Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione dei dati in Amazon WorkMail
Il modello di responsabilità AWS condivisa Modello
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
-
Utilizza l'autenticazione a più fattori (MFA) con ogni account.
-
Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail
-
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
-
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
-
Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2
.
Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Amazon WorkMail o altri utenti Servizi AWS utilizzando la console, l'API o AWS gli SDK. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
Come WorkMail utilizza Amazon AWS KMS
Amazon crittografa in WorkMail modo trasparente tutti i messaggi nelle caselle di posta di tutte le WorkMail organizzazioni Amazon prima che i messaggi vengano scritti su disco e decrittografa in modo trasparente i messaggi quando gli utenti vi accedono. Non puoi disabilitare la crittografia. Per proteggere le chiavi di crittografia che proteggono i messaggi, Amazon WorkMail è integrato con AWS Key Management Service (AWS KMS).
Amazon offre WorkMail anche un'opzione per consentire agli utenti di inviare e-mail firmate o crittografate. Questa caratteristica di crittografia non utilizza AWS KMS. Per ulteriori informazioni, consulta Abilitazione di e-mail crittografate o firmate.
Argomenti
WorkMail Crittografia Amazon
In Amazon WorkMail, ogni organizzazione può contenere più caselle di posta, una per ogni utente dell'organizzazione. Tutti i messaggi, inclusi gli elementi di calendario ed e-mail, vengono archiviati nella casella di posta dell'utente.
Per proteggere il contenuto delle caselle di posta nelle tue WorkMail organizzazioni Amazon, Amazon WorkMail crittografa tutti i messaggi delle caselle di posta prima che vengano scritti su disco. Nessuna informazione fornita dai clienti viene archiviata in testo non crittografato.
Ogni messaggio viene crittografato con una chiave di crittografia dei dati univoca. La chiave del messaggio è protetta da una chiave della casella di posta, che è una chiave di crittografia univoca che viene utilizzata solo per quella casella. La chiave della casella di posta è crittografata con una chiave master AWS KMS del cliente (CMK) per l'organizzazione che non esce mai non crittografata. AWS KMS Il seguente diagramma mostra la relazione dei messaggi crittografati, le chiavi dei messaggi crittografati, la chiave della casella di posta crittografata e la CMK per l'organizzazione in AWS KMS.
Impostazione di un CMK per l'organizzazione
Quando crei un' WorkMail organizzazione Amazon, hai la possibilità di selezionare una chiave master AWS KMS del cliente (CMK) per l'organizzazione. Questa CMK protegge tutte le chiavi delle caselle di posta in quell’organizzazione.
Puoi selezionare la CMK AWS gestita predefinita per Amazon WorkMail oppure puoi selezionare una CMK gestita dal cliente esistente che possiedi e gestisci. Per ulteriori informazioni, consulta la sezione Customer Master Keys (CMK) nella Developer Guide.AWS Key Management Service È possibile selezionare la stessa CMK o una CMK diversa per ciascuna organizzazione, ma non è possibile modificare la CMK dopo averla selezionata.
Importante
Amazon WorkMail supporta solo CMK simmetriche. Non puoi usare una CMK asimmetrica. Per informazioni su come determinare se una CMK è simmetrica o asimmetrica, consulta Identificare le CMK simmetriche e asimmetriche nella Guida per gli sviluppatori.AWS Key Management Service
Per trovare la CMK adatta alla tua organizzazione, utilizza la voce di registro verso cui vengono registrate le chiamate. AWS CloudTrail AWS KMS
Una chiave di crittografia univoca per ogni casella di posta
Quando crei una casella di posta, Amazon WorkMail genera una chiave di crittografia simmetrica Advanced Encryption Standard
Per proteggere la chiave della casella di posta, Amazon WorkMail chiede di AWS KMS crittografare la chiave della casella di posta con il CMK dell'organizzazione. Quindi archivia la chiave della casella di posta crittografata nei metadati della casella.
Nota
Amazon WorkMail utilizza una chiave di crittografia simmetrica delle caselle di posta per proteggere le chiavi dei messaggi. In precedenza, Amazon WorkMail proteggeva ogni casella di posta con una coppia di chiavi asimmetrica. Usava la chiave pubblica per crittografare ogni chiave di messaggio e la chiave privata per decrittografarla. La chiave della casella di posta privata era protetta dalla CMK per l'organizzazione. Le cassette postali più vecchie possono utilizzare una coppia di chiavi di posta asimmetrica. Questa modifica non influisce sulla sicurezza della casellla di posta o dei messaggi.
Crittografia di ogni messaggio
Quando un utente aggiunge un messaggio a una casella di posta, Amazon WorkMail genera una chiave di crittografia simmetrica AES a 256 bit unica per il messaggio esterno. AWS KMS Usa questa chiave del messaggio per crittografare il messaggio. Amazon WorkMail crittografa la chiave del messaggio sotto la chiave della casella di posta e archivia la chiave del messaggio crittografato con il messaggio. Quindi, crittografa la chiave della casella di posta con la CMK per l'organizzazione.
Creazione di una nuova casella di posta
Quando Amazon WorkMail crea una casella di posta, utilizza il seguente processo per prepararla a contenere messaggi crittografati.
-
Amazon WorkMail genera un'esclusiva chiave di crittografia simmetrica AES a 256 bit per la casella di posta esterna ad AWS KMS.
-
Amazon WorkMail chiama l'operazione AWS KMS Encrypt. Passa la chiave della casella di posta e l'identificatore della chiave master del cliente (CMK) per l'organizzazione. AWS KMS restituisce un testo cifrato della chiave della cassetta postale crittografato con CMK.
-
Amazon WorkMail archivia la chiave crittografata della casella di posta con i metadati della casella di posta.
Crittografia di un messaggio di casella di posta
Per crittografare un messaggio, Amazon WorkMail utilizza il seguente processo.
-
Amazon WorkMail genera una chiave simmetrica AES unica a 256 bit per il messaggio. Utilizza la chiave del messaggio in testo semplice e l'algoritmo Advanced Encryption Standard (AES) per crittografare il messaggio all'esterno di. AWS KMS
-
Per proteggere la chiave del messaggio contenuta nella chiave della casella di posta, Amazon WorkMail deve decrittografare la chiave della casella di posta, che viene sempre archiviata in forma crittografata.
Amazon WorkMail chiama l'operazione AWS KMS Decrypt e inserisce la chiave della casella di posta crittografata. AWS KMS utilizza la CMK per consentire all'organizzazione di decrittografare la chiave della casella di posta e restituisce la chiave della casella di posta in testo semplice ad Amazon. WorkMail
-
Amazon WorkMail utilizza la chiave della casella di posta in chiaro e l'algoritmo Advanced Encryption Standard (AES) per crittografare la chiave del messaggio all'esterno di. AWS KMS
-
Amazon WorkMail memorizza la chiave del messaggio crittografato nei metadati del messaggio crittografato in modo che sia disponibile per la decrittografia.
Decrittografia di un messaggio di casella di posta
Per decrittografare un messaggio, Amazon WorkMail utilizza il seguente processo.
-
Amazon WorkMail chiama l'operazione AWS KMS Decrypt e inserisce la chiave della casella di posta crittografata. AWS KMS utilizza la CMK per consentire all'organizzazione di decrittografare la chiave della casella di posta e restituisce la chiave della casella di posta in testo semplice ad Amazon. WorkMail
-
Amazon WorkMail utilizza la chiave della casella di posta in testo semplice e l'algoritmo Advanced Encryption Standard (AES) per decrittografare la chiave del messaggio crittografato all'esterno di. AWS KMS
-
Amazon WorkMail utilizza la chiave del messaggio in testo semplice per decrittografare il messaggio crittografato.
Memorizzazione delle chiavi delle caselle di posta
Per migliorare le prestazioni e ridurre al minimo le chiamate a AWS KMS, Amazon WorkMail memorizza nella cache ogni chiave della casella di posta in testo semplice per ogni client localmente per un massimo di un minuto. Al termine del periodo di memorizzazione, la chiave della casella di posta viene rimossa. Se la chiave della casella di posta per quel client è richiesta durante il periodo di memorizzazione nella cache, Amazon WorkMail può recuperarla dalla cache anziché chiamare. AWS KMS La chiave è protetta nella cache e non viene mai scritta su disco in testo non crittografato.
Autorizzazione dell'utilizzo di CMK
Quando Amazon WorkMail utilizza una chiave master del cliente (CMK) nelle operazioni crittografiche, agisce per conto dell'amministratore della casella di posta.
Per utilizzare la chiave master AWS KMS del cliente (CMK) come segreto per tuo conto, l'amministratore deve disporre delle seguenti autorizzazioni. È possibile specificare queste autorizzazioni necessarie in una policy IAM o delle chiavi.
-
kms:Encrypt -
kms:Decrypt -
kms:CreateGrant
Per consentire l'utilizzo della CMK solo per le richieste che provengono da Amazon WorkMail, puoi utilizzare la chiave kms: ViaService condition con il workmail. valore.<region>.amazonaws.com
Puoi inoltre utilizzare le chiavi o i valori nel contesto di crittografia come condizione per utilizzare la CMK per le operazioni di crittografia. Ad esempio, è possibile utilizzare un operatore di condizione stringa in un documento di policy IAM o delle chiavi oppure utilizzare un vincolo di concessione in una concessione.
Policy della chiave per la CMK gestita da AWS
La politica chiave per la CMK AWS gestita per Amazon WorkMail consente agli utenti di utilizzare la CMK per operazioni specifiche solo quando Amazon WorkMail effettua la richiesta per conto dell'utente. La policy delle chiavi non consente ad alcun utente di utilizzare la CMK direttamente.
Questa policy delle chiavi, come le policy di tutte le chiavi gestite da AWS, viene stabilita dal servizio. Non puoi modificare la politica chiave, ma puoi visualizzarla in qualsiasi momento. Per i dettagli, consulta Visualizzazione di una politica chiave nella Guida per gli AWS Key Management Service sviluppatori.
Le istruzioni di policy nella policy delle chiavi hanno l'effetto seguente:
-
Consenti agli utenti dell'account e della regione di utilizzare la CMK per operazioni crittografiche e creare sovvenzioni, ma solo quando la richiesta proviene da Amazon per loro WorkMail conto. La chiave di condizione
kms:ViaServiceapplica questa limitazione. -
Consente all' AWS account di creare politiche IAM che consentono agli utenti di visualizzare le proprietà CMK e revocare le concessioni.
Di seguito è riportata una politica chiave per un esempio di CMK AWS gestito per Amazon WorkMail.
{ "Version" : "2012-10-17", "Id" : "auto-workmail-1", "Statement" : [ { "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "workmail.us-east-1.amazonaws.com", "kms:CallerAccount" : "111122223333" } } }, { "Sid" : "Allow direct access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ], "Resource" : "*" } ] }
Utilizzo delle sovvenzioni per autorizzare Amazon WorkMail
Oltre alle politiche chiave, Amazon WorkMail utilizza le sovvenzioni per aggiungere autorizzazioni alla CMK per ogni organizzazione. Per visualizzare le sovvenzioni sulla CMK nel tuo account, utilizza l'operazione. ListGrants
Amazon WorkMail utilizza le sovvenzioni per aggiungere le seguenti autorizzazioni alla CMK per l'organizzazione.
-
Aggiungi l'
kms:Encryptautorizzazione per consentire ad Amazon di WorkMail crittografare la chiave della casella di posta. -
Aggiungi l'
kms:Decryptautorizzazione per consentire ad Amazon di WorkMail utilizzare la CMK per decrittografare la chiave della casella di posta. Amazon WorkMail richiede questa autorizzazione in una concessione perché la richiesta di lettura dei messaggi della casella di posta utilizza il contesto di sicurezza dell'utente che sta leggendo il messaggio. La richiesta non utilizza le credenziali dell' AWS account. Amazon WorkMail crea questa concessione quando selezioni una CMK per l'organizzazione.
Per creare le sovvenzioni, Amazon WorkMail chiama per CreateGrantconto dell'utente che ha creato l'organizzazione. L’autorizzazione a creare la concessione proviene dalla policy delle chiavi. Questa politica consente agli utenti dell'account di utilizzare la CMK dell'organizzazione quando Amazon WorkMail effettua la richiesta per conto di un utente autorizzato. CreateGrant
La policy chiave consente inoltre all'account root di revocare la concessione sulla chiave gestita AWS . Tuttavia, se revochi la concessione, Amazon non WorkMail può decrittografare i dati crittografati nelle tue caselle di posta.
Contesto WorkMail di crittografia Amazon
Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati. Per ulteriori informazioni, consultare Contesto della crittografia nella Guida per gli sviluppatori di AWS Key Management Service .
Amazon WorkMail utilizza lo stesso formato di contesto di crittografia in tutte le operazioni AWS KMS crittografiche. È possibile utilizzare il contesto di crittografia per identificare un’operazione di crittografia in record e log di audit, ad esempio AWS CloudTrail, nonché come una condizione per l'autorizzazione in policy e concessioni.
Nelle sue richieste Encrypt and Decrypt a, AWS KMS Amazon WorkMail utilizza un contesto di crittografia in cui la chiave aws:workmail:arn e il valore è l'Amazon Resource Name (ARN) dell'organizzazione.
"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization-ID"Ad esempio, il seguente contesto di crittografia include un esempio di ARN dell'organizzazione nella regione Europa (Irlanda) (eu-west-1).
"aws:workmail:arn":"arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"Monitoraggio WorkMail dell'interazione di Amazon con AWS KMS
Puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tenere traccia delle richieste a cui Amazon WorkMail invia per tuo AWS KMS conto.
Crittografa
Quando crei una casella di posta, Amazon WorkMail genera una chiave della casella di posta e chiama AWS KMS per crittografare la chiave della casella di posta. Amazon WorkMail invia una richiesta Encrypt a AWS KMS con la chiave della casella di posta in testo semplice e un identificatore per la CMK dell'organizzazione Amazon. WorkMail
L'evento che registra l'operazione Encrypt è simile a quello del seguente evento di esempio. L'utente è il WorkMail servizio Amazon. I parametri includono l'ID CMK (keyId) e il contesto di crittografia per l' WorkMail organizzazione Amazon. Amazon WorkMail inserisce anche la chiave della casella di posta, ma questa non viene registrata nel CloudTrail registro.
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-19T10:01:09Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56" }, "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" }, "responseElements": null, "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c", "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c" }
Decrypt
Quando aggiungi, visualizzi o elimini un messaggio della casella di posta, Amazon WorkMail chiede di decrittografare la AWS KMS chiave della casella di posta. Amazon WorkMail invia una richiesta Decrypt a AWS KMS con la chiave della casella di posta crittografata e un identificatore per la CMK dell'organizzazione Amazon. WorkMail
L'evento che registra l'operazione Decrypt è simile a quello del seguente evento di esempio. L'utente è il WorkMail servizio Amazon. I parametri includono la chiave della casella di posta crittografata (come blob di testo cifrato), che non è registrata nel registro, e il contesto di crittografia per l'organizzazione Amazon. WorkMail AWS KMS ricava l'ID della CMK dal testo cifrato.
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-20T11:51:10Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56" } }, "responseElements": null, "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9", "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214" }
