Come WorkMail utilizza Amazon AWS KMS - AWS Key Management Service
WorkMail Panoramica di Amazon WorkMail Crittografia AmazonAutorizzazione dell'utilizzo della chiave KMSContesto WorkMail di crittografia AmazonMonitoraggio WorkMail dell'interazione di Amazon con AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come WorkMail utilizza Amazon AWS KMS

Questo argomento illustra in che modo Amazon WorkMail utilizza AWS KMS per crittografare i messaggi di posta elettronica.

WorkMail Panoramica di Amazon

Amazon WorkMail è un servizio di posta elettronica e calendario aziendale sicuro e gestito con supporto per client di posta elettronica desktop e mobili esistenti. Puoi creare un' WorkMail organizzazione Amazon e assegnarle uno o più domini e-mail di tua proprietà. Quindi è possibile creare caselle di posta per gli utenti e-mail e i gruppi di distribuzione dell'organizzazione.

Amazon crittografa in WorkMail modo trasparente tutti i messaggi nelle caselle di posta di tutte le WorkMail organizzazioni Amazon prima che i messaggi vengano scritti su disco e decrittografa in modo trasparente i messaggi quando gli utenti vi accedono. Non è possibile disabilitare la crittografia. Per proteggere le chiavi di crittografia che proteggono i messaggi, Amazon WorkMail è integrato con AWS Key Management Service (AWS KMS).

Amazon offre WorkMail anche un'opzione per consentire agli utenti di inviare e-mail firmate o crittografate. Questa caratteristica di crittografia non utilizza AWS KMS.

WorkMail Crittografia Amazon

In Amazon WorkMail, ogni organizzazione può contenere più caselle di posta, una per ogni utente dell'organizzazione. Tutti i messaggi, inclusi gli elementi di calendario ed e-mail, vengono archiviati nella casella di posta dell'utente.

Per proteggere il contenuto delle caselle di posta nelle tue WorkMail organizzazioni Amazon, Amazon WorkMail crittografa tutti i messaggi delle caselle di posta prima che vengano scritti su disco. Nessuna informazione fornita dai clienti viene archiviata in testo non crittografato.

Ogni messaggio viene crittografato con una chiave di crittografia dei dati univoca. La chiave del messaggio è protetta da una chiave della casella di posta, che è una chiave di crittografia univoca che viene utilizzata solo per quella casella. La chiave della casella di posta viene crittografata con una AWS KMS key per l’organizzazione che non lascia mai AWS KMS non crittografato. Il seguente diagramma mostra la relazione dei messaggi crittografati, le chiavi dei messaggi crittografati, la chiave della casella di posta crittografata e la chiave KMS per l'organizzazione in AWS KMS.

Crittografia delle tue caselle di posta Amazon WorkMail

Una chiave KMS per l'organizzazione

Quando crei un' WorkMail organizzazione Amazon, puoi selezionarne una AWS KMS key per l'organizzazione. Questa chiave KMS protegge tutte le chiavi delle caselle di posta in quell’organizzazione.

Se utilizzi la procedura di configurazione rapida per creare la tua organizzazione, Amazon WorkMail utilizza Chiave gestita da AWSfor Amazon WorkMail (aws/workmail) nella tuaAccount AWS. Se utilizzi la configurazione standard, puoi selezionare la chiave Chiave gestita da AWS per Amazon WorkMail o una chiave gestita dal cliente che possiedi e gestisci. Puoi selezionare la stessa chiave KMS o una chiave KMS diversa per ognuna delle organizzazioni, ma non puoi modificare la chiave KMS una volta selezionata.

Importante

Amazon WorkMail supporta solo chiavi KMS con crittografia simmetrica. Non puoi utilizzare una chiave KMS asimmetrica per crittografare i dati in Amazon. WorkMail Per informazioni su come determinare se una chiave KMS è simmetrica o asimmetrica, consulta Individuazione di chiavi KMS asimmetriche.

Per trovare la chiave KMS per la tua organizzazione, usa la voce di log AWS CloudTrail che registra le chiamate a AWS KMS.

Una chiave di crittografia univoca per ogni casella di posta

Quando crei una nuova casella di posta, Amazon WorkMail genera una chiave di crittografia simmetrica Advanced Encryption Standard (AES) unica a 256 bit per la casella di posta, nota come chiave della casella di posta, all'esterno di. AWS KMS Amazon WorkMail utilizza la chiave della casella di posta per proteggere le chiavi di crittografia per ogni messaggio nella casella di posta.

Per proteggere la chiave della casella di posta, Amazon WorkMail chiede di AWS KMS crittografare la chiave della casella di posta sotto la chiave KMS dell'organizzazione. Quindi archivia la chiave della casella di posta crittografata nei metadati della casella.

Nota

Amazon WorkMail utilizza una chiave di crittografia simmetrica delle caselle di posta per proteggere le chiavi dei messaggi. In precedenza, Amazon WorkMail proteggeva ogni casella di posta con una coppia di chiavi asimmetrica. Usava la chiave pubblica per crittografare ogni chiave di messaggio e la chiave privata per decrittografarla. La chiave della casella di posta privata era protetta dalla chiave KMS per l'organizzazione. Le caselle di posta esistenti possono comunque utilizzare una coppia di chiavi di casella asimmetrica. Questa modifica non influisce sulla sicurezza della casellla di posta o dei messaggi.

Una chiave di crittografia univoca per ogni messaggio

Quando un messaggio viene aggiunto alla casella di posta, Amazon WorkMail genera una chiave di crittografia simmetrica AES a 256 bit unica per il messaggio esterno. AWS KMS Usa questa chiave del messaggio per crittografare il messaggio. Amazon WorkMail crittografa la chiave del messaggio sotto la chiave della casella di posta e archivia la chiave del messaggio crittografato con il messaggio. Quindi, crittografa la chiave della casella di posta con la chiave KMS per l'organizzazione.

Creazione di una nuova casella di posta

Quando Amazon WorkMail crea una nuova casella di posta, utilizza il seguente processo per preparare la cassetta postale a contenere messaggi crittografati.

  • Amazon WorkMail genera un'esclusiva chiave di crittografia simmetrica AES a 256 bit per la casella di posta esterna. AWS KMS

  • Amazon WorkMail chiama l'operazione AWS KMS Encrypt. Trasferisce la chiave della casella di posta e l'identificatore della AWS KMS key per l'organizzazione. AWS KMS restituisce un testo cifrato della chiave della casella crittografata con la chiave KMS.

  • Amazon WorkMail archivia la chiave crittografata della casella di posta con i metadati della casella di posta.

Crittografia di un messaggio di casella di posta

Per crittografare un messaggio, Amazon WorkMail utilizza il seguente processo.

  1. Amazon WorkMail genera una chiave simmetrica AES unica a 256 bit per il messaggio. Utilizza la chiave del messaggio in testo normale e l'algoritmo Advanced Encryption Standard (AES) per crittografare il messaggio al di fuori di AWS KMS.

  2. Per proteggere la chiave del messaggio contenuta nella chiave della casella di posta, Amazon WorkMail deve decrittografare la chiave della casella di posta, che viene sempre archiviata in forma crittografata.

    Amazon WorkMail chiama l'operazione AWS KMS Decrypt e inserisce la chiave della casella di posta crittografata. AWS KMSutilizza la chiave KMS per l'organizzazione per decrittografare la chiave della casella di posta e restituisce la chiave della casella di posta in testo semplice ad Amazon. WorkMail

  3. Amazon WorkMail utilizza la chiave della casella di posta in chiaro e l'algoritmo Advanced Encryption Standard (AES) per crittografare la chiave del messaggio all'esterno di. AWS KMS

  4. Amazon WorkMail memorizza la chiave del messaggio crittografato nei metadati del messaggio crittografato in modo che sia disponibile per la decrittografia.

Decrittografia di un messaggio di casella di posta

Per decrittografare un messaggio, Amazon WorkMail utilizza il seguente processo.

  1. Amazon WorkMail chiama l'operazione AWS KMS Decrypt e inserisce la chiave della casella di posta crittografata. AWS KMSutilizza la chiave KMS per l'organizzazione per decrittografare la chiave della casella di posta e restituisce la chiave della casella di posta in testo semplice ad Amazon. WorkMail

  2. Amazon WorkMail utilizza la chiave della casella di posta in testo semplice e l'algoritmo Advanced Encryption Standard (AES) per decrittografare la chiave del messaggio crittografato all'esterno di. AWS KMS

  3. Amazon WorkMail utilizza la chiave del messaggio in testo semplice per decrittografare il messaggio crittografato.

Memorizzazione delle chiavi delle caselle di posta

Per migliorare le prestazioni e ridurre al minimo le chiamate aAWS KMS, Amazon WorkMail memorizza nella cache ogni chiave della casella di posta in testo semplice per ogni client localmente per un massimo di un minuto. Al termine del periodo di memorizzazione, la chiave della casella di posta viene rimossa. Se la chiave della casella di posta per quel client è richiesta durante il periodo di memorizzazione nella cache, Amazon WorkMail può recuperarla dalla cache anziché chiamare. AWS KMS La chiave è protetta nella cache e non viene mai scritta su disco in testo non crittografato.

Autorizzazione dell'utilizzo della chiave KMS

Quando Amazon WorkMail utilizza un AWS KMS key nelle operazioni crittografiche, agisce per conto dell'amministratore della casella di posta.

Per utilizzare la AWS KMS key per un segreto per tuo conto, l'amministratore deve disporre delle autorizzazioni seguenti. È possibile specificare queste autorizzazioni necessarie in una policy IAM o delle chiavi.

  • kms:Encrypt

  • kms:Decrypt

  • kms:CreateGrant

Per consentire l'utilizzo della chiave KMS solo per le richieste che provengono da Amazon WorkMail, puoi utilizzare la chiave kms: ViaService condition con il workmail.<region>.amazonaws.com valore.

Puoi inoltre utilizzare le chiavi o i valori nel contesto di crittografia come condizione per utilizzare la chiave KMS per le operazioni di crittografia. Ad esempio, è possibile utilizzare un operatore di condizione stringa in un documento di policy IAM o delle chiavi oppure utilizzare un vincolo di concessione in una concessione.

Policy della chiave per Chiave gestita da AWS

La politica chiave Chiave gestita da AWS per Amazon WorkMail consente agli utenti di utilizzare la chiave KMS per operazioni specifiche solo quando Amazon WorkMail effettua la richiesta per conto dell'utente. La policy delle chiavi non consente ad alcun utente di utilizzare la chiave KMS direttamente.

Questa policy delle chiavi, come le policy di tutte le Chiavi gestite da AWS, viene stabilita dal servizio. Non è possibile modificarla, ma è possibile visualizzarla in qualsiasi momento. Per informazioni dettagliate, vedi Visualizzazione di una policy di chiave.

Le istruzioni di policy nella policy delle chiavi hanno l'effetto seguente:

  • Consenti agli utenti dell'account e della regione di utilizzare la chiave KMS per operazioni crittografiche e creare concessioni, ma solo quando la richiesta proviene da Amazon per loro WorkMail conto. La chiave di condizione kms:ViaService applica questa limitazione.

  • Consente all'account Account AWS di creare policy IAM che consentono agli utenti di visualizzare le proprietà della chiave KMS e revocare le autorizzazioni.

Di seguito è riportata una politica chiave per un esempio Chiave gestita da AWS per Amazon WorkMail.

{
  "Version" : "2012-10-17",
  "Id" : "auto-workmail-1",
  "Statement" : [ {
    "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "workmail.us-east-1.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
      }
    }
  }, {
    "Sid" : "Allow direct access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ],
    "Resource" : "*"
  } ]
}

Utilizzo delle sovvenzioni per autorizzare Amazon WorkMail

Oltre alle politiche chiave, Amazon WorkMail utilizza le sovvenzioni per aggiungere autorizzazioni alla chiave KMS per ogni organizzazione. Per visualizzare le sovvenzioni sulla chiave KMS nel tuo account, utilizza l'operazione. ListGrants

Amazon WorkMail utilizza le sovvenzioni per aggiungere le seguenti autorizzazioni alla chiave KMS dell'organizzazione.

  • Aggiungi l'kms:Encryptautorizzazione per consentire ad Amazon di WorkMail crittografare la chiave della casella di posta.

  • Aggiungi l'kms:Decryptautorizzazione per consentire ad Amazon di WorkMail utilizzare la chiave KMS per decrittografare la chiave della casella di posta. Amazon WorkMail richiede questa autorizzazione in una concessione perché la richiesta di lettura dei messaggi della casella di posta utilizza il contesto di sicurezza dell'utente che sta leggendo il messaggio. La richiesta non utilizza le credenziali diAccount AWS. Amazon WorkMail crea questa concessione quando selezioni una chiave KMS per l'organizzazione.

Per creare le sovvenzioni, Amazon WorkMail chiama per CreateGrantconto dell'utente che ha creato l'organizzazione. L’autorizzazione a creare la concessione proviene dalla policy delle chiavi. Questa politica consente agli utenti dell'account di richiamare CreateGrant la chiave KMS dell'organizzazione quando Amazon WorkMail effettua la richiesta per conto di un utente autorizzato.

La policy delle chiavi, inoltre, consente all'account root di revocare la concessione sulla chiave gestita da Chiave gestita da AWS. Tuttavia, se revochi la concessione, Amazon WorkMail non può decrittografare i dati crittografati nelle tue caselle di posta.

Contesto WorkMail di crittografia Amazon

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati, in modo che lo stesso contesto di crittografia sia necessario per decrittografare i dati.

Amazon WorkMail utilizza lo stesso formato di contesto di crittografia in tutte le operazioni AWS KMS crittografiche. È possibile utilizzare il contesto di crittografia per identificare un’operazione di crittografia in record e log di audit, ad esempio AWS CloudTrail, nonché come una condizione per l'autorizzazione in policy e concessioni.

Nelle sue richieste Encrypt and Decrypt a, AWS KMS Amazon WorkMail utilizza un contesto di crittografia in cui la chiave aws:workmail:arn e il valore è l'Amazon Resource Name (ARN) dell'organizzazione. 

"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization ID"

Ad esempio, il seguente contesto di crittografia include un esempio di ARN di organizzazione nella regione Stati Uniti orientali (Ohio) (us-east-2).

"aws:workmail:arn":"arn:aws:workmail:us-east-2:111122223333:organization/m-68755160c4cb4e29a2b2f8fb58f359d7"

Monitoraggio WorkMail dell'interazione di Amazon con AWS KMS

Puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tenere traccia delle richieste a cui Amazon WorkMail invia per tuo AWS KMS conto.

Crittografa

Quando crei una nuova casella di posta, Amazon WorkMail genera una chiave della casella di posta e chiama AWS KMS per crittografare la chiave della casella di posta. Amazon WorkMail invia una richiesta Encrypt a AWS KMS con la chiave della casella di posta in testo semplice e un identificatore per la chiave KMS dell'organizzazione Amazon. WorkMail

L'evento che registra l'operazione Encrypt è simile a quello del seguente evento di esempio. L'utente è il WorkMail servizio Amazon. I parametri includono l'ID della chiave KMS (keyId) e il contesto di crittografia per l' WorkMail organizzazione Amazon. Amazon WorkMail inserisce anche la chiave della casella di posta, ma questa non viene registrata nel CloudTrail registro.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Decrypt

Quando aggiungi, visualizzi o elimini un messaggio della casella di posta, Amazon WorkMail chiede di decrittografare la AWS KMS chiave della casella di posta. Amazon WorkMail invia una richiesta Decrypt a AWS KMS con la chiave della casella di posta crittografata e un identificatore per la chiave KMS dell'organizzazione Amazon. WorkMail

L'evento che registra l'operazione Decrypt è simile a quello del seguente evento di esempio. L'utente è il WorkMail servizio Amazon. I parametri includono la chiave della casella di posta crittografata (come blob di testo cifrato), che non è registrata nel registro, e il contesto di crittografia per l'organizzazione Amazon. WorkMail AWS KMSricava l'ID della chiave KMS dal testo cifrato.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}