AWS Key Management Service steuert - AWS Security Hub
[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Key Management Service steuert

Diese Kontrollen beziehen sich auf AWS KMS Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

Verwandte Anforderungen: NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6, NIST.800-53.R5 R5 AC-6 (3)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::Policy

AWS Config -Regel: iam-customer-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

  • excludePermissionBoundaryPolicy: True (nicht anpassbar)

Überprüft, ob die Standardversion der vom Kunden verwalteten IAM-Richtlinien es Prinzipalen erlaubt, die AWS KMS Entschlüsselungsaktionen für alle Ressourcen zu verwenden. Die Steuerung schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle kms:Decrypt KMS-Schlüssel zuzulassen.

Das Steuerelement überprüft nur KMS-Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie. Darüber hinaus bewertet das Steuerelement sowohl angehängte als auch nicht verknüpfte, vom Kunden verwaltete Richtlinien. Inline-Richtlinien oder AWS verwaltete Richtlinien werden nicht geprüft.

Damit kontrollieren Sie AWS KMS, wer Ihre KMS-Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAM-Richtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die kms:ReEncryptFrom Berechtigungen kms:Decrypt oder und nur die Schlüssel gewähren, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt Berechtigungen für alle Schlüssel zu gewähren, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS-Schlüssel. Erlauben Sie stattdessen kms:Decrypt nur Schlüssel in einer bestimmten Region für Ihr Konto. Durch die Anwendung des Prinzips der geringsten Rechte können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer vom Kunden verwalteten IAM-Richtlinie finden Sie unter Bearbeiten von kundenverwalteten Richtlinien im IAM-Benutzerhandbuch. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

Verwandte Anforderungen: NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6, NIST.800-53.R5 R5 AC-6 (3)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config -Regel: iam-inline-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

Dieses Steuerelement prüft, ob die in Ihre IAM-Identitäten (Rolle, Benutzer oder Gruppe) eingebetteten Inline-Richtlinien die AWS KMS Entschlüsselung und erneute Verschlüsselung aller KMS-Schlüssel zulassen. Die Steuerung schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle kms:Decrypt KMS-Schlüssel zuzulassen.

Das Steuerelement überprüft nur KMS-Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie.

Mit steuern Sie AWS KMS, wer Ihre KMS-Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAM-Richtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die Berechtigungen gewähren, die sie benötigen, und nur für Schlüssel, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt die Erlaubnis für alle Schlüssel zu erteilen, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es den Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS-Schlüssel. Erlauben Sie die Erlaubnis stattdessen nur für bestimmte Schlüssel in einer bestimmten Region für Ihr Konto. Indem Sie das Prinzip der geringsten Rechte anwenden, können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer IAM-Inline-Richtlinie finden Sie unter Bearbeiten von Inline-Richtlinien im IAM-Benutzerhandbuch. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden

Verwandte Anforderungen: NIST.800-53.R5 SC-12, NIST.800-53.R5 SC-12 (2)

Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung

Schweregrad: Kritisch

Art der Ressource: AWS::KMS::Key

AWS Config Regel: kms-cmk-not-scheduled-for-deletion-2 (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Löschung von KMS-Schlüsseln geplant ist. Die Steuerung schlägt fehl, wenn das Löschen eines KMS-Schlüssels geplant ist.

KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Mit einem KMS-Schlüssel verschlüsselte Daten können auch dauerhaft nicht wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. Wenn aussagekräftige Daten unter einem KMS-Schlüssel verschlüsselt wurden, der gelöscht werden soll, sollten Sie erwägen, die Daten zu entschlüsseln oder die Daten erneut mit einem neuen KMS-Schlüssel zu verschlüsseln, sofern Sie nicht absichtlich eine kryptografische Löschung durchführen.

Wenn das Löschen eines KMS-Schlüssels geplant ist, wird eine obligatorische Wartezeit durchgesetzt, damit genügend Zeit zur Verfügung steht, um den Löschvorgang rückgängig zu machen, falls er versehentlich geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn der KMS-Schlüssel gelöscht werden soll. Während der Wartezeit kann das geplante Löschen abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter Löschen von KMS-Schlüsseln im AWS Key Management Service Entwicklerhandbuch.

Abhilfe

Informationen zum Abbrechen einer geplanten Löschung von KMS-Schlüsseln finden Sie im AWS Key Management Service Entwicklerhandbuch unter So brechen Sie das Löschen von Schlüsseln ab (Konsole) unter So brechen Sie das Löschen von Schlüsseln ab.

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

Verwandte Anforderungen: PCI DSS v3.2.1/3.6.4, CIS AWS Foundations Benchmark v3.0.0/3.6, CIS Foundations Benchmark v1.4.0/3.8, CIS Foundations Benchmark v1.2.0/2.8, NIST.800-53.R5 SC-12, AWS NIST.800-53.R5 SC-12 (2), NIST.800-53.R5 AWS SC-28 (3)

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::KMS::Key

AWS Config -Regel: cmk-backing-key-rotation-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

AWS KMS ermöglicht Kunden die Rotation des Backing-Schlüssels, bei dem es sich um Schlüsselmaterial handelt, das im KMS-Schlüssel gespeichert ist AWS KMS und mit der Schlüssel-ID des KMS-Schlüssels verknüpft ist. Der Unterstützungsschlüssel wird zum Durchführen kryptografischer Vorgänge wie z. B. Ver- und Entschlüsselungen verwendet. Die automatische Schlüsselrotation speichert derzeit alle vorherigen Unterstützungsschlüssel, sodass eine transparente Entschlüsselung verschlüsselter Daten erfolgen kann.

CIS empfiehlt, die KMS-Schlüsselrotation zu aktivieren. Das Rotieren der Verschlüsselungsschlüssel trägt zur Verringerung der potenziellen Auswirkungen eines kompromittierten Schlüssels bei, da der Zugriff auf mit einem neuen Schlüssel verschlüsselte Daten mit einem vorherigen Schlüssel, der möglicherweise kompromittiert wurde, nicht möglich ist.

Abhilfe

Informationen zur Aktivierung der KMS-Schlüsselrotation finden Sie unter So aktivieren und deaktivieren Sie die automatische Schlüsselrotation im AWS Key Management Service Entwicklerhandbuch.