Cómo WorkMail usa Amazon AWS KMS - AWS Key Management Service
WorkMail Descripción general de Amazon WorkMail Cifrado de AmazonAutorizar el uso de la clave KMSContexto WorkMail de cifrado de AmazonSupervisión de la WorkMail interacción de Amazon con AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo WorkMail usa Amazon AWS KMS

En este tema se explica cómo WorkMail utiliza Amazon AWS KMS para cifrar los mensajes de correo electrónico.

WorkMail Descripción general de Amazon

Amazon WorkMail es un servicio de correo electrónico y calendario empresarial seguro y gestionado que admite los clientes de correo electrónico móviles y de escritorio existentes. Puedes crear una WorkMail organización de Amazon y asignarle uno o más dominios de correo electrónico de tu propiedad. A continuación, puede crear buzones de correo para los usuarios de correo electrónico y grupos de distribución de la organización.

Amazon cifra de WorkMail forma transparente todos los mensajes de los buzones de todas WorkMail las organizaciones de Amazon antes de que los mensajes se escriban en el disco y los descifra de forma transparente cuando los usuarios acceden a ellos. No existe la opción de desactivar el cifrado. Para proteger las claves de cifrado que protegen los mensajes, Amazon WorkMail está integrado con AWS Key Management Service (AWS KMS).

Amazon WorkMail también ofrece una opción para permitir a los usuarios enviar correos electrónicos firmados o cifrados. Esta característica de cifrado no utiliza AWS KMS.

WorkMail Cifrado de Amazon

En Amazon WorkMail, cada organización puede contener varios buzones, uno para cada usuario de la organización. Todos los mensajes, incluido los elementos de correo electrónico y de calendario, se almacenan en el buzón de correo del usuario.

Para proteger el contenido de los buzones de sus WorkMail organizaciones de Amazon, Amazon WorkMail cifra todos los mensajes de los buzones antes de escribirlos en el disco. Ninguno de los datos proporcionados por el cliente se almacena en texto no cifrado.

Cada mensaje se cifra con una clave de cifrado de datos única. La clave del mensaje se protege con una clave del buzón de correo, que es una clave de cifrado única que se utiliza únicamente para ese buzón de correo. La clave del buzón de correo se cifra con una AWS KMS key de la organización que nunca deja AWS KMS sin cifrar. En el siguiente diagrama se muestra la relación de los mensajes cifrados, claves de mensaje cifradas, clave de buzón de correo cifrada y la clave KMS de la organización en AWS KMS.

Cifrar tus buzones de Amazon WorkMail

Una clave KMS para la organización

Al crear una WorkMail organización de Amazon, puedes seleccionar una AWS KMS key para la organización. Esta clave KMS protege todas las claves de buzón de correo de esa organización.

Si utilizas el procedimiento de configuración rápida para crear tu organización, Amazon WorkMail utilizará Clave administrada de AWSfor Amazon WorkMail (aws/workmail) en tuCuenta de AWS. Si utilizas la configuración estándar, puedes seleccionar la clave de Amazon WorkMail o una clave gestionada Clave administrada de AWS por el cliente que te pertenezca y gestione. Puede seleccionar la misma clave KMS o una clave KMS distinta para cada una de sus organizaciones, pero no puede cambiar la clave KMS una vez que la haya seleccionado.

importante

Amazon solo WorkMail admite claves KMS de cifrado simétrico. No puedes usar una clave KMS asimétrica para cifrar datos en Amazon. WorkMail Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de claves KMS asimétricas.

Para buscar la clave KMS de su organización, utilice la entrada de AWS CloudTrail que registra las llamadas a AWS KMS.

Clave de cifrado única para cada buzón de correo

Al crear un buzón nuevo, Amazon WorkMail genera una clave de cifrado simétrica AES (Advanced Encryption Standard) exclusiva de 256 bits para el buzón, conocida como clave de buzón, fuera de. AWS KMS Amazon WorkMail usa la clave del buzón para proteger las claves de cifrado de cada mensaje del buzón.

Para proteger la clave del buzón, Amazon WorkMail pide AWS KMS que se cifre la clave del buzón bajo la clave KMS de la organización. A continuación, almacena la clave del buzón de correo cifrada en los metadatos del buzón.

nota

Amazon WorkMail utiliza una clave de cifrado de buzones simétrica para proteger las claves de los mensajes. Anteriormente, Amazon WorkMail protegía cada buzón con un key pair asimétrico. Utilizaba la clave pública para cifrar cada clave del mensaje y la clave privada para descifrarla. La clave privada del buzón de correo se protegía con la clave KMS de la organización. Los buzones de correo existentes pueden seguir utilizando un par de claves de buzón de correo asimétricas. Este cambio no afecta a la seguridad de la bandeja de entrada ni de sus mensajes.

Clave de cifrado única para cada mensaje

Cuando se añade un mensaje al buzón, Amazon WorkMail genera una clave de cifrado simétrica AES de 256 bits única para el mensaje externo a. AWS KMS Utiliza esta clave de mensaje para cifrar el mensaje. Amazon WorkMail cifra la clave del mensaje debajo de la clave del buzón y guarda la clave del mensaje cifrado junto con el mensaje. A continuación, cifra la clave de buzón de correo con la clave KMS de la organización.

Creación de un nuevo buzón de correo

Cuando Amazon WorkMail crea un buzón nuevo, utiliza el siguiente proceso para prepararlo para que contenga los mensajes cifrados.

  • Amazon WorkMail genera una clave de cifrado simétrica AES única de 256 bits para el buzón de correo externo a. AWS KMS

  • Amazon WorkMail llama a la operación AWS KMS Encrypt. Pasa la clave del buzón de correo y el identificador de AWS KMS key de la organización. AWS KMS devuelve un texto cifrado de la clave del buzón de correo cifrada con la clave KMS.

  • Amazon WorkMail almacena la clave del buzón cifrada con los metadatos del buzón.

Cifrar un mensaje del buzón de correo

Para cifrar un mensaje, Amazon WorkMail utiliza el siguiente proceso.

  1. Amazon WorkMail genera una clave simétrica AES única de 256 bits para el mensaje. Utiliza la clave del mensaje en texto no cifrado y el algoritmo Advanced Encryption Standard (AES) para cifrar el mensaje fuera de AWS KMS.

  2. Para proteger la clave del mensaje que se encuentra debajo de la clave del buzón, Amazon WorkMail necesita descifrar la clave del buzón, que siempre se almacena cifrada.

    Amazon WorkMail llama a la operación de AWS KMS descifrado y pasa la clave del buzón cifrada. AWS KMSusa la clave KMS de la organización para descifrar la clave del buzón y devuelve la clave de buzón de texto sin formato a Amazon. WorkMail

  3. Amazon WorkMail utiliza la clave de buzón de texto sin formato y el algoritmo del Estándar de cifrado avanzado (AES) para cifrar la clave del mensaje fuera de. AWS KMS

  4. Amazon WorkMail almacena la clave del mensaje cifrado en los metadatos del mensaje cifrado para que esté disponible para descifrarlo.

Descifrar un mensaje del buzón de correo

Para descifrar un mensaje, Amazon WorkMail utiliza el siguiente proceso.

  1. Amazon WorkMail llama a la operación de AWS KMS descifrado y pasa la clave del buzón cifrada. AWS KMSusa la clave KMS de la organización para descifrar la clave del buzón y devuelve la clave de buzón de texto sin formato a Amazon. WorkMail

  2. Amazon WorkMail utiliza la clave de buzón de texto sin formato y el algoritmo del Estándar de cifrado avanzado (AES) para descifrar la clave del mensaje cifrado fuera de. AWS KMS

  3. Amazon WorkMail utiliza la clave del mensaje de texto sin formato para descifrar el mensaje cifrado.

Almacenamiento en caché de las claves del buzón de correo

Para mejorar el rendimiento y minimizar las llamadas aAWS KMS, Amazon almacena en WorkMail caché cada clave de buzón de texto simple de cada cliente de forma local durante un máximo de un minuto. Al final del período de almacenamiento en caché, la clave del buzón de correo se elimina. Si se requiere la clave del buzón de ese cliente durante el período de almacenamiento en caché, Amazon WorkMail puede obtenerla de la memoria caché en lugar de llamarAWS KMS. La clave del buzón de correo está protegida en la memoria caché y nunca se escribe en disco en texto sin formato.

Autorizar el uso de la clave KMS

Cuando Amazon WorkMail utiliza un AWS KMS key en las operaciones criptográficas, actúa en nombre del administrador del buzón.

Para utilizar la AWS KMS key para un secreto en su nombre, el administrador debe tener los siguientes permisos. Puede especificar estos permisos necesarios en una política de IAM o política de claves.

  • kms:Encrypt

  • kms:Decrypt

  • kms:CreateGrant

Para permitir que la clave KMS se use solo para las solicitudes que se originan en Amazon WorkMail, puedes usar la clave de ViaService condición kms: con el workmail.<region>.amazonaws.com valor.

También puede utilizar las claves o los valores en el contexto de cifrado como condición para utilizar la clave KMS para operaciones criptográficas. Por ejemplo, puede utilizar un operador de condición de cadena en un IAM o en un documento de política de claves, o bien utilizar una restricción de concesión en una concesión.

Política de claves para la Clave administrada de AWS

La política clave de Amazon WorkMail otorga a los usuarios permiso para usar la clave KMS para operaciones específicas solo cuando Amazon WorkMail realiza la solicitud en nombre del usuario. Clave administrada de AWS La política de claves no permite a ningún usuario utilizar la clave KMS directamente.

Esta política de claves, como las políticas de todas las Claves administradas por AWS, la establece el servicio. No puede cambiar la política de claves, pero puede verla en cualquier momento. Para obtener más detalles, consulte Consultar una política de claves.

Las declaraciones de política de la política de claves tienen el siguiente efecto:

  • Permita que los usuarios de la cuenta y la región utilicen la clave KMS para operaciones criptográficas y para crear subvenciones, pero solo cuando la solicitud provenga de Amazon WorkMail en su nombre. La clave de condición kms:ViaService aplica esta restricción.

  • Permite a la cuenta de Cuenta de AWS crear políticas de IAM que permiten a los usuarios ver propiedades de la clave KMS y revocar concesiones.

La siguiente es una política clave, a modo de ejemplo, Clave administrada de AWS para Amazon WorkMail.

{
  "Version" : "2012-10-17",
  "Id" : "auto-workmail-1",
  "Statement" : [ {
    "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "workmail.us-east-1.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
      }
    }
  }, {
    "Sid" : "Allow direct access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ],
    "Resource" : "*"
  } ]
}

Uso de subvenciones para autorizar a Amazon WorkMail

Además de las políticas clave, Amazon WorkMail utiliza las concesiones para añadir permisos a la clave de KMS de cada organización. Para ver las concesiones de la clave KMS de su cuenta, utilice la ListGrantsoperación.

Amazon WorkMail utiliza las concesiones para añadir los siguientes permisos a la clave de KMS de la organización.

  • Añade el kms:Encrypt permiso para permitir que Amazon WorkMail cifre la clave del buzón.

  • Añada el kms:Decrypt permiso para permitir que Amazon WorkMail utilice la clave KMS para descifrar la clave del buzón. Amazon WorkMail requiere este permiso en una concesión porque la solicitud de lectura de los mensajes del buzón utiliza el contexto de seguridad del usuario que lee el mensaje. La solicitud no utiliza las credenciales de la Cuenta de AWS. Amazon WorkMail crea esta concesión cuando seleccionas una clave de KMS para la organización.

Para crear las subvenciones, Amazon WorkMail llama CreateGranten nombre del usuario que creó la organización. El permiso para crear la concesión proviene de la política de claves. Esta política permite a los usuarios de CreateGrant la cuenta solicitar la clave KMS de la organización cuando Amazon WorkMail realiza la solicitud en nombre de un usuario autorizado.

La política de claves también permite a la raíz de la cuenta revocar la concesión para la Clave administrada de AWS. Sin embargo, si revoca la concesión, Amazon WorkMail no podrá descifrar los datos cifrados de sus buzones.

Contexto WorkMail de cifrado de Amazon

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

Amazon WorkMail utiliza el mismo formato de contexto de cifrado en todas las operaciones AWS KMS criptográficas. Puede utilizar el contexto de cifrado para identificar una operación criptográfica en los registros y registros de auditoría, como AWS CloudTrail y como una condición para la autorización en las políticas y concesiones.

En sus solicitudes de cifrado y descifrado, AWS KMS Amazon WorkMail utiliza un contexto de cifrado en el que la clave está aws:workmail:arn y el valor es el nombre de recurso de Amazon (ARN) de la organización. 

"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization ID"

Por ejemplo, el siguiente contexto de cifrado incluye un ARN de organización de ejemplo en la Región EE. UU. Este (Ohio) (us-east-2).

"aws:workmail:arn":"arn:aws:workmail:us-east-2:111122223333:organization/m-68755160c4cb4e29a2b2f8fb58f359d7"

Supervisión de la WorkMail interacción de Amazon con AWS KMS

Puedes usar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que Amazon WorkMail envía AWS KMS en tu nombre.

Encrypt

Al crear un buzón nuevo, Amazon WorkMail genera una clave de buzón y llama AWS KMS para cifrarla. Amazon WorkMail envía una solicitud de cifrado a AWS KMS con la clave de buzón de correo de texto sin formato y un identificador para la clave de KMS de la organización de Amazon WorkMail .

El evento que registra la operación Encrypt es similar al siguiente evento de ejemplo. El usuario es el WorkMail servicio de Amazon. Los parámetros incluyen el ID de clave de KMS (keyId) y el contexto de cifrado de la WorkMail organización de Amazon. Amazon WorkMail también pasa la clave del buzón, pero no queda registrada en el CloudTrail registro.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Decrypt

Cuando añades, ves o eliminas un mensaje del buzón, Amazon WorkMail te pide AWS KMS que descifre la clave del buzón. Amazon WorkMail envía una solicitud de descifrado a AWS KMS con la clave del buzón cifrada y un identificador para la clave de KMS de la WorkMail organización de Amazon.

El evento que registra la operación Decrypt es similar al siguiente evento de ejemplo. El usuario es el WorkMail servicio de Amazon. Los parámetros incluyen la clave del buzón de correo cifrada (como un blob de texto cifrado), que no se registra en el registro, y el contexto de cifrado de la organización de Amazon. WorkMail AWS KMSobtiene el ID de la clave KMS a partir del texto cifrado.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}