Cree una clave KMS para cifrar las credenciales - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree una clave KMS para cifrar las credenciales

Los procedimientos de integración de esta sección le ofrecen la opción de cifrar sus credenciales con una AWS clave propia o gestionada por el cliente. Una clave AWS propia es una clave de KMS que no está en su poder Cuenta de AWS porque el AWS servicio que cifra sus credenciales es el propietario de la clave de KMS y la administra. Si quiere tener el control total de la clave KMS utilizada para cifrar sus credenciales, cree una clave gestionada por el cliente. Una clave administrada por el cliente es una clave de KMS que usted posee y administra.

Acceso a las operaciones de cifrado de Security Hub

Esta declaración de política permite a Security Hub utilizar la AWS KMS clave para las operaciones de cifrado. Permite a Security Hub proteger los secretos de sus clientes con esta clave. Los permisos están restringidos a las operaciones relacionadas con conectores específicos de Security Hub a través del bloque de condiciones que comprueba el ARN de origen y el contexto de cifrado.

{ "Sid": "Allow Security Hub access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" }, "StringLike": { "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*", "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}" } } }
nota

ParaCloudProviderName, introduzca JIRA_CLOUD o. SERVICENOW Para Region yAccountId, introduzca su Cuenta de AWS ID Región de AWS y.

Acceso de lectura de claves a Security Hub

Esta declaración de política permite a Security Hub leer los metadatos sobre la clave KMS al permitir la DescribeKey operación. Este permiso es necesario para que Security Hub verifique el estado y la configuración de la clave. El acceso está limitado a conectores específicos de Security Hub a través de la condición de ARN de origen.

{ "Sid": "Allow Security Hub read access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" } } }
nota

Para Region yAccountId, introduzca su Cuenta de AWS ID Región de AWS y.

Acceso principal de IAM para las operaciones del Security Hub

Esta declaración de política otorga al rol de IAM especificado permisos para realizar operaciones clave (describir, generar, descifrar, volver a cifrar y enumerar los alias) al interactuar con Security Hub mediante la V2 y la V2. CreateConnector CreateTicket APIs La condición garantiza que estas operaciones solo se puedan realizar a través del servicio Security Hub en la región especificada.

{ "Sid": "Allow permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] }, StringLike": { "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW" } } } { "Sid": "Allow read permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] } } }
nota

ParaRoleName, introduzca el nombre del rol de IAM que realiza las llamadas a Security Hub. Para Region yAccountId, introduzca su Cuenta de AWS ID Región de AWS y.