KMS 키를 생성하여 자격 증명 암호화 - AWS Security Hub

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMS 키를 생성하여 자격 증명 암호화

이 섹션의 통합 절차에서는 AWS 소유 키 또는 고객 관리형 키로 자격 증명을 암호화하는 옵션을 제공합니다. AWS 소유 키는 자격 증명을 암호화하는 AWS 서비스가 KMS 키를 소유하고 관리하기 AWS 계정 때문에에 없는 KMS 키입니다. 자격 증명을 암호화하는 데 사용되는 KMS 키를 완전히 제어하려면 고객 관리형 키를 생성합니다. 고객 관리형 키는 사용자가 소유하고 관리하는 KMS 키입니다.

Security Hub 암호화 작업 액세스

이 정책 설명을 통해 Security Hub는 암호화 작업에 AWS KMS 키를 사용할 수 있습니다. 이를 통해 Security Hub는이 키를 사용하여 클라이언트 보안 암호를 보호할 수 있습니다. 권한은 소스 ARN 및 암호화 컨텍스트를 확인하는 조건 블록을 통해 특정 Security Hub 커넥터와 관련된 작업으로 제한됩니다.

{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}"
        }
    }
}
참고

CloudProviderNameJIRA_CLOUD 또는를 입력합니다SERVICENOW. 리전AccountId에 AWS 리전 및 AWS 계정 ID를 입력합니다.

Security Hub 키 읽기 액세스

이 정책 설명을 사용하면 Security Hub가 DescribeKey 작업을 허용하여 KMS 키에 대한 메타데이터를 읽을 수 있습니다. 이 권한은 Security Hub가 키의 상태 및 구성을 확인하는 데 필요합니다. 액세스는 소스 ARN 조건을 통해 특정 Security Hub 커넥터로 제한됩니다.

{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        }
    }
}
참고

리전AccountId에 AWS 리전 및 AWS 계정 ID를 입력합니다.

Security Hub 작업에 대한 IAM 보안 주체 액세스

이 정책 설명은 지정된 IAM 역할에 CreateConnectorV2CreateTicketV2 APIs를 사용하여 Security Hub와 상호 작용할 때 키 작업(별칭 설명, 생성, 복호화, 재암호화 및 나열)을 수행할 수 있는 권한을 부여합니다. 조건은 지정된 리전의 Security Hub 서비스를 통해서만 이러한 작업을 수행할 수 있도록 합니다.

{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        },
        StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW"
        }
    }
}

{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        }
    }
}
참고

RoleName에 Security Hub를 호출하는 IAM 역할의 이름을 입력합니다. 리전AccountId에 AWS 리전 및 AWS 계정 ID를 입력합니다.