Configurer en optionAWS KMS keys - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer en optionAWS KMS keys

Si vous souhaitez chiffrer et déchiffrer vos ressources avec unAWS KMSclé de cryptage, activez la case à cocher. Si vous avez des clés existantes, vous pourrez les sélectionner à partir des identifiants affichés dans un menu déroulant. Vous pouvez générer une nouvelle clé en choisissantCréation d'une clé. Vous pouvez ajouter ou modifier une clé KMS chaque fois que vous mettez à jour votre landing zone.

Lorsque vous sélectionnezConfigurer la landing zone, AWS Control Tower effectue une vérification préalable pour valider votre clé KMS. La clé doit répondre aux critères suivants :

  • Activé

  • Symétrique

  • Ce n'est pas une clé multi-régions

  • Les autorisations correctes ont été ajoutées à la politique

  • La clé se trouve dans le compte de gestion

Une bannière d'erreur peut s'afficher si la clé ne répond pas à ces exigences. Dans ce cas, choisissez une autre clé ou générez une clé. Veillez à modifier la politique d'autorisations de la clé, comme décrit dans la section suivante.

Pour mettre à jour la politique de la clé

Pour utiliser une clé KMS avec AWS Control Tower, vous devez effectuer une mise à jour de politique spécifique de la clé. Au minimum, la clé KMS doit disposer d'autorisations permettantAWS CloudTrailetAWS Configpour utiliser la clé KMS choisie.

Effectuer la mise à jour de politique requise

  1. Accédez àAWSConsole KMS àhttps://console.aws.amazon.com/kms

  2. Tâche de sélectionClés gérées par le clientsur la gauche

  3. Dans le tableau, sélectionnez la touche que vous souhaitez modifier ou sélectionnezCréation d'une cléen haut à droite

  4. Dans la section appeléePolitique de clé, assurez-vous de pouvoir consulter la politique et de la modifier. Il se peut que vous deviez sélectionnerBasculement vers la vue politiquesur la droite

Vous pouvez copier et coller l'exemple de déclaration de politique suivant. Sinon, pour une clé existante, vous pouvez vous assurer que votre clé KMS dispose de ces autorisations minimales en les ajoutant à votre propre politique existante. Vous pouvez ajouter ces lignes en tant que groupe dans une seule instruction JSON ou, si vous préférez, les intégrer ligne par ligne dans les autres instructions de votre politique.

{ "Sid": "Allow CloudTrail and AWS Config to encrypt/decrypt logs", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com", "config.amazonaws.com" ] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }

Dans laAWS Key Management Service(AWS KMS) vous permet de créer des clés KMS multirégionales et des clés asymétriques ; cependant, AWS Control Tower ne prend pas en charge les clés multi-régions ou les clés asymétriques. AWS Control Tower effectue une vérification préalable de vos clés existantes. Un message d'erreur peut s'afficher si vous sélectionnez une clé multirégion ou une clé asymétrique. Dans ce cas, générez une autre clé à utiliser avec les ressources de la AWS Control Tower.

Pour en savoir plus surAWS KMS, veuillez consulterleAWS KMSGuide du développeur

Notez que les données des clients dans AWS Control Tower sont cryptées au repos, par défaut, à l'aide de SSE-S3.