Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Key Management Service controlli
Questi controlli sono correlati alle AWS KMS risorse.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS
Requisiti correlati: NIST .800-53.r5 AC-2, NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (15), .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-5, .800-53.r5 NIST AC-6, .800-53.r5 AC-6 (3) NIST NIST NIST
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::IAM::Policy
Regola AWS Config : iam-customer-policy-blocked-kms-actions
Tipo di pianificazione: modifica attivata
Parametri:
-
blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt
(non personalizzabile) -
excludePermissionBoundaryPolicy
:True
(non personalizzabile)
Verifica se la versione predefinita delle politiche gestite dai IAM clienti consente ai responsabili di utilizzare le azioni di AWS KMS decrittografia su tutte le risorse. Il controllo fallisce se la policy è sufficientemente aperta da consentire kms:ReEncryptFrom
azioni kms:Decrypt
o azioni su tutte le chiavi. KMS
Il controllo controlla solo KMS le chiavi nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una policy. Inoltre, il controllo valuta le politiche gestite dal cliente sia allegate che non collegate. Non verifica le politiche in linea o AWS le politiche gestite.
Con AWS KMS, puoi controllare chi può usare KMS le tue chiavi e accedere ai tuoi dati crittografati. IAMle politiche definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le kms:ReEncryptFrom
autorizzazioni kms:Decrypt
or e solo le chiavi necessarie per eseguire un'operazione. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.
Invece di concedere le autorizzazioni per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite kms:Decrypt
l'autorizzazione su tutte le KMS chiavi. Invece, consenti kms:Decrypt
solo le chiavi in una particolare regione per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.
Correzione
Per modificare una politica gestita IAM dai clienti, consulta Modifica delle politiche gestite dai clienti nella Guida per l'utente. IAM Quando modifichi la tua policy, per il Resource
campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.
[KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS
Requisiti correlati: NIST .800-53.r5 AC-2, NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (15), NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-5, NIST .800-53.r5 AC-6, .800-53.r5 AC-6 (3) NIST NIST NIST
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa:
-
AWS::IAM::Group
-
AWS::IAM::Role
-
AWS::IAM::User
Regola AWS Config : iam-inline-policy-blocked-kms-actions
Tipo di pianificazione: modifica attivata
Parametri:
-
blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt
(non personalizzabile)
Questo controllo verifica se le politiche in linea incorporate nelle IAM identità dell'utente (ruolo, utente o gruppo) consentono le azioni di AWS KMS decrittografia e ricrittografia su tutte le chiavi. KMS Il controllo ha esito negativo se la policy è sufficientemente aperta da consentire azioni kms:Decrypt
o kms:ReEncryptFrom
azioni su tutte le chiavi. KMS
Il controllo controlla solo KMS le chiavi nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una policy.
Con AWS KMS, puoi controllare chi può usare KMS le tue chiavi e accedere ai tuoi dati crittografati. IAMle politiche definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le autorizzazioni necessarie e solo le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.
Invece di concedere l'autorizzazione per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite kms:Decrypt
l'autorizzazione su tutte le KMS chiavi. Consenti invece l'autorizzazione solo su chiavi specifiche in una regione specifica per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.
Correzione
Per modificare una politica IAM in linea, consulta Modifica delle politiche in linea nella Guida per l'utente. IAM Quando modifichi la tua policy, per il Resource
campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.
[KMS.3] non AWS KMS keys deve essere eliminato involontariamente
Requisiti correlati: NIST .800-53.r5 SC-12, .800-53.r5 SC-12 (2) NIST
Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
Severità: critica
Tipo di risorsa: AWS::KMS::Key
AWS Config regola: kms-cmk-not-scheduled-for-deletion-2
(regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la cancellazione KMS delle chiavi è pianificata. Il controllo ha esito negativo se è pianificata l'eliminazione di una KMS chiave.
KMSle chiavi non possono essere recuperate una volta eliminate. I dati crittografati con una KMS chiave sono inoltre permanentemente irrecuperabili se la KMS chiave viene eliminata. Se i dati importanti sono stati crittografati con una KMS chiave programmata per l'eliminazione, prendi in considerazione la possibilità di decrittografare i dati o di ricrittografarli con una nuova KMS chiave, a meno che tu non stia eseguendo intenzionalmente una cancellazione crittografica.
Quando si pianifica l'eliminazione di una KMS chiave, viene imposto un periodo di attesa obbligatorio per consentire di annullare l'eliminazione, se è stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a soli 7 giorni se è pianificata l'eliminazione della KMS chiave. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la KMS chiave non verrà eliminata.
Per ulteriori informazioni sull'eliminazione delle KMS chiavi, consulta Eliminazione delle KMS chiavi nella Guida per gli sviluppatori.AWS Key Management Service
Correzione
Per annullare l'eliminazione pianificata di una KMS chiave, consulta Per annullare l'eliminazione delle chiavi in Pianificazione e annullamento dell'eliminazione delle chiavi (console) nella Guida per gli sviluppatori.AWS Key Management Service
[KMS.4] la rotazione dei AWS KMS tasti dovrebbe essere abilitata
Requisiti correlati: PCI DSS v3.2.1/3.6.4, CIS AWS Foundations Benchmark v3.0.0/3.6, Foundations Benchmark v1.4.0/3.8, Foundations Benchmark v1.2.0/2.8, .800-53.r5 SC-12 (2), CIS AWS .800-53.r5 SC-12 (2), .800-53.r5 SC-28 (3) CIS AWS NIST NIST NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::KMS::Key
Regola AWS Config : cmk-backing-key-rotation-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
AWS KMS consente ai clienti di ruotare la chiave di supporto, che è il materiale chiave memorizzato AWS KMS ed è legato all'ID della chiave. KMS È la chiave di supporto utilizzata per eseguire operazioni di crittografia, ad esempio la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di supporto precedenti, in modo che la decrittografia di dati crittografati possa essere eseguita in modo trasparente.
CISconsiglia di abilitare la rotazione dei KMS tasti. La rotazione delle chiavi di crittografia consente di ridurre l'impatto potenziale di una chiave compromessa perché i dati crittografati con una nuova chiave non sono accessibili con una chiave precedente che potrebbe essere stata esposta.
Correzione
Per abilitare KMS la rotazione dei tasti, consulta Come abilitare e disabilitare la rotazione automatica dei tasti nella Guida per gli AWS Key Management Service sviluppatori.