AWS Key Management Service commandes - AWS Security Hub
[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertanceLa rotation des AWS KMS touches [KMS.4] doit être activée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Key Management Service commandes

Ces contrôles sont liés aux AWS KMS ressources.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

Exigences connexes : NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6 (3)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::Policy

Règle AWS Config  : iam-customer-policy-blocked-kms-actions

Type de calendrier : changement déclenché

Paramètres :

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(non personnalisable)

  • excludePermissionBoundaryPolicy: True (non personnalisable)

Vérifie si la version par défaut des politiques gérées par le client IAM autorise les donneurs d'ordre à utiliser les actions de AWS KMS déchiffrement sur toutes les ressources. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser kms:Decrypt des kms:ReEncryptFrom actions sur toutes les clés KMS.

Le contrôle vérifie uniquement les clés KMS dans l'élément Resource et ne prend en compte aucune condition dans l'élément Condition d'une politique. En outre, le contrôle évalue les politiques gérées par le client à la fois attachées et non attachées. Il ne vérifie pas les politiques intégrées ni les politiques AWS gérées.

Vous pouvez ainsi contrôler qui peut utiliser vos clés KMS et accéder à vos données chiffrées. AWS KMS Les politiques IAM définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. Conformément aux meilleures pratiques en matière de sécurité, il est AWS recommandé d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les kms:ReEncryptFrom autorisations kms:Decrypt ou et uniquement les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.

Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui autorisent les utilisateurs à utiliser uniquement ces clés. Par exemple, n'kms:Decryptautorisez pas l'accès à toutes les clés KMS. Au lieu de cela, autorisez kms:Decrypt uniquement les clés d'une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.

Correction

Pour modifier une politique gérée par le client IAM, consultez la section Modification des politiques gérées par le client dans le guide de l'utilisateur IAM. Lorsque vous modifiez votre politique, pour le Resource champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.

[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS

Exigences connexes : NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6 (3)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource :

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

Règle AWS Config  : iam-inline-policy-blocked-kms-actions

Type de calendrier : changement déclenché

Paramètres :

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(non personnalisable)

Ce contrôle vérifie si les politiques intégrées à vos identités IAM (rôle, utilisateur ou groupe) autorisent les actions de AWS KMS déchiffrement et de rechiffrement sur toutes les clés KMS. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser kms:Decrypt des kms:ReEncryptFrom actions sur toutes les clés KMS.

Le contrôle vérifie uniquement les clés KMS dans l'élément Resource et ne prend en compte aucune condition dans l'élément Condition d'une politique.

Vous pouvez ainsi contrôler qui peut utiliser vos clés KMS et accéder à vos données chiffrées. AWS KMS Les politiques IAM définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. Conformément aux meilleures pratiques en matière de sécurité, il est AWS recommandé d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les autorisations dont elles ont besoin et uniquement pour les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.

Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui permettent aux utilisateurs de n'utiliser que ces clés. Par exemple, n'kms:Decryptautorisez pas l'accès à toutes les clés KMS. Au lieu de cela, autorisez l'autorisation uniquement sur des clés spécifiques dans une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.

Correction

Pour modifier une politique intégrée IAM, consultez la section Modification des politiques intégrées dans le guide de l'utilisateur IAM. Lorsque vous modifiez votre politique, pour le Resource champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.

[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance

Exigences connexes : NIST.800-53.R5 SC-12, NIST.800-53.R5 SC-12 (2)

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Gravité : Critique

Type de ressource : AWS::KMS::Key

AWS Config règle : kms-cmk-not-scheduled-for-deletion-2 (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la suppression des clés KMS est planifiée. Le contrôle échoue si la suppression d'une clé KMS est planifiée.

Les clés KMS ne peuvent pas être récupérées une fois supprimées. Les données chiffrées sous une clé KMS sont également irrémédiablement irrécupérables si la clé KMS est supprimée. Si des données significatives ont été chiffrées sous une clé KMS dont la suppression est prévue, envisagez de les déchiffrer ou de les rechiffrer sous une nouvelle clé KMS, sauf si vous effectuez intentionnellement un effacement cryptographique.

Lorsqu'une clé KMS est programmée pour être supprimée, une période d'attente obligatoire est imposée afin de laisser le temps d'annuler la suppression, si elle a été planifiée par erreur. Le délai d'attente par défaut est de 30 jours, mais il peut être réduit à 7 jours lorsque la suppression de la clé KMS est planifiée. Pendant la période d'attente, la suppression planifiée peut être annulée et la clé KMS ne sera pas supprimée.

Pour plus d'informations sur la suppression des clés KMS, consultez la section Suppression des clés KMS dans le manuel du AWS Key Management Service développeur.

Correction

Pour annuler la suppression planifiée d'une clé KMS, voir Pour annuler la suppression de clé sous Planification et annulation de la suppression de clé (console) dans le guide du AWS Key Management Service développeur.

La rotation des AWS KMS touches [KMS.4] doit être activée

Exigences associées : PCI DSS v3.2.1/3.6.4, CIS AWS Foundations Benchmark v3.0.0/3.6, CIS Foundations Benchmark v1.4.0/3.8, CIS Foundations Benchmark v1.2.0/2.8, NIST.800-53.R5 SC-12, AWS NIST.800-53.R5 SC-12 (2), AWS NIST.800-53.R5 SC-28 (3)

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::KMS::Key

Règle AWS Config  : cmk-backing-key-rotation-enabled

Type de calendrier : Périodique

Paramètres : Aucun

AWS KMS permet aux clients de faire pivoter la clé de sauvegarde, qui est un élément clé stocké AWS KMS et lié à l'identifiant de clé de la clé KMS. Il s'agit de la clé de stockage utilisée pour effectuer les opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation de clé automatique conserve actuellement toutes les clés de stockage précédentes afin que le déchiffrement des données chiffrées puisse se dérouler de façon transparente.

CIS vous recommande d'activer la rotation des clés KMS. La rotation des clés de chiffrement contribue à réduire l'impact potentiel d'une clé compromise, puisque les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une ancienne clé susceptible d'avoir été exposée.

Correction

Pour activer la rotation automatique des clés KMS, consultez la section Comment activer et désactiver la rotation automatique des clés dans le manuel du AWS Key Management Service développeur.