AWS Key Management Service controlli - AWS Security Hub
[KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS[KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS[KMS.3] non AWS KMS keys deve essere eliminato involontariamente[KMS.4] la rotazione dei AWS KMS tasti dovrebbe essere abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Key Management Service controlli

Questi controlli sono correlati alle AWS KMS risorse.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

Requisiti correlati: NIST .800-53.r5 AC-2, NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (15), .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-5, .800-53.r5 NIST AC-6, .800-53.r5 AC-6 (3) NIST NIST NIST

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::IAM::Policy

Regola AWS Config : iam-customer-policy-blocked-kms-actions

Tipo di pianificazione: modifica attivata

Parametri:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(non personalizzabile)

  • excludePermissionBoundaryPolicy: True (non personalizzabile)

Verifica se la versione predefinita delle politiche gestite dai IAM clienti consente ai responsabili di utilizzare le azioni di AWS KMS decrittografia su tutte le risorse. Il controllo fallisce se la policy è sufficientemente aperta da consentire kms:ReEncryptFrom azioni kms:Decrypt o azioni su tutte le chiavi. KMS

Il controllo controlla solo KMS le chiavi nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una policy. Inoltre, il controllo valuta le politiche gestite dal cliente sia allegate che non collegate. Non verifica le politiche in linea o AWS le politiche gestite.

Con AWS KMS, puoi controllare chi può usare KMS le tue chiavi e accedere ai tuoi dati crittografati. IAMle politiche definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le kms:ReEncryptFrom autorizzazioni kms:Decrypt or e solo le chiavi necessarie per eseguire un'operazione. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.

Invece di concedere le autorizzazioni per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite kms:Decrypt l'autorizzazione su tutte le KMS chiavi. Invece, consenti kms:Decrypt solo le chiavi in una particolare regione per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.

Correzione

Per modificare una politica gestita IAM dai clienti, consulta Modifica delle politiche gestite dai clienti nella Guida per l'utente. IAM Quando modifichi la tua policy, per il Resource campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.

[KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

Requisiti correlati: NIST .800-53.r5 AC-2, NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (15), NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-5, NIST .800-53.r5 AC-6, .800-53.r5 AC-6 (3) NIST NIST NIST

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

Regola AWS Config : iam-inline-policy-blocked-kms-actions

Tipo di pianificazione: modifica attivata

Parametri:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(non personalizzabile)

Questo controllo verifica se le politiche in linea incorporate nelle IAM identità dell'utente (ruolo, utente o gruppo) consentono le azioni di AWS KMS decrittografia e ricrittografia su tutte le chiavi. KMS Il controllo ha esito negativo se la policy è sufficientemente aperta da consentire azioni kms:Decrypt o kms:ReEncryptFrom azioni su tutte le chiavi. KMS

Il controllo controlla solo KMS le chiavi nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una policy.

Con AWS KMS, puoi controllare chi può usare KMS le tue chiavi e accedere ai tuoi dati crittografati. IAMle politiche definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le autorizzazioni necessarie e solo le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.

Invece di concedere l'autorizzazione per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite kms:Decrypt l'autorizzazione su tutte le KMS chiavi. Consenti invece l'autorizzazione solo su chiavi specifiche in una regione specifica per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.

Correzione

Per modificare una politica IAM in linea, consulta Modifica delle politiche in linea nella Guida per l'utente. IAM Quando modifichi la tua policy, per il Resource campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.

[KMS.3] non AWS KMS keys deve essere eliminato involontariamente

Requisiti correlati: NIST .800-53.r5 SC-12, .800-53.r5 SC-12 (2) NIST

Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

Severità: critica

Tipo di risorsa: AWS::KMS::Key

AWS Config regola: kms-cmk-not-scheduled-for-deletion-2 (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la cancellazione KMS delle chiavi è pianificata. Il controllo ha esito negativo se è pianificata l'eliminazione di una KMS chiave.

KMSle chiavi non possono essere recuperate una volta eliminate. I dati crittografati con una KMS chiave sono inoltre permanentemente irrecuperabili se la KMS chiave viene eliminata. Se i dati importanti sono stati crittografati con una KMS chiave programmata per l'eliminazione, prendi in considerazione la possibilità di decrittografare i dati o di ricrittografarli con una nuova KMS chiave, a meno che tu non stia eseguendo intenzionalmente una cancellazione crittografica.

Quando si pianifica l'eliminazione di una KMS chiave, viene imposto un periodo di attesa obbligatorio per consentire di annullare l'eliminazione, se è stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a soli 7 giorni se è pianificata l'eliminazione della KMS chiave. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la KMS chiave non verrà eliminata.

Per ulteriori informazioni sull'eliminazione delle KMS chiavi, consulta Eliminazione delle KMS chiavi nella Guida per gli sviluppatori.AWS Key Management Service

Correzione

Per annullare l'eliminazione pianificata di una KMS chiave, consulta Per annullare l'eliminazione delle chiavi in Pianificazione e annullamento dell'eliminazione delle chiavi (console) nella Guida per gli sviluppatori.AWS Key Management Service

[KMS.4] la rotazione dei AWS KMS tasti dovrebbe essere abilitata

Requisiti correlati: PCI DSS v3.2.1/3.6.4, CIS AWS Foundations Benchmark v3.0.0/3.6, Foundations Benchmark v1.4.0/3.8, Foundations Benchmark v1.2.0/2.8, .800-53.r5 SC-12 (2), CIS AWS .800-53.r5 SC-12 (2), .800-53.r5 SC-28 (3) CIS AWS NIST NIST NIST

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::KMS::Key

Regola AWS Config : cmk-backing-key-rotation-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

AWS KMS consente ai clienti di ruotare la chiave di supporto, che è il materiale chiave memorizzato AWS KMS ed è legato all'ID della chiave. KMS È la chiave di supporto utilizzata per eseguire operazioni di crittografia, ad esempio la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di supporto precedenti, in modo che la decrittografia di dati crittografati possa essere eseguita in modo trasparente.

CISconsiglia di abilitare la rotazione dei KMS tasti. La rotazione delle chiavi di crittografia consente di ridurre l'impatto potenziale di una chiave compromessa perché i dati crittografati con una nuova chiave non sono accessibili con una chiave precedente che potrebbe essere stata esposta.

Correzione

Per abilitare KMS la rotazione dei tasti, consulta Come abilitare e disabilitare la rotazione automatica dei tasti nella Guida per gli AWS Key Management Service sviluppatori.