AWS Key Management Service controles - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Key Management Service controles

Estos controles están relacionados con los AWS KMS recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config : iam-customer-policy-blocked-kms-actions

Tipo de horario: provocado por un cambio

Parámetros:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt (no personalizable)

  • excludePermissionBoundaryPolicy: True (no personalizable)

Comprueba si la versión predeterminada de las políticas gestionadas por los clientes de IAM permite a los directores utilizar las acciones de AWS KMS descifrado en todos los recursos. El control falla si la política está lo suficientemente abierta como para permitir realizar acciones de kms:Decrypt o kms:ReEncryptFrom en todas las claves de KMS.

El control solo comprueba las claves de KMS en el elemento Recurso y no tiene en cuenta ningún condicional del elemento Condición de una política. Además, el control evalúa las políticas administradas por el cliente asociadas y no asociadas. No comprueba las políticas integradas ni las políticas gestionadas. AWS

Con AWS KMS ella, usted controla quién puede usar sus claves KMS y acceder a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda conceder los privilegios mínimos. En otras palabras, debe conceder a las identidades únicamente los permisos kms:Decrypt o kms:ReEncryptFrom y únicamente para las claves que se requieren para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean adecuadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. Luego, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permita permisos de kms:Decrypt en todas las claves KMS. En su lugar, permita únicamente kms:Decrypt las claves de su cuenta en una región determinada. Al adoptar el principio del privilegio mínimo, puede reducir el riesgo de que sus datos se divulguen de forma no intencionada.

Corrección

Para modificar una política de IAM administrada por el cliente, consulte Edición de políticas gestionadas por el cliente en la Guía del usuario de IAM. Al editar su política, proporcione para el campo Resource el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir acciones de descifrado.

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

Regla de AWS Config : iam-inline-policy-blocked-kms-actions

Tipo de horario: provocado por un cambio

Parámetros:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt (no personalizable)

Este control comprueba si las políticas integradas en sus identidades de IAM (rol, usuario o grupo) permiten las acciones de AWS KMS descifrado y recrifrado de todas las claves de KMS. El control falla si la política está lo suficientemente abierta como para permitir realizar acciones de kms:Decrypt o kms:ReEncryptFrom en todas las claves de KMS.

El control solo comprueba las claves de KMS en el elemento Recurso y no tiene en cuenta ningún condicional del elemento Condición de una política.

Con él AWS KMS, usted controla quién puede usar sus claves KMS y acceder a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda conceder los privilegios mínimos. En otras palabras, debe conceder a las identidades únicamente los permisos que necesitan y únicamente para las claves que se requieren para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean adecuadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. Luego, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permita permisos de kms:Decrypt en todas las claves KMS. En su lugar, conceda el permiso solo a claves específicas de una región específica de su cuenta. Al adoptar el principio del privilegio mínimo, puede reducir el riesgo de que sus datos se divulguen de forma no intencionada.

Corrección

Para modificar una política en línea de IAM, consulte Edición de políticas en línea en la Guía del usuario de IAM. Al editar su política, proporcione para el campo Resource el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir acciones de descifrado.

[KMS.3] no AWS KMS keys debe eliminarse involuntariamente

Requisitos relacionados: NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-12(2)

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: crítica

Tipo de recurso: AWS::KMS::Key

Regla de AWS Config : kms-cmk-not-scheduled-for-deletion-2 (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la eliminación de las claves de KMS está programada. El control falla si está programada la eliminación de una clave KMS.

Las claves KMS no se pueden recuperar una vez eliminadas. Los datos cifrados con una clave KMS tampoco se pueden recuperar permanentemente si se elimina la clave KMS. Si los datos significativos se han cifrado con una clave de KMS cuya eliminación está programada, considere la posibilidad de descifrar los datos o volver a cifrarlos con una nueva clave de KMS, a menos que esté realizando un borrado criptográfico de forma intencionada.

Cuando se programa la eliminación de una clave de KMS, se aplica un período de espera obligatorio para dar tiempo a revertir la eliminación, en caso de que se haya programado por error. El período de espera predeterminado es de 30 días, pero se puede reducir a tan solo 7 días si está programada la eliminación de la clave KMS. Durante el período de espera, se puede cancelar la eliminación programada y no se eliminará la clave KMS.

Para obtener información adicional sobre la eliminación de claves de KMS, consulte Eliminar claves de KMS en la Guía para desarrolladores de AWS Key Management Service .

Corrección

Para cancelar una eliminación de claves de KMS programada, consulte Para cancelar la eliminación de claves en Programación y cancelación de la eliminación de claves (consola) de la Guía para desarrolladores de AWS Key Management Service .

La rotación de teclas [KMS.4] debe estar habilitada AWS KMS

Requisitos relacionados: PCI DSS v3.2.1/3.6.4, CIS AWS Foundations Benchmark v3.0.0/3.6, CIS Foundations Benchmark v1.4.0/3.8, CIS Foundations Benchmark v1.2.0/2.8, NIST.800-53.r5 SC-12, AWS NISt.800-53.r5 SC-12 (2), NISt.800-53.r5 SC-28 AWS (3)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::KMS::Key

Regla de AWS Config : cmk-backing-key-rotation-enabled

Tipo de programa: Periódico

Parámetros: ninguno

AWS KMS permite a los clientes girar la clave de respaldo, que es el material clave almacenado AWS KMS y vinculado al ID de clave de la clave KMS. Es la clave de backup que se utiliza para realizar operaciones criptográficas como, por ejemplo, cifrado y descifrado. Actualmente, la rotación de claves automática retiene todas las claves de backup anteriores, por lo que el descifrado de los datos cifrado se puede realizar de forma transparente.

CIS recomienda que habilite la rotación de claves de KMS. La rotación de claves de cifrado ayuda a reducir el impacto potencial de una clave en peligro porque los datos cifrados con una nueva clave no son accesibles con un clave anterior que se haya visto expuesta.

Corrección

Para habilitar la rotación de claves de KMS, consulte Cómo habilitar y deshabilitar la rotación automática de claves en la Guía para desarrolladores de AWS Key Management Service .