Comment Amazon WorkMail utilise AWS KMS - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Amazon WorkMail utilise AWS KMS

Cette rubrique explique comment WorkMail Amazon AWS KMS crypte les e-mails.

WorkMail Présentation d'Amazon

Amazon WorkMail est un service de messagerie et de calendrier professionnel sécurisé et géré qui prend en charge les clients de messagerie de bureau et mobiles existants. Vous pouvez créer une WorkMail organisation Amazon et lui attribuer un ou plusieurs domaines de messagerie dont vous êtes le propriétaire. Ensuite, vous pouvez créer des boîtes de réception pour les e-mails des utilisateurs et des groupes de distribution de l'organisation.

Amazon chiffre de WorkMail manière transparente tous les messages contenus dans les boîtes aux lettres de toutes les WorkMail organisations Amazon avant qu'ils ne soient écrits sur le disque et les déchiffre de manière transparente lorsque les utilisateurs y accèdent. Il n'y a aucune option pour désactiver le chiffrement. Pour protéger les clés de chiffrement qui protègent les messages, Amazon WorkMail est intégré à AWS Key Management Service (AWS KMS).

Amazon propose WorkMail également une option permettant aux utilisateurs d'envoyer des e-mails signés ou chiffrés. Cette fonctionnalité de chiffrement n'utilise pas AWS KMS.

WorkMail Chiffrement Amazon

Dans Amazon WorkMail, chaque organisation peut contenir plusieurs boîtes aux lettres, une pour chaque utilisateur de l'organisation. Tous les messages, y compris les e-mails et les éléments de calendrier, sont stockés dans la boîte de réception de l'utilisateur.

Pour protéger le contenu des boîtes aux lettres de vos WorkMail organisations Amazon, Amazon WorkMail chiffre tous les messages des boîtes aux lettres avant qu'ils ne soient écrits sur le disque. Aucune des informations fournies par le client n'est stockée en texte brut.

Chaque message est chiffré sous une clé de chiffrement de données unique. La clé du message est protégée par une clé de boîte de réception, qui est une clé de chiffrement unique utilisée uniquement pour cette boîte de réception. La clé de la boîte de réception est chiffrée sous une AWS KMS key pour l'organisation qui ne laisse jamais AWS KMS non chiffré. Le schéma suivant illustre la relation entre les messages chiffrés, les clés des messages chiffrés, la clé de la boîte de réception chiffrée et la clé KMS de l'organisation dans AWS KMS.


        Chiffrer vos boîtes aux lettres Amazon  WorkMail

Une clé KMS pour l'organisation

Lorsque vous créez une WorkMail organisation Amazon, vous pouvez en sélectionner une AWS KMS key pour l'organisation. Cette clé KMS protège toutes les clés de boîte de réception de cette organisation.

Si vous utilisez la procédure de configuration rapide pour créer votre organisation, Amazon WorkMail utilise le Clé gérée par AWSfor Amazon WorkMail (aws/workmail) dans votreCompte AWS. Si vous utilisez la configuration standard, vous pouvez sélectionner la clé Clé gérée par AWS pour Amazon WorkMail ou une clé gérée par le client que vous possédez et gérez. Vous pouvez sélectionner la même clé KMS ou une autre clé KMS pour chacune de vos organisations, mais vous ne pouvez pas modifier la clé KMS une fois que vous l'avez sélectionnée.

Important

Amazon WorkMail prend uniquement en charge les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser de clé KMS asymétrique pour chiffrer des données sur Amazon. WorkMail Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, veuillez consulter Identification des clés KMS asymétriques.

Pour rechercher la clé KMS de votre organisation, utilisez l'entrée de journal AWS CloudTrail qui enregistre les appels vers AWS KMS.

Clé de chiffrement unique pour chaque boîte de réception

Lorsque vous créez une nouvelle boîte aux lettres, Amazon WorkMail génère une clé de chiffrement symétrique AES (Advanced Encryption Standard) 256 bits unique pour la boîte aux lettres, connue sous le nom de clé de boîte aux lettres, en dehors de. AWS KMS Amazon WorkMail utilise la clé de boîte aux lettres pour protéger les clés de chiffrement de chaque message contenu dans la boîte aux lettres.

Pour protéger la clé de boîte aux lettres, Amazon WorkMail appelle AWS KMS pour chiffrer la clé de boîte aux lettres sous la clé KMS de l'organisation. Ensuite, il stocke la clé de la boîte de réception chiffrée dans la boîte de réception des métadonnées.

Note

Amazon WorkMail utilise une clé de chiffrement de boîte aux lettres symétrique pour protéger les clés de message. Auparavant, Amazon WorkMail protégeait chaque boîte aux lettres à l'aide d'une paire de clés asymétrique. Il utilise la clé publique pour chiffrer chaque clé de message et la clé privée pour la déchiffrer. La clé privée de la boîte de réception a été protégée par la clé KMS de l'organisation. Les boîtes aux lettres existantes peuvent toujours utiliser une paire de clés de boîte de réception asymétrique. Cette modification n'a pas d'incidence sur la sécurité de la boîte de réception ou de ses messages.

Clé de chiffrement unique pour chaque message

Lorsqu'un message est ajouté à la boîte aux lettres, Amazon WorkMail génère une clé de chiffrement symétrique AES 256 bits unique pour le message en dehors de. AWS KMS Il utilise cette clé de message pour chiffrer le message. Amazon WorkMail chiffre la clé du message sous la clé de la boîte aux lettres et stocke la clé de message chiffrée avec le message. Ensuite, il chiffre la clé de la boîte de réception sous la clé KMS de l'organisation.

Création d'une boîte de réception

Lorsqu'Amazon WorkMail crée une nouvelle boîte aux lettres, il utilise le processus suivant pour préparer la boîte aux lettres afin qu'elle contienne des messages chiffrés.

  • Amazon WorkMail génère une clé de chiffrement symétrique AES 256 bits unique pour la boîte aux lettres située à l'extérieur. AWS KMS

  • Amazon WorkMail lance l'opération AWS KMS Encrypt. Il transmet la clé de la boîte de réception et l'identificateur de AWS KMS key de l'organisation. AWS KMS renvoie un texte chiffré de la clé de la boîte de réception chiffrée sous la clé KMS.

  • Amazon WorkMail stocke la clé cryptée de la boîte aux lettres avec les métadonnées de la boîte aux lettres.

Chiffrement d'un message de boîte de réception

Pour chiffrer un message, Amazon WorkMail utilise le processus suivant.

  1. Amazon WorkMail génère une clé symétrique AES 256 bits unique pour le message. Il utilise la clé de données en texte brut et l'algorithme AES (Advanced Encryption Standard) pour chiffrer la valeur du secret en dehors d'AWS KMS.

  2. Pour protéger la clé de message située sous la clé de boîte aux lettres, Amazon WorkMail doit déchiffrer la clé de boîte aux lettres, qui est toujours stockée sous sa forme cryptée.

    Amazon WorkMail lance l'opération AWS KMS Decrypt et transmet la clé cryptée de la boîte aux lettres. AWS KMSutilise la clé KMS pour que l'organisation déchiffre la clé de boîte aux lettres et renvoie la clé de boîte aux lettres en texte clair à Amazon. WorkMail

  3. Amazon WorkMail utilise la clé de boîte aux lettres en texte brut et l'algorithme Advanced Encryption Standard (AES) pour chiffrer la clé du message en dehors de. AWS KMS

  4. Amazon WorkMail stocke la clé du message chiffré dans les métadonnées du message chiffré afin qu'elle soit disponible pour le déchiffrer.

Déchiffrement d'un message de la boîte de réception

Pour déchiffrer un message, Amazon WorkMail utilise le processus suivant.

  1. Amazon WorkMail lance l'opération AWS KMS Decrypt et transmet la clé cryptée de la boîte aux lettres. AWS KMSutilise la clé KMS pour que l'organisation déchiffre la clé de boîte aux lettres et renvoie la clé de boîte aux lettres en texte clair à Amazon. WorkMail

  2. Amazon WorkMail utilise la clé de boîte aux lettres en texte brut et l'algorithme Advanced Encryption Standard (AES) pour déchiffrer la clé de message chiffrée en dehors de. AWS KMS

  3. Amazon WorkMail utilise la clé du message en texte brut pour déchiffrer le message chiffré.

Mise en cache des clés de boîte de réception

Pour améliorer les performances et minimiser les appelsAWS KMS, Amazon met en WorkMail cache chaque clé de boîte aux lettres en texte brut pour chaque client localement pendant une minute maximum. À la fin de la période de mise en cache, la clé de la boîte de réception est supprimée. Si la clé de boîte aux lettres de ce client est requise pendant la période de mise en cache, Amazon WorkMail peut l'obtenir depuis le cache au lieu d'appelerAWS KMS. La clé de la boîte de réception est protégée dans le cache et n'est jamais écrit sur le disque en texte brut.

Autoriser l'utilisation de la clé KMS

Lorsqu'Amazon WorkMail utilise une AWS KMS key opération cryptographique, il agit pour le compte de l'administrateur de la boîte aux lettres.

Pour utiliser la AWS KMS key d'un secret en votre nom, l'utilisateur doit disposer des autorisations suivantes. Vous pouvez spécifier ces autorisations requises dans une politique IAM ou dans une politique de clé.

  • kms:Encrypt

  • kms:Decrypt

  • kms:CreateGrant

Pour autoriser l'utilisation de la clé KMS uniquement pour les demandes provenant d'Amazon WorkMail, vous pouvez utiliser la clé de ViaService condition kms : avec la workmail.<region>.amazonaws.com valeur.

Vous pouvez également utiliser les clés ou les valeurs du contexte de chiffrement comme condition d'utilisation de la clé KMS pour les opérations cryptographiques. Par exemple, vous pouvez utiliser un opérateur de condition de chaîne dans un document de politique IAM ou de clé, ou utiliser une contrainte d'octroi dans un octroi.

Politique de la Clé gérée par AWS

La politique clé Clé gérée par AWS pour Amazon WorkMail autorise les utilisateurs à utiliser la clé KMS pour des opérations spécifiques uniquement lorsqu'Amazon WorkMail fait la demande au nom de l'utilisateur. La politique de clé n'autorise pas les utilisateurs à utiliser la clé KMS directement.

Cette politique de clé, comme les politiques de toutes les Clés gérées par AWS, est établie par le service. Vous ne pouvez pas modifier la politique de clé, mais vous pouvez l'afficher à tout moment. Pour plus de détails, veuillez consulter Affichage d'une politique de clé.

Les instructions de politique de la politique de clé ont l'effet suivant :

  • Autorisez les utilisateurs du compte et de la région à utiliser la clé KMS pour les opérations cryptographiques et pour créer des autorisations, mais uniquement lorsque la demande provient d'Amazon en leur WorkMail nom. La clé de condition kms:ViaService applique cette restriction.

  • Autorise le Compte AWS à créer des politiques IAM qui permettent aux utilisateurs d'afficher les propriétés de clé KMS et de révoquer des octrois.

Voici une politique clé à titre d'exemple Clé gérée par AWS pour Amazon WorkMail.

{ "Version" : "2012-10-17", "Id" : "auto-workmail-1", "Statement" : [ { "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "workmail.us-east-1.amazonaws.com", "kms:CallerAccount" : "111122223333" } } }, { "Sid" : "Allow direct access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ], "Resource" : "*" } ] }

Utiliser des subventions pour autoriser Amazon WorkMail

Outre les politiques clés, Amazon WorkMail utilise des subventions pour ajouter des autorisations à la clé KMS pour chaque organisation. Pour consulter les autorisations associées à la clé KMS de votre compte, utilisez l'ListGrantsopération.

Amazon WorkMail utilise des autorisations pour ajouter les autorisations suivantes à la clé KMS de l'organisation.

  • Ajoutez l'kms:Encryptautorisation permettant à Amazon de chiffrer WorkMail la clé de la boîte aux lettres.

  • Ajoutez l'kms:Decryptautorisation permettant à Amazon d' WorkMail utiliser la clé KMS pour déchiffrer la clé de boîte aux lettres. Amazon WorkMail exige cette autorisation dans le cadre d'une autorisation, car la demande de lecture des messages de boîte aux lettres utilise le contexte de sécurité de l'utilisateur qui lit le message. La demande n'utilise pas les informations d'identification de la Compte AWS. Amazon WorkMail crée cette subvention lorsque vous sélectionnez une clé KMS pour l'organisation.

Pour créer les subventions, Amazon WorkMail appelle au CreateGrantnom de l'utilisateur qui a créé l'organisation. L'autorisation de créer l'octroi provient de la politique de clé. Cette politique permet aux utilisateurs du compte d'appeler CreateGrant la clé KMS de l'organisation lorsqu'Amazon WorkMail fait la demande au nom d'un utilisateur autorisé.

La politique de clé autorise également la racine du compte à révoquer l'octroi sur la Clé gérée par AWS. Toutefois, si vous révoquez l'autorisation, Amazon WorkMail ne pourra pas déchiffrer les données chiffrées de vos boîtes aux lettres.

Contexte WorkMail de chiffrement Amazon

Un contexte de chiffrement est un ensemble de paires clé-valeur contenant les données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie de manière chiffrée le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.

Amazon WorkMail utilise le même format de contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques. Vous pouvez utiliser le contexte de chiffrement pour identifier une opération de chiffrement dans les enregistrements d'audit et les journaux, tels qu' AWS CloudTrail, et en tant que condition pour l'autorisation dans les politiques et les octrois.

Dans ses demandes Encrypt and Decrypt à, AWS KMS Amazon WorkMail utilise un contexte de chiffrement dans lequel la clé aws:workmail:arn et la valeur sont le nom de ressource Amazon (ARN) de l'organisation.

"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization ID"

Par exemple, le contexte de chiffrement suivant inclut un exemple d'ARN d'organisation dans la région USA Est (Ohio) (us-east-2).

"aws:workmail:arn":"arn:aws:workmail:us-east-2:111122223333:organization/m-68755160c4cb4e29a2b2f8fb58f359d7"

Surveillance de WorkMail l'interaction d'Amazon avec AWS KMS

Vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes qu'Amazon WorkMail envoie AWS KMS en votre nom.

Encrypt

Lorsque vous créez une nouvelle boîte aux lettres, Amazon WorkMail génère une clé de boîte aux lettres et appelle AWS KMS pour chiffrer la clé de boîte aux lettres. Amazon WorkMail envoie une demande de chiffrement contenant la clé de boîte aux lettres en texte brut et un identifiant pour la clé KMS de l'organisation Amazon WorkMail . AWS KMS

L'événement qui enregistre l'opération Encrypt est similaire à l'exemple d'événement suivant. L'utilisateur est le WorkMail service Amazon. Les paramètres incluent l'ID de clé KMS (keyId) et le contexte de chiffrement pour l' WorkMail organisation Amazon. Amazon transmet WorkMail également la clé de la boîte aux lettres, mais celle-ci n'est pas enregistrée dans le CloudTrail journal.

{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-19T10:01:09Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455" }, "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" }, "responseElements": null, "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c", "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c" }

Decrypt

Lorsque vous ajoutez, consultez ou supprimez un message de boîte aux lettres, Amazon WorkMail demande AWS KMS à déchiffrer la clé de la boîte aux lettres. Amazon WorkMail envoie une demande de déchiffrement à l'AWS KMSaide de la clé de boîte aux lettres cryptée et d'un identifiant pour la clé KMS de l' WorkMailorganisation Amazon.

L'événement qui enregistre l'opération Decrypt est similaire à l'exemple d'événement suivant. L'utilisateur est le WorkMail service Amazon. Les paramètres incluent la clé de boîte aux lettres cryptée (sous forme de blob de texte chiffré), qui n'est pas enregistrée dans le journal, et le contexte de chiffrement pour l'organisation Amazon. WorkMail AWS KMSdéduit l'ID de la clé KMS à partir du texte chiffré.

{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-20T11:51:10Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455" } }, "responseElements": null, "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9", "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214" }