Configurez éventuellement AWS KMS keys - AWS Control Tower
Mettre à jour la politique relative aux clés KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurez éventuellement AWS KMS keys

Si vous souhaitez chiffrer et déchiffrer vos ressources à l'aide d'une clé de AWS KMS chiffrement, cochez la case. Si vous avez des clés existantes, vous pourrez les sélectionner parmi les identifiants affichés dans un menu déroulant. Vous pouvez générer une nouvelle clé en choisissant Créer une clé. Vous pouvez ajouter ou modifier une clé KMS à chaque fois que vous mettez à jour votre zone de landing zone.

Lorsque vous sélectionnez Set up landing zone, AWS Control Tower effectue une pré-vérification pour valider votre clé KMS. La clé doit répondre aux exigences suivantes :

  • Activées

  • Symétrique

  • Il ne s'agit pas d'une clé multirégionale

  • Les autorisations correctes ont été ajoutées à la politique

  • La clé se trouve dans le compte de gestion

Une bannière d'erreur peut s'afficher si la clé ne répond pas à ces exigences. Dans ce cas, choisissez une autre clé ou générez une clé. Veillez à modifier la politique d'autorisation de la clé, comme décrit dans la section suivante.

Mettre à jour la politique relative aux clés KMS

Avant de pouvoir mettre à jour une politique de clé KMS, vous devez créer une clé KMS. Pour plus d'informations, consultez Création d'une stratégie de clé dans le Guide du développeur AWS Key Management Service .

Pour utiliser une clé KMS avec AWS Control Tower, vous devez mettre à jour la politique de clé KMS par défaut en ajoutant les autorisations minimales requises pour AWS Config et AWS CloudTrail. À titre de bonne pratique, nous vous recommandons d'inclure les autorisations minimales requises dans toute politique. Lorsque vous mettez à jour une politique de clé KMS, vous pouvez ajouter des autorisations en tant que groupe dans une seule instruction JSON ou ligne par ligne.

La procédure décrit comment mettre à jour la politique de clé KMS par défaut dans la AWS KMS console en ajoutant des instructions de politique autorisant AWS Config et CloudTrail à utiliser AWS KMS pour le chiffrement. Les déclarations de politique exigent que vous incluiez les informations suivantes :

  • YOUR-MANAGEMENT-ACCOUNT-ID— l'ID du compte de gestion sur lequel AWS Control Tower sera configuré.

  • YOUR-HOME-REGION— la région d'origine que vous allez sélectionner lors de la configuration d'AWS Control Tower.

  • YOUR-KMS-KEY-ID— l'ID de clé KMS qui sera utilisé avec la politique.

Pour mettre à jour la politique relative aux clés KMS

  1. Ouvrez la AWS KMS console à https://console.aws.amazon.com/kms

  2. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  3. Dans le tableau, sélectionnez la clé que vous souhaitez modifier.

  4. Dans l'onglet Stratégie clé, assurez-vous que vous pouvez consulter la politique clé. Si vous ne pouvez pas consulter la politique clé, choisissez Basculer vers l'affichage des politiques.

  5. Choisissez Modifier, puis mettez à jour la politique de clé KMS par défaut en ajoutant les déclarations de stratégie suivantes pour AWS Config et CloudTrail.

    AWS Config déclaration de politique 

    {
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

    CloudTrail déclaration de politique 

    {
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

  6. Sélectionnez Enregistrer les modifications.

Exemple de politique relative aux clés KMS

L'exemple de politique suivant montre à quoi pourrait ressembler votre politique de clé KMS une fois que vous aurez ajouté les déclarations de politique qui accordent AWS Config CloudTrail les autorisations minimales requises. L'exemple de politique n'inclut pas votre politique de clé KMS par défaut. 

{
    "Version": "2012-10-17",
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Pour consulter d'autres exemples de politiques, consultez les pages suivantes :

Protégez-vous contre les attaquants

En ajoutant certaines conditions à vos politiques, vous pouvez contribuer à empêcher un type d'attaque spécifique, connu sous le nom d'attaque adjointe confuse, qui se produit lorsqu'une entité contraint une entité plus privilégiée à effectuer une action, par exemple dans le cas d'une usurpation d'identité interservices. Pour des informations générales sur les conditions du contrat, voir égalementSpécification de conditions dans une politique.

Le AWS Key Management Service (AWS KMS) vous permet de créer des clés KMS multirégionales et des clés asymétriques ; cependant, AWS Control Tower ne prend pas en charge les clés multirégionales ou asymétriques. AWS Control Tower effectue une pré-vérification de vos clés existantes. Un message d'erreur peut s'afficher si vous sélectionnez une clé multirégionale ou une clé asymétrique. Dans ce cas, générez une autre clé à utiliser avec les ressources AWS Control Tower.

Pour plus d'informations AWS KMS, consultez le guide du AWS KMS développeur.

Notez que les données des clients dans AWS Control Tower sont chiffrées au repos, par défaut, à l'aide de SSE-S3.