Perlindungan data di Amazon WorkMail - Amazon WorkMail
Bagaimana Amazon WorkMail menggunakan AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon WorkMail

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon WorkMail. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi yang lebih lengkap tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Amazon WorkMail atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDK. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Bagaimana Amazon WorkMail menggunakan AWS KMS

Amazon WorkMail secara transparan mengenkripsi semua pesan di kotak surat semua WorkMail organisasi Amazon sebelum pesan ditulis ke disk, dan secara transparan mendekripsi pesan saat pengguna mengaksesnya. Anda tidak dapat menonaktifkan enkripsi. Untuk melindungi kunci enkripsi yang melindungi pesan, Amazon WorkMail terintegrasi dengan AWS Key Management Service (AWS KMS).

Amazon WorkMail juga menyediakan opsi untuk memungkinkan pengguna mengirim email yang ditandatangani atau dienkripsi. Fitur enkripsi ini tidak menggunakan AWS KMS. Untuk informasi selengkapnya, lihat Mengaktifkan email yang ditandatangani atau dienkripsi.

WorkMail Enkripsi Amazon

Di Amazon WorkMail, setiap organisasi dapat berisi beberapa kotak pesan, satu untuk setiap pengguna di organisasi. Semua pesan, termasuk item email dan kalender, disimpan di kotak pesan pengguna.

Untuk melindungi konten kotak pesan di WorkMail organisasi Amazon Anda, Amazon WorkMail mengenkripsi semua pesan kotak pesan sebelum ditulis ke disk. Tidak ada informasi yang disediakan pelanggan disimpan dalam plaintext.

Setiap pesan dienkripsi di bawah kunci enkripsi data yang unik. Kunci pesan dilindungi oleh kunci kotak pesan, yang merupakan kunci enkripsi unik yang hanya digunakan untuk kotak pesan tersebut. Kunci kotak pesan dienkripsi di bawah kunci master AWS KMS pelanggan (CMK) untuk organisasi yang tidak pernah dibiarkan tidak terenkripsi. AWS KMS Diagram berikut menunjukkan hubungan pesan terenkripsi, kunci pesan terenkripsi, kunci kotak pesan terenkripsi, dan CMK untuk organisasi di AWS KMS.

Mengenkripsi kotak surat Amazon Anda WorkMail

Menetapkan CMK untuk organisasi

Saat membuat WorkMail organisasi Amazon, Anda memiliki opsi untuk memilih kunci master AWS KMS pelanggan (CMK) untuk organisasi. CMK ini melindungi semua kunci kotak pesan di organisasi tersebut.

Anda dapat memilih CMK AWS terkelola default untuk Amazon WorkMail, atau Anda dapat memilih CMK terkelola pelanggan yang sudah ada yang Anda miliki dan kelola. Untuk informasi selengkapnya, lihat kunci utama pelanggan (CMK) dalam Panduan Developer AWS Key Management Service . Anda dapat memilih CMK yang sama atau CMK yang berbeda untuk setiap organisasi Anda, tetapi Anda tidak dapat mengubah CMK setelah Anda memilihnya.

penting

Amazon hanya WorkMail mendukung CMK simetris. Anda tidak dapat menggunakan CMK asimetris. Untuk bantuan menentukan apakah kunci CMK simetris atau asimetris, lihat Mengidentifikasi CMK simetris dan asimetris dalam AWS Key Management Service Panduan Developer.

Untuk menemukan CMK untuk organisasi Anda, gunakan entri AWS CloudTrail log yang merekam panggilan. AWS KMS

Kunci enkripsi unik untuk setiap kotak pesan

Saat Anda membuat kotak pesan, Amazon WorkMail menghasilkan kunci enkripsi simetris Advanced Encryption Standard (AES) 256-bit yang unik untuk kotak pesan, yang dikenal sebagai kunci kotak pesan, di luar kotak pesan. AWS KMS Amazon WorkMail menggunakan kunci kotak pesan untuk melindungi kunci enkripsi untuk setiap pesan di kotak pesan.

Untuk melindungi kunci kotak pesan, Amazon WorkMail memanggil AWS KMS untuk mengenkripsi kunci kotak pesan di bawah CMK untuk organisasi. Kemudian ini menyimpan kunci kotak pesan yang dienkripsi dalam metadata kotak pesan.

catatan

Amazon WorkMail menggunakan kunci enkripsi kotak pesan simetris untuk melindungi kunci pesan. Sebelumnya, Amazon WorkMail melindungi setiap kotak surat dengan key pair asimetris. Ini menggunakan kunci publik untuk mengenkripsi setiap kunci pesan dan kunci pribadi untuk mendekripsinya. Kunci kotak pesan privat dilindungi oleh CMK untuk organisasi. Kotak pesan yang lebih lama dapat menggunakan key pair kotak pesan asimetris. Perubahan ini tidak memengaruhi keamanan kotak surat atau pesannya.

Mengenkripsi setiap pesan

Saat pengguna menambahkan pesan ke kotak pesan, Amazon WorkMail menghasilkan kunci enkripsi simetris AES 256-bit yang unik untuk pesan di luar. AWS KMS Ini menggunakan kunci pesan ini untuk mengenkripsi pesan. Amazon WorkMail mengenkripsi kunci pesan di bawah kunci kotak surat dan menyimpan kunci pesan terenkripsi dengan pesan. Kemudian, ini mengenkripsi kunci kotak pesan di bawah CMK untuk organisasi.

Membuat kotak pesan baru

Saat Amazon WorkMail membuat kotak pesan, Amazon menggunakan proses berikut untuk menyiapkan kotak pesan untuk menyimpan pesan terenkripsi.

  • Amazon WorkMail menghasilkan kunci enkripsi simetris AES 256-bit yang unik untuk kotak surat di luar AWS KMS.

  • Amazon WorkMail menyebut operasi AWS KMS Enkripsi. Ini melewati kunci kotak surat dan pengidentifikasi kunci master pelanggan (CMK) untuk organisasi. AWS KMS mengembalikan ciphertext dari kunci kotak surat yang dienkripsi di bawah CMK.

  • Amazon WorkMail menyimpan kunci kotak surat terenkripsi dengan metadata kotak surat.

Mengenkripsi pesan kotak pesan

Untuk mengenkripsi pesan, Amazon WorkMail menggunakan proses berikut.

  1. Amazon WorkMail menghasilkan kunci simetris AES 256-bit yang unik untuk pesan tersebut. Ini menggunakan kunci pesan teks biasa dan algoritma Advanced Encryption Standard (AES) untuk mengenkripsi pesan di luar. AWS KMS

  2. Untuk melindungi kunci pesan di bawah kunci kotak surat, Amazon WorkMail perlu mendekripsi kunci kotak surat, yang selalu disimpan dalam bentuk terenkripsi.

    Amazon WorkMail memanggil operasi AWS KMS Dekripsi dan meneruskan kunci kotak surat terenkripsi. AWS KMS menggunakan CMK untuk organisasi untuk mendekripsi kunci kotak pesan dan mengembalikan kunci kotak pesan teks biasa ke Amazon. WorkMail

  3. Amazon WorkMail menggunakan kunci kotak pesan teks biasa dan algoritma Advanced Encryption Standard (AES) untuk mengenkripsi kunci pesan di luar. AWS KMS

  4. Amazon WorkMail menyimpan kunci pesan terenkripsi dalam metadata pesan terenkripsi sehingga tersedia untuk mendekripsi.

Mendekripsi pesan kotak pesan

Untuk mendekripsi pesan, Amazon WorkMail menggunakan proses berikut.

  1. Amazon WorkMail memanggil operasi AWS KMS Dekripsi dan meneruskan kunci kotak surat terenkripsi. AWS KMS menggunakan CMK untuk organisasi untuk mendekripsi kunci kotak pesan dan mengembalikan kunci kotak pesan teks biasa ke Amazon. WorkMail

  2. Amazon WorkMail menggunakan kunci kotak pesan teks biasa dan algoritma Advanced Encryption Standard (AES) untuk mendekripsi kunci pesan terenkripsi di luar. AWS KMS

  3. Amazon WorkMail menggunakan kunci pesan teks biasa untuk mendekripsi pesan terenkripsi.

Melakukan cache tombol kotak pesan

Untuk meningkatkan kinerja dan meminimalkan panggilan ke AWS KMS, Amazon WorkMail menyimpan setiap kunci kotak pesan teks biasa untuk setiap klien secara lokal hingga satu menit. Pada akhir periode caching, kunci kotak pesan akan dihapus. Jika kunci kotak surat untuk klien tersebut diperlukan selama periode caching, Amazon WorkMail bisa mendapatkannya dari cache alih-alih menelepon. AWS KMS Kunci kotak pesan dilindungi dalam cache dan tidak pernah ditulis ke disk dalam plaintext.

Mengotorisasi penggunaan CMK

Saat Amazon WorkMail menggunakan kunci master pelanggan (CMK) dalam operasi kriptografi, Amazon bertindak atas nama administrator kotak pesan.

Untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk rahasia atas nama Anda, administrator harus memiliki izin berikut. Anda dapat menentukan izin yang diperlukan ini dalam kebijakan IAM atau kebijakan kunci.

  • kms:Encrypt

  • kms:Decrypt

  • kms:CreateGrant

Untuk mengizinkan CMK hanya digunakan untuk permintaan yang berasal dari Amazon WorkMail, Anda dapat menggunakan kunci ViaService kondisi kms: dengan nilainya. workmail.<region>.amazonaws.com

Anda juga dapat menggunakan kunci atau nilai dalam konteks enkripsi sebagai syarat untuk menggunakan CMK untuk operasi kriptografi. Misalnya, Anda dapat menggunakan operator ketentuan string di IAM atau dokumen kebijakan kunci atau menggunakan batasan hibah dalam hibah.

Kebijakan utama untuk AWS managed CMK

Kebijakan utama untuk CMK AWS terkelola untuk Amazon WorkMail memberi pengguna izin untuk menggunakan CMK untuk operasi tertentu hanya ketika Amazon WorkMail membuat permintaan atas nama pengguna. Kebijakan kunci tidak mengizinkan setiap pengguna untuk menggunakan CMK secara langsung.

Kebijakan kunci ini, seperti kebijakan dari semua kunci yang dikelola AWS, ditetapkan oleh layanan. Anda tidak dapat mengubah kebijakan kunci, tetapi Anda dapat melihatnya kapan saja. Untuk detailnya, lihat Menampilkan kebijakan kunci di Panduan Developer AWS Key Management Service .

Pernyataan kebijakan dalam kebijakan kunci memiliki efek sebagai berikut:

  • Izinkan pengguna di akun dan Wilayah untuk menggunakan CMK untuk operasi kriptografi dan untuk membuat hibah, tetapi hanya ketika permintaan datang dari Amazon WorkMail atas nama mereka. Kunci kondisi kms:ViaService memberlakukan pembatasan ini.

  • Memungkinkan AWS akun untuk membuat kebijakan IAM yang memungkinkan pengguna untuk melihat properti CMK dan mencabut hibah.

Berikut ini adalah kebijakan utama untuk contoh CMK AWS terkelola untuk Amazon WorkMail.

{
  "Version" : "2012-10-17",
  "Id" : "auto-workmail-1",
  "Statement" : [ {
    "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "workmail.us-east-1.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
      }
    }
  }, {
    "Sid" : "Allow direct access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ],
    "Resource" : "*"
  } ]
}

Menggunakan hibah untuk mengotorisasi Amazon WorkMail

Selain kebijakan utama, Amazon WorkMail menggunakan hibah untuk menambahkan izin ke CMK untuk setiap organisasi. Untuk melihat hibah pada CMK di akun Anda, gunakan operasi. ListGrants

Amazon WorkMail menggunakan hibah untuk menambahkan izin berikut ke CMK untuk organisasi.

  • Tambahkan kms:Encrypt izin untuk mengizinkan Amazon WorkMail mengenkripsi kunci kotak surat.

  • Tambahkan kms:Decrypt izin untuk mengizinkan Amazon menggunakan CMK WorkMail untuk mendekripsi kunci kotak pesan. Amazon WorkMail memerlukan izin ini dalam hibah karena permintaan untuk membaca pesan kotak pesan menggunakan konteks keamanan pengguna yang membaca pesan. Permintaan tidak menggunakan kredensyal akun. AWS Amazon WorkMail membuat hibah ini saat Anda memilih CMK untuk organisasi.

Untuk membuat hibah, Amazon WorkMail memanggil CreateGrantatas nama pengguna yang membuat organisasi. Izin untuk membuat hibah berasal dari kebijakan kunci. Kebijakan ini memungkinkan pengguna akun untuk memanggil CreateGrant CMK untuk organisasi saat Amazon WorkMail membuat permintaan atas nama pengguna yang berwenang.

Kebijakan kunci juga memungkinkan root akun untuk mencabut hibah pada kunci yang AWS dikelola. Namun, jika Anda mencabut hibah, Amazon tidak WorkMail dapat mendekripsi data terenkripsi di kotak pesan Anda.

Konteks WorkMail enkripsi Amazon

Konteks enkripsi adalah seperangkat pasangan nilai kunci yang berisi data non-rahasia yang berubah-ubah. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama. Untuk informasi lebih lanjut, lihat Konteks enkripsi di Panduan Developer AWS Key Management Service .

Amazon WorkMail menggunakan format konteks enkripsi yang sama di semua operasi AWS KMS kriptografi. Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi operasi kriptografi ini dalam catatan audit dan log, seperti AWS CloudTrail, dan sebagai syarat untuk otorisasi dalam kebijakan dan bantuan.

Dalam permintaan Enkripsi dan Dekripsi ke, AWS KMS Amazon WorkMail menggunakan konteks enkripsi di mana kuncinya berada aws:workmail:arn dan nilainya adalah Nama Sumber Daya Amazon (ARN) organisasi. 

"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization-ID"

Sebagai contoh, konteks enkripsi berikut mencakup contoh organisasi ARN di Wilayah Europe (Ireland) (eu-west-1).

"aws:workmail:arn":"arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"

Memantau WorkMail interaksi Amazon dengan AWS KMS

Anda dapat menggunakan AWS CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang WorkMail dikirimkan AWS KMS Amazon atas nama Anda.

Enkripsi

Saat Anda membuat kotak pesan, Amazon WorkMail membuat kunci kotak pesan dan panggilan AWS KMS untuk mengenkripsi kunci kotak pesan. Amazon WorkMail mengirimkan permintaan Enkripsi AWS KMS dengan kunci kotak pesan teks biasa dan pengenal untuk CMK organisasi Amazon. WorkMail

Peristiwa yang mencatat operasi Encrypt serupa dengan peristiwa contoh berikut. Pengguna adalah WorkMail layanan Amazon. Parameter termasuk ID CMK (keyId) dan konteks enkripsi untuk WorkMail organisasi Amazon. Amazon WorkMail juga melewati kunci kotak surat, tetapi itu tidak dicatat dalam CloudTrail log.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Dekripsi

Saat menambahkan, melihat, atau menghapus pesan kotak pesan, Amazon WorkMail meminta AWS KMS untuk mendekripsi kunci kotak pesan. Amazon WorkMail mengirimkan permintaan Dekripsi AWS KMS dengan kunci kotak surat terenkripsi dan pengenal untuk CMK organisasi Amazon. WorkMail

Peristiwa yang mencatat operasi Decrypt serupa dengan peristiwa contoh berikut. Pengguna adalah WorkMail layanan Amazon. Parameter termasuk kunci kotak surat terenkripsi (sebagai gumpalan ciphertext), yang tidak direkam dalam log, dan konteks enkripsi untuk organisasi Amazon. WorkMail AWS KMS mendapatkan ID CMK dari ciphertext.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}