Amazon WorkMail의 AWS KMS 활용 방식 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon WorkMail의 AWS KMS 활용 방식

이 주제는 Amazon WorkMail이 AWS KMS를 이용해 이메일 메시지를 암호화하는 방식을 논의합니다.

Amazon WorkMail 개요

Amazon WorkMail은 기존 데스크톱 및 모바일 이메일 클라이언트를 지원하는 안전한 관리형 비즈니스 이메일 및 일정 서비스입니다. Amazon WorkMail 조직을 생성하고 여기에 현재 보유한 하나 이상의 이메일 도메인을 할당할 수 있습니다. 그런 다음 조직 내 이메일 사용자와 배포 그룹을 위해 사서함을 생성할 수 있습니다.

Amazon WorkMail은 모든 Amazon WorkMail 조직의 사서함에서 모든 메시지를 투명하게 암호화한 후 디스크에 메시지를 기록하고, 사용자가 메시지에 액세스하면 투명하게 메시지를 해독합니다. 암호화를 비활성화할 수는 없습니다. 메시지를 보호하는 암호화 키를 보호하기 위해 Amazon WorkMail이 AWS Key Management Service(AWS KMS)와 통합됩니다.

또한 Amazon WorkMail은 사용자가 서명된 또는 암호화된 이메일을 발생할 수 있는 옵션을 제공합니다. 이 암호화 기능은 AWS KMS를 사용하지 않습니다.

Amazon WorkMail 암호화

Amazon WorkMail에서 각 조직은 조직 내 사용자마다 하나씩 여러 사서함을 포함할 수 있습니다. 이메일 및 일정 항목을 포함하여 모든 메시지는 사용자의 사서함에 저장됩니다.

Amazon WorkMail 조직 내 사서함의 내용을 보호하기 위해 Amazon WorkMail은 모든 사서함 메시지를 암호화한 후 디스크에 기록합니다. 고객이 제공하는 정보는 일반 텍스트로 저장되지 않습니다.

각 메시지는 고유한 데이터 암호화 키로 암호화됩니다. 메시지 키는 해당 사서함에서만 사용되는 고유한 암호화 키인 사서함 키로 보호됩니다. 메일박스 키는 AWS KMS 고객 마스터 키 (CMK)를 떠나 AWS KMS 암호화되지 않은. 다음 다이어그램은 암호화된 메시지, 암호화된 메시지 키, 암호화된 메일박스 키 및 CMK 조직의 AWS KMS.


        암호화 Amazon WorkMail 편지함

A CMK 조직을 위해

여러분이 Amazon WorkMail 선택할 수 있습니다. AWS KMS 고객 마스터 키 (CMK)를 참조하십시오. 이 CMK 해당 조직의 모든 편지함 키를 보호합니다.

귀하가 빠른 설정 조직을 만드는 절차를 Amazon WorkMail 사용 AWS 관리 CMK for Amazon WorkMail (aws/workmail) AWS 계정. 귀하가 표준 설정을(를) 선택할 수 있습니다. AWS 관리 CMK for Amazon WorkMail 또는 고객 관리 CMK 을(를) 소유하고 관리합니다. 동일한 항목을 선택할 수 있습니다. CMK 또는 CMK 각 조직에 대해 CMK 를 선택합니다.

중요

Amazon WorkMail 대칭만 지원 CMKs. 차트 메트릭을 사용할 수 없습니다. CMK 데이터를 암호화하려면 Amazon WorkMail. CMK가 대칭 또는 비대칭인지 여부를 확인하는 방법은 대칭 메트릭 및 비트 메트릭 식별 CMKs 단원을 참조하십시오.

을(를) 찾으려면 CMK 조직을 위해 AWS CloudTrail 레코드가 호출되는 로그 항목 AWS KMS.

각 사서함마다 고유한 암호화 키

새 메일박스를 만들 때 Amazon WorkMail 고유한 256비트 생성 고급 암호화 표준 (AES) 메일박스에 대한 대칭 암호화 키를 편지함 키, 이외의 AWS KMS. Amazon WorkMail 메일박스 키를 사용하여 메일박스에서 각 메시지의 암호화 키를 보호합니다.

사서함 키를 보호하기 위해 Amazon WorkMail 통화 AWS KMS 메일박스 키를 암호화하려면 CMK 조직의 경우. 그런 다음 암호화된 사서함 키를 사서함 메타데이터에 저장합니다.

참고

Amazon WorkMail은 대칭 사서함 암호화 키를 사용하여 메시지 키를 보호합니다. 이전에는 Amazon WorkMail이 비대칭 키 페어를 사용하여 각 사서함을 보호했습니다. 즉, 퍼블릭 키를 사용하여 각 메시지 키를 보호하고 프라이빗 키를 사용하여 해독했습니다. 개인 메일박스 키는 CMK 조직의 경우. 기존 사서함이 아직 비대칭 사서함 키 페어를 사용할 수 있습니다. 이 변경 사항은 사서함 또는 그 안의 메시지의 보안에 영향을 미치지 않습니다.

각 메시지마다 고유한 암호화 키

사서함에 메시지가 추가되면 Amazon WorkMail이 AWS KMS 외부의 메시지에 대해 고유한 256비트 AES 대칭 암호화 키를 생성합니다. 그런 다음 이 메시지 키를 사용하여 메시지를 암호화합니다. Amazon WorkMail은 사서함 키로 메시지 키를 암호화하여 암호화된 메시지 키를 메시지와 함께 저장합니다. 그런 다음, CMK 조직의 경우.

새 사서함 생성

Amazon WorkMail은 새 사서함을 생성할 때 다음 프로세스를 사용하여 사서함이 암호화된 메시지를 보관할 수 있게 준비합니다.

  • Amazon WorkMail은 AWS KMS 외부의 사서함에 대해 고유한 256비트 AES 대칭 암호화 키를 생성합니다.

  • Amazon WorkMail은 AWS KMS Encrypt 작업을 호출합니다. 메일박스 키와 고객 마스터 키 (CMK)를 참조하십시오. AWS KMS 아래에 암호화된 메일박스 키 암호를 반환합니다. CMK.

  • Amazon WorkMail은 암호화된 사서함 키를 사서함 메타데이터와 함께 저장합니다.

사서함 메시지 암호화

메시지를 암호화하기 위해 Amazon WorkMail은 다음 프로세스를 사용합니다.

  1. Amazon WorkMail은 메시지에 대해 고유한 256비트 AES 대칭 키를 생성합니다. 그런 다음 일반 텍스트 메시지 키와 고급 암호화 표준(AES) 알고리즘을 사용하여 AWS KMS 외부의 메시지를 암호화합니다.

  2. 사서함 키 하의 메시지 키를 보호하기 위해 Amazon WorkMail은 항상 암호화된 형식으로 저장되는 사서함 키를 해독해야 합니다.

    Amazon WorkMail 통화 AWS KMS 해독 암호화 메일박스 키 의 작동 및 패스를 수행합니다. AWS KMS 사용 CMK 메일박스 키를 해독하고 일반 텍스트 메일박스 키를 Amazon WorkMail.

  3. Amazon WorkMail은 일반 텍스트 사서함 키와 고급 암호화 표준(AES) 알고리즘을 사용하여 AWS KMS 외부의 메시지 키를 암호화합니다.

  4. Amazon WorkMail은 암호화된 메시지를 해독할 때 사용할 수 있도록 암호화된 메시지 키를 암호화된 메시지의 메타데이터에 저장합니다.

사서함 메시지 해독

메시지를 해독하기 위해 Amazon WorkMail은 다음 프로세스를 사용합니다.

  1. Amazon WorkMail 통화 AWS KMS 해독 암호화 메일박스 키 의 작동 및 패스를 수행합니다. AWS KMS 사용 CMK 메일박스 키를 해독하고 일반 텍스트 메일박스 키를 Amazon WorkMail.

  2. Amazon WorkMail은 일반 텍스트 사서함 키와 고급 암호화 표준(AES) 알고리즘을 사용하여 AWS KMS 외부의 암호화된 메시지 키를 해제합니다.

  3. Amazon WorkMail은 일반 텍스트 메시지 키를 사용하여 암호화된 메시지를 해독합니다.

사서함 키 캐싱

성능을 개선하고 AWS KMS 호출을 최소화하기 위해, Amazon WorkMail은 각 클라이언트의 일반 텍스트 사서함 키를 각각 최대 1분 동안 로컬에 캐싱합니다. 캐싱 기간이 만료되면 사서함 키가 제거됩니다. 해당 클라이언트의 사서함 키가 캐싱 기간 도중 필요한 경우 Amazon WorkMail은 AWS KMS를 호출하는 대신 캐시에서 가져올 수 있습니다. 사서함 키는 캐시에서 보호되며 절대로 일반 텍스트로 디스크에 기록되지 않습니다.

사용 권한 부여 CMK

언제 Amazon WorkMail 사용 고객 마스터 키 (CMK)는 메일박스 관리자를 대신하여 작동합니다.

사용 방법 AWS KMS 고객 마스터 키 (CMK을(를) 대신하여, 관리자는 다음 권한이 있어야 합니다. IAM 정책이나 키 정책에서 이러한 필수 권한을 지정할 수 있습니다.

  • kms:Encrypt

  • kms:Decrypt

  • kms:CreateGrant

이를 위해 CMK 이(가) 다음에서 발생한 요청에만 사용됩니다. Amazon WorkMail를 사용하여 kms:viaservice 상태 키 workmail.<region>.amazonaws.com 값.

또한 암호화 컨텍스트 사용하기 위한 CMK 암호화 작업에 사용됩니다. 예를 들면 IAM 또는 키 정책 문서에서 문자열 조건 연산자를 사용하거나 권한 부여에서 권한 부여 제약을 사용할 수 있습니다.

AWS 관리를 위한 주요 정책 CMK

에 대한 주요 정책 AWS 관리 CMK for Amazon WorkMail 사용자에게 CMK 지정된 작업에 대해서만 Amazon WorkMail 을(를) 대신하여 요청을 합니다. 키 정책은 사용자가 CMK 직접.

이 키 정책은 모든 AWS 관리형 키의 정책처럼 서비스에 의해 설정됩니다. 키 정책은 변경할 수 없지만 언제든지 볼 수 있습니다. 자세한 내용은 키 정책 보기() 단원을 참조하십시오.

키 정책의 정책 설명문은 다음 효과를 갖습니다.

  • 계정 및 지역의 사용자에게 CMK 암호 작성 및 보조금을 생성할 수 있지만, Amazon WorkMail 을(를) 대신하여 을(를) 대신하여 을 kms:ViaService 조건 키는 이 제한을 강제 적용합니다.

  • 허용 AWS 계정 생성 IAM 사용자가 볼 수 있는 정책 CMK 보조금을 지급하고 취소합니다.

다음은 예를 위한 핵심 정책입니다. AWS 관리 CMK for Amazon WorkMail.

{ "Version" : "2012-10-17", "Id" : "auto-workmail-1", "Statement" : [ { "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "workmail.us-east-1.amazonaws.com", "kms:CallerAccount" : "111122223333" } } }, { "Sid" : "Allow direct access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ], "Resource" : "*" } ] }

승인에 대한 보조금 사용 Amazon WorkMail

주요 정책 외에도 Amazon WorkMail 허가서를 사용하여 CMK 각 조직의 경우. 보조금을 CMK 계정에서 청취 작업.

Amazon WorkMail 보조금을 사용하여 CMK 조직의 경우.

  • kms:Encrypt 권한을 추가하여 Amazon WorkMail이 사서함 키를 암호화하도록 허용합니다.

  • 추가 kms:Decrypt 허락할 수 있는 Amazon WorkMail 사용하기 위해 CMK 메일박스 키를 해독합니다. Amazon WorkMail 읽기 메일함 메시지 읽기 요청이 메시지를 읽는 사용자의 보안 컨텍스트를 사용하기 때문에 부여에서 이 권한이 필요합니다. 요청이 AWS 계정. Amazon WorkMail 을(를) 선택할 때 이 보조금 생성 CMK 조직의 경우.

권한 부여를 생성하기 위해 Amazon WorkMail은 조직을 생성한 사용자를 대신하여 CreateGrant를 호출합니다. 권한 부여 생성 권한은 키 정책에 의해 부여됩니다. 이 정책은 계정 사용자가 CreateGrant on the CMK 조직을 위해 Amazon WorkMail 권한을 위임받은 사용자를 대신하여 요청을 합니다.

또한 키 정책은 계정 루트가 AWS 관리형 키에 대한 권한 부여를 취소하도록 허용합니다. 그러나 권한 부여를 취소할 경우 Amazon WorkMail이 사서함에서 암호화된 데이터를 해독할 수 없습니다.

Amazon WorkMail 암호화 컨텍스트

암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우, AWS KMS는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.

Amazon WorkMail은 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트 형식을 사용합니다. 암호화 컨텍스트를 사용하여 AWS CloudTrail 같은 감사 레코드나 로그에서, 그리고 정책 및 권한 부여의 권한 부여 조건으로서, 암호화 작업을 식별할 수 있습니다.

AWS KMS에 대한 암호화암호화 해제 요청에서 Amazon WorkMail는 키가 aws:workmail:arn이고 값이 조직의 Amazon 리소스 이름(ARN)인 암호화 컨텍스트를 사용합니다.

"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization ID"

예를 들어 다음 암호화 컨텍스트에는 미국 동부(오하이오)(us-east-2) 리전의 예제 조직 ARN이 포함되어 있습니다.

"aws:workmail:arn":"arn:aws:workmail:us-east-2:111122223333:organization/m-68755160c4cb4e29a2b2f8fb58f359d7"

Amazon WorkMail와 AWS KMS의 상호작용 모니터링

AWS CloudTrail 및 Amazon CloudWatch Logs를 사용하여 Amazon WorkMail가 사용자 대신 AWS KMS에 전송하는 요청을 추적할 수 있습니다.

Encrypt

새 메일박스를 만들 때 Amazon WorkMail 메일박스 키 및 통화 생성 AWS KMS 메일박스 키를 암호화합니다. Amazon WorkMail 전송 암호화 요청 AWS KMS 일반 텍스트 메일박스 키 및 CMK of the Amazon WorkMail 조직.

Encrypt 작업을 기록하는 이벤트는 다음 예제 이벤트와 유사합니다. 사용자는 Amazon WorkMail 서비스입니다. 매개변수에는 CMK ID(keyId)와 Amazon WorkMail 조직. Amazon WorkMail 또한 메일박스 키를 통과하지만 CloudTrail 로그.

{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-19T10:01:09Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455" }, "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" }, "responseElements": null, "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c", "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c" }

Decrypt

메일박스 메시지를 추가, 보기 또는 삭제하려면 Amazon WorkMail 질문한다 AWS KMS 메일박스 키를 해독합니다. Amazon WorkMail 전송 해독 요청 AWS KMS 암호화된 메일박스 키 및 CMK of the Amazon WorkMail 조직.

Decrypt 작업을 기록하는 이벤트는 다음 예제 이벤트와 유사합니다. 사용자는 Amazon WorkMail 서비스입니다. 매개 변수에는 암호화된 메일박스 키(ciphertext blob)와 로그에 기록되지 않은 암호화 컨텍스트와 Amazon WorkMail 조직. AWS KMS ID의 ID를 CMK ciphertext 에서.

{ "eventVersion": "1.05", "userIdentity": { "type": "AWSService", "invokedBy": "workmail.eu-west-1.amazonaws.com" }, "eventTime": "2019-02-20T11:51:10Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "workmail.eu-west-1.amazonaws.com", "userAgent": "workmail.eu-west-1.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455" } }, "responseElements": null, "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9", "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333", "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214" }