Mejores prácticas de cifrado para AWS Key Management Service - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas de cifrado para AWS Key Management Service

AWS Key Management Service (AWS KMS) le ayuda a crear y controlar claves criptográficas para proteger sus datos. AWS KMS se integra con la mayoría de los Servicios de AWS dispositivos que pueden cifrar sus datos. Para obtener una lista completa, consulte Servicios de AWS integrado con AWS KMS. AWS KMS también se integra con AWS CloudTrail el fin de registrar el uso de sus KMS claves para necesidades de auditoría, normativas y de cumplimiento.

KMSlas claves son el recurso principal y son representaciones lógicas de una clave criptográfica. AWS KMS Existen tres tipos principales de KMS claves:

  • Las claves administradas por el cliente son KMS claves que usted crea.

  • AWS las claves gestionadas son KMS claves que se Servicios de AWS crean en tu cuenta y en tu nombre.

  • AWS las claves propias son KMS claves que una persona Servicio de AWS posee y administra, para usarlas en múltiples ocasiones Cuentas de AWS.

Para obtener más información sobre estos tipos de claves, consulte Claves del cliente y claves de AWS.

En el Nube de AWS, las políticas se utilizan para controlar quién puede acceder a los recursos y servicios. Por ejemplo, en AWS Identity and Access Management (IAM), las políticas basadas en la identidad definen los permisos para los usuarios, los grupos de usuarios o las funciones, y las políticas basadas en recursos se asocian a un recurso, como un bucket de S3, y definen a qué entidades principales se les permite el acceso, las acciones admitidas y cualquier otra condición que deba cumplirse. Al igual que las IAM políticas, AWS KMS utiliza políticas clave para controlar el acceso a una clave. KMS Cada KMS clave debe tener una política clave y cada clave solo puede tener una política clave. Tenga en cuenta lo siguiente al definir las políticas que permiten o deniegan el acceso a KMS las claves:

  • Puede controlar la política clave para las claves administradas por el cliente, pero no puede controlar directamente la política clave para las claves AWS administradas o las claves AWS propias.

  • Las políticas clave permiten conceder un acceso detallado a las AWS KMS API llamadas dentro de un Cuenta de AWS. A menos que la política clave lo permita explícitamente, no puede usar IAM políticas para permitir el acceso a una KMS clave. Sin el permiso de la política clave, IAM las políticas que permiten permisos no tienen ningún efecto. Para obtener más información, consulte Permitir IAM políticas que permitan el acceso a la KMS clave.

  • Puede utilizar una IAM política para denegar el acceso a una clave gestionada por el cliente sin el correspondiente permiso de la política de claves.

  • Al diseñar políticas clave y IAM políticas para claves multirregionales, tenga en cuenta lo siguiente:

    • Las políticas de claves no son propiedades compartidas de claves de varias regiones y no se copian ni sincronizan entre las claves de varias regiones relacionadas.

    • Cuando se crea una clave de varias regiones mediante las acciones CreateKey y ReplicateKey, se aplica la política de claves predeterminada a menos que se especifique una política de claves en la solicitud.

    • Puede implementar claves de condición, como aws: RequestedRegion, para limitar los permisos a una determinada Región de AWS.

    • Puede utilizar concesiones para dar permisos a una clave principal de varias regiones o clave de réplica. Sin embargo, no se puede utilizar una sola concesión para conceder permisos a varias KMS claves, aunque estén relacionadas con claves multirregionales.

Al utilizar AWS KMS y crear políticas de claves, tenga en cuenta las siguientes prácticas recomendadas de cifrado y otras prácticas recomendadas de seguridad:

  • Siga las recomendaciones de los siguientes recursos para conocer las AWS KMS mejores prácticas:

  • De acuerdo con la práctica recomendada de separación de funciones, mantenga identidades separadas para quienes administran las claves y quienes las utilizan:

    • Los roles de administrador que crean y eliminan claves no deberían poder utilizarlas.

    • Es posible que algunos servicios solo necesiten cifrar los datos y no se les debe permitir descifrar los datos con la clave.

  • Las políticas de claves siempre deben seguir un modelo de privilegio mínimo. No la use kms:* para acciones IAM o políticas clave, ya que esto otorga al principal permisos tanto para administrar como para usar la clave.

  • Limite el uso de claves administradas por el cliente a un Servicios de AWS número específico mediante la clave de ViaService condición kms: incluida en la política de claves.

  • Si puede elegir entre los tipos de claves, se prefieren las claves administradas por el cliente porque brindan las opciones de control más detalladas, incluidas las siguientes:

  • AWS KMS Los permisos administrativos y de modificación deben denegarse explícitamente a los titulares no aprobados y los permisos de AWS KMS modificación no deben figurar en una declaración de autorización para los titulares no autorizados. Para obtener información, consulte Acciones, recursos y claves de condición de AWS Key Management Service.

  • Para detectar el uso no autorizado de KMS claves, implemente las reglas AWS Config-kms-actions y iam-customer-policy-blocked-kms-actions. iam-inline-policy-blocked Esto impide que los directores utilicen las acciones de descifrado en todos los recursos. AWS KMS

  • Implemente políticas de control de servicios (SCPs) AWS Organizations para evitar que usuarios o roles no autorizados eliminen KMS las claves, ya sea directamente como un comando o a través de la consola. Para obtener más información, consulte Uso SCPs como controles preventivos (AWS entrada del blog).

  • Registra AWS KMS API las llamadas en un CloudTrail registro. Esto registra los atributos del evento relevantes, como las solicitudes que se realizaron, la dirección IP de origen desde la que se realizó la solicitud y quién la realizó. Para obtener más información, consulte Registrar AWS KMS API llamadas con AWS CloudTrail.

  • Si utilizas un contexto de cifrado, no debería contener información confidencial. CloudTrail almacena el contexto de cifrado en JSON archivos de texto sin formato, que pueden ser consultados por cualquier persona que tenga acceso al depósito de S3 que contiene la información.

  • Cuando monitoree el uso de las claves administradas por el cliente, configure los eventos para que lo notifiquen si se detectan acciones específicas, como la creación de claves, las actualizaciones de las políticas de claves administradas por el cliente o la importación de material clave. También se recomienda implementar respuestas automatizadas, como una función de AWS Lambda que deshabilita la clave o realiza cualquier otra acción de respuesta a incidentes según lo dicten las políticas de la organización.

  • Se recomiendan las claves de varias regiones para situaciones específicas, como la conformidad, la recuperación de desastres o las copias de seguridad. Las propiedades de seguridad de las claves de varias regiones son significativamente diferentes de las claves de una sola región. Las siguientes recomendaciones se aplican a la hora de autorizar la creación, la administración y el uso de claves de varias regiones:

    • Permita a las entidades principales replicar una clave de varias regiones solo en las Regiones de AWS que las requieran.

    • De permiso para las claves de varias regiones solo a las entidades principales que las necesiten y solo para las tareas que las requieran.