AWS Key Management Servicecontroles - AWS Security Hub
[KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS[KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS[KMS.3] no AWS KMS keys debe eliminarse involuntariamenteLa rotación de AWS KMS teclas [KMS.4] debe estar habilitada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Key Management Servicecontroles

Estos controles están relacionados con los AWS KMS recursos.

Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.

[KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

Requisitos relacionados: NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6, NIST.800-53.R5 AC-6 (3))

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config: iam-customer-policy-blocked-kms-actions

Tipo de programa: cambio activado

Parámetros:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt

  • excludePermissionBoundaryPolicy: True

Comprueba si la versión predeterminada de las políticas gestionadas por el cliente de IAM permite a los directores utilizar las acciones de AWS KMS descifrado en todos los recursos. El control falla si la política está lo suficientemente abierta como para permitir kms:Decrypt kms:ReEncryptFrom acciones en todas las claves de KMS.

El control solo comprueba las claves de KMS del elemento Resource y no tiene en cuenta ningún condicional del elemento Condición de una política. Además, el control evalúa las políticas gestionadas por clientes tanto adjuntas como no adjuntas. No comprueba las políticas integradas ni las políticas AWS gestionadas.

ConAWS KMS, usted controla quién puede usar sus claves de KMS y obtener acceso a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda permitir el mínimo privilegio. En otras palabras, debe conceder a las identidades solo los kms:ReEncryptFrom permisos kms:Decrypt o y solo las claves necesarias para realizar una tarea. De lo contrario, el usuario podría utilizar claves que no sean apropiadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. A continuación, diseñe políticas que permitan a los usuarios utilizar solo esas claves. Por ejemplo, no permita kms:Decrypt permisos en todas las claves de KMS. En su lugar, kms:Decrypt solo permite usar claves de una región determinada para su cuenta. Al adoptar el principio del mínimo privilegio, puede reducir el riesgo de divulgación involuntaria de sus datos.

Corrección

Para modificar una política gestionada por clientes de IAM, consulte Edición de políticas gestionadas por clientes en la Guía del usuario de IAM. Al editar su política, proporcione para el Resource campo el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir las acciones de descifrado.

[KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS

Requisitos relacionados: NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6, NIST.800-53.R5 AC-6 (3))

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

Regla de AWS Config: iam-inline-policy-blocked-kms-actions

Tipo de programa: cambio activado

Parámetros:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt

Este control comprueba si las políticas en línea que están integradas en sus identidades de IAM (rol, usuario o grupo) permiten las acciones de AWS KMS descifrado y recrifrado de todas las claves de KMS. El control falla si la política está lo suficientemente abierta como para permitir kms:Decrypt kms:ReEncryptFrom acciones en todas las claves de KMS.

El control solo comprueba las claves de KMS del elemento Resource y no tiene en cuenta ningún condicional del elemento Condición de una política.

ConAWS KMS, usted controla quién puede usar sus claves de KMS y obtener acceso a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda permitir el mínimo privilegio. En otras palabras, debe conceder a las identidades solo los permisos que necesitan y solo las claves necesarias para realizar una tarea. De lo contrario, el usuario podría utilizar claves que no sean apropiadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. A continuación, diseñe políticas que permitan a los usuarios utilizar solo esas claves. Por ejemplo, no permita kms:Decrypt permisos en todas las claves de KMS. En su lugar, permite el permiso solo en claves específicas de una región específica para tu cuenta. Al adoptar el principio del mínimo privilegio, puede reducir el riesgo de divulgación involuntaria de sus datos.

Corrección

Para modificar una política en línea de IAM, consulte Edición de políticas en línea en la Guía del usuario de IAM. Al editar su política, proporcione para el Resource campo el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir las acciones de descifrado.

[KMS.3] no AWS KMS keys debe eliminarse involuntariamente

Requisitos relacionados: NIST.800-53.R5 SC-12, NIST.800-53.R5 SC-12 (2)

Categoría: Proteger > Protección de datos > Protección contra eliminación de datos

Gravedad: crítica

Tipo de recurso: AWS::KMS::Key

AWS Configregla: kms-cmk-not-scheduled-for-deletion-2 (regla personalizada de Security Hub)

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si las claves de KMS están programadas para su eliminación. El control falla si está programada la eliminación de una clave de KMS.

Las claves de KMS no se pueden recuperar una vez eliminadas. Los datos cifrados con una clave de KMS también son irrecuperables de forma permanente si se elimina la clave de KMS. Si se han cifrado datos significativos con una clave de KMS programada para su eliminación, considere la posibilidad de descifrar los datos o volver a cifrarlos con una clave de KMS nueva, a menos que esté realizando un borrado criptográfico intencionadamente.

Cuando se programa la eliminación de una clave de KMS, se impone un período de espera obligatorio para dar tiempo a revertir la eliminación, si se programó por error. El período de espera predeterminado es de 30 días, pero se puede reducir a tan solo 7 días si se programa la eliminación de la clave de KMS. Durante el período de espera, se puede cancelar la eliminación programada y no se eliminará la clave de KMS.

Para obtener información adicional sobre la eliminación de claves de KMS, consulte Eliminar claves de KMS en la Guía para AWS Key Management Service desarrolladores.

Corrección

Para cancelar la eliminación programada de una clave de KMS, consulte Para cancelar la eliminación de claves en Programar y cancelar la eliminación de claves (consola) de la Guía para AWS Key Management Service desarrolladores.

La rotación de AWS KMS teclas [KMS.4] debe estar habilitada

Requisitos relacionados: PCI DSS v3.2.1/3.6.4, CIS AWS Foundations Benchmark v1.2.0/2.8, CIS Foundations Benchmark v1.4.0/3.8, NIST.800-53.R5 SC-12, NIST.800-53.R5 AWS SC-12 (2), NIS.800-53.R5 SC-28 (3)

Gravedad: media

Tipo de recurso: AWS::KMS::Key

Regla de AWS Config: cmk-backing-key-rotation-enabled

Tipo de cronograma: Periódico

AWS KMSpermite a los clientes rotar la clave secundaria, que es el material clave almacenado AWS KMS y vinculado al identificador de clave de la clave de KMS. Es la clave de backup que se utiliza para realizar operaciones criptográficas como, por ejemplo, cifrado y descifrado. Actualmente, la rotación de claves automática retiene todas las claves de backup anteriores, por lo que el descifrado de los datos cifrado se puede realizar de forma transparente.

El CIS recomienda habilitar la rotación de claves de KMS. La rotación de claves de cifrado ayuda a reducir el impacto potencial de una clave en peligro porque los datos cifrados con una nueva clave no son accesibles con un clave anterior que se haya visto expuesta.

Corrección

Para habilitar la rotación de claves de KMS, consulte Cómo habilitar y deshabilitar la rotación automática de claves en la Guía para AWS Key Management Service desarrolladores.