, der sich nicht in Ihrem befindet, AWS-Konto da der AWS Dienst, der Ihre Anmeldeinformationen verschlüsselt, den KMS-Schlüssel besitzt und verwaltet. Wenn Sie die vollständige Kontrolle über den KMS-Schlüssel haben möchten, der zur Verschlüsselung Ihrer Anmeldeinformationen verwendet wird, erstellen Sie einen vom Kunden verwalteten Schlüssel. Ein vom Kunden verwalteter Schlüssel ist ein KMS-Schlüssel, den Sie besitzen und verwalten.

Zugriff auf Security Hub Hub-Verschlüsselungsvorgänge

Diese Richtlinienerklärung ermöglicht es Security Hub, den AWS KMS Schlüssel für Verschlüsselungsvorgänge zu verwenden. Es ermöglicht Security Hub, Ihre Kundengeheimnisse mit diesem Schlüssel zu schützen. Die Berechtigungen sind über den Bedingungsblock, der den Quell-ARN und den Verschlüsselungskontext überprüft, auf Vorgänge im Zusammenhang mit bestimmten Security Hub Hub-Connectoren beschränkt. 

{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}"
        }
    }
}
Anmerkung

Geben Sie für CloudProviderName JIRA_CLOUD oder einSERVICENOW. Geben Sie für Region AWS-Region und AccountId Ihre AWS-Konto ID ein.

Security Hub Hub-Schlüssellesezugriff

Diese Richtlinienerklärung ermöglicht es Security Hub, Metadaten über den KMS-Schlüssel zu lesen, indem der DescribeKey Vorgang zugelassen wird. Diese Berechtigung ist erforderlich, damit Security Hub den Status und die Konfiguration des Schlüssels überprüfen kann. Der Zugriff ist über die ARN-Quellbedingung auf bestimmte Security Hub Hub-Konnektoren beschränkt. 

{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        }
    }
}
Anmerkung

Geben Sie für Region AccountId AWS-Region und Ihre AWS-Konto UND-ID ein.

IAM-Prinzipalzugriff für Security Hub Hub-Operationen

Diese Richtlinienerklärung gewährt der angegebenen IAM-Rolle Berechtigungen zur Ausführung wichtiger Operationen (Beschreiben, Generieren, Entschlüsseln, erneuten Verschlüsseln und Auflisten von Aliasen), wenn sie mit Security Hub über V2 und V2 interagieren. CreateConnector CreateTicket APIs Die Bedingung stellt sicher, dass diese Operationen nur über den Security Hub Hub-Dienst in der angegebenen Region ausgeführt werden können. 

{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        },
        StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW"
        }
    }
}

{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        }
    }
}
Anmerkung

Geben Sie für RoleName den Namen der IAM-Rolle ein, die Security Hub aufruft. Geben Sie für Region AWS-Region und AccountId Ihre AWS-Konto ID ein.