Création d'une clé KMS pour chiffrer les informations d'identification - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une clé KMS pour chiffrer les informations d'identification

Les procédures d'intégration décrites dans cette section vous offrent la possibilité de chiffrer vos informations d'identification à l'aide d'une clé AWS détenue ou d'une clé gérée par le client. Une clé AWS détenue est une clé KMS qui ne vous appartient pas, Compte AWS car le AWS service qui chiffre vos informations d'identification possède et gère la clé KMS. Si vous souhaitez contrôler totalement la clé KMS utilisée pour chiffrer vos informations d'identification, créez une clé gérée par le client. Une clé gérée par le client est une clé KMS que vous possédez et gérez.

Accès aux opérations de chiffrement du Security Hub

Cette déclaration de politique autorise Security Hub à utiliser la AWS KMS clé pour les opérations de chiffrement. Cela permet à Security Hub de protéger les secrets de vos clients à l'aide de cette clé. Les autorisations sont limitées aux opérations liées à des connecteurs Security Hub spécifiques via le bloc de conditions qui vérifie l'ARN source et le contexte de chiffrement. 

{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}"
        }
    }
}
Note

PourCloudProviderName, entrez JIRA_CLOUD ouSERVICENOW. Pour Region etAccountId, entrez votre Compte AWS identifiant Région AWS et.

Accès par lecture des clés du Security Hub

Cette déclaration de politique permet à Security Hub de lire les métadonnées relatives à la clé KMS en autorisant l'DescribeKeyopération. Cette autorisation est nécessaire pour que Security Hub puisse vérifier l'état et la configuration de la clé. L'accès est limité à des connecteurs Security Hub spécifiques via la condition ARN source. 

{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        }
    }
}
Note

Pour Region etAccountId, entrez votre Compte AWS identifiant Région AWS et.

Accès principal IAM pour les opérations du Security Hub

Cette déclaration de politique accorde au rôle IAM spécifié les autorisations nécessaires pour effectuer des opérations clés (décrire, générer, déchiffrer, rechiffrer et répertorier les alias) lors de l'interaction avec Security Hub à l'aide des versions V2 et V2. CreateConnector CreateTicket APIs Cette condition garantit que ces opérations ne peuvent être effectuées que via le service Security Hub dans la région spécifiée. 

{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        },
        StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW"
        }
    }
}

{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        }
    }
}
Note

PourRoleName, entrez le nom du rôle IAM qui passe des appels à Security Hub. Pour Region etAccountId, entrez votre Compte AWS identifiant Région AWS et.