AWS Key Management Service 컨트롤: - AWS Security Hub
[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.[KMS.3] 을 (를) 실수로 AWS KMS keys 삭제해서는 안 됩니다.[KMS.4] 키 로테이션을 활성화해야 합니다. AWS KMS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Key Management Service 컨트롤:

이러한 컨트롤은 AWS KMS 리소스와 관련이 있습니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다 AWS 리전. 자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.

[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::IAM::Policy

AWS Config 규칙: iam-customer-policy-blocked-kms-actions

스케줄 유형: 변경이 트리거됨

파라미터:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(사용자 지정할 수 없음)

  • excludePermissionBoundaryPolicy: True(사용자 지정할 수 없음)

IAM 고객 관리형 정책의 기본 버전에서 보안 주체가 모든 리소스에 대한 AWS KMS 암호 해독 작업을 사용할 수 있도록 허용하는지 확인합니다. 모든 KMS 키에 대해 kms:Decrypt 또는 kms:ReEncryptFrom 작업을 허용할 만큼 정책이 공개되어 있으면 제어가 실패합니다.

제어는 리소스 요소의 KMS 키만 검사하고 정책의 조건 요소에 있는 조건은 고려하지 않습니다. 또한 제어는 연결된 고객 관리형 정책과 연결되지 않은 고객 관리형 정책을 모두 평가합니다. 인라인 정책이나 관리형 정책은 확인하지 않습니다. AWS

를 사용하면 KMS 키를 사용하고 암호화된 데이터에 액세스할 수 있는 사용자를 제어할 수 있습니다. AWS KMS IAM 정책은 자격 증명(사용자, 그룹 또는 역할)이 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 정의합니다. 보안 모범 사례에 따라 최소 권한을 허용할 AWS 것을 권장합니다. 즉, ID에 kms:Decrypt 또는 kms:ReEncryptFrom 권한만 부여하고 작업을 수행하는 데 필요한 키에 대해서만 부여해야 합니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수 있습니다.

모든 키에 대한 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 세트를 결정합니다. 그런 다음 사용자가 해당 키만 사용하도록 허용하는 정책을 설계합니다. 예를 들어 모든 KMS 키에 대한 kms:Decrypt 권한을 허용하지 마십시오. 대신 계정의 특정 리전에 있는 키에만 kms:Decrypt를 허용하십시오. 최소 권한 원칙을 채택하면 데이터가 의도하지 않게 공개될 위험을 줄일 수 있습니다.

이제 Security Hub가 와 통합되었습니다

IAM 고객 관리형 정책을 수정하려면 IAM 사용 설명서고객 관리형 정책 편집을 참조하십시오. 정책을 편집할 때 암호 해독 작업을 허용하려는 특정 키의 Amazon 리소스 이름(ARN)을 Resource 필드에 제공합니다.

[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config 규칙: iam-inline-policy-blocked-kms-actions

스케줄 유형: 변경이 트리거됨

파라미터:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(사용자 지정할 수 없음)

이 컨트롤은 IAM ID (역할, 사용자 또는 그룹) 에 내장된 인라인 정책이 모든 KMS 키에 대한 AWS KMS 암호 해독 및 재암호화 작업을 허용하는지 여부를 확인합니다. 모든 KMS 키에 대해 kms:Decrypt 또는 kms:ReEncryptFrom 작업을 허용할 만큼 정책이 공개되어 있으면 제어가 실패합니다.

제어는 리소스 요소의 KMS 키만 검사하고 정책의 조건 요소에 있는 조건은 고려하지 않습니다.

를 AWS KMS사용하면 KMS 키를 사용하고 암호화된 데이터에 액세스할 수 있는 사용자를 제어할 수 있습니다. IAM 정책은 자격 증명(사용자, 그룹 또는 역할)이 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 정의합니다. 보안 모범 사례에 따라 최소 권한을 허용할 AWS 것을 권장합니다. 즉, 필요한 권한과 작업을 수행하는 데 필요한 키만 ID에 부여해야 합니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수 있습니다.

모든 키에 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 세트를 결정하십시오. 그런 다음 사용자가 해당 키만 사용하도록 허용하는 정책을 설계합니다. 예를 들어 모든 KMS 키에 대한 kms:Decrypt 권한을 허용하지 마십시오. 대신 계정에 대한 특정 리전의 특정 키에 대해서만 권한을 허용하십시오. 최소 권한 원칙을 채택하면 데이터가 의도하지 않게 공개될 위험을 줄일 수 있습니다.

이제 Security Hub가 와 통합되었습니다

IAM 인라인 정책을 수정하려면 IAM 사용 설명서인라인 정책 편집을 참조하십시오. 정책을 편집할 때 암호 해독 작업을 허용하려는 특정 키의 Amazon 리소스 이름(ARN)을 Resource 필드에 제공합니다.

[KMS.3] 을 (를) 실수로 AWS KMS keys 삭제해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-12(2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 심각

리소스 유형: AWS::KMS::Key

AWS Config 규칙: kms-cmk-not-scheduled-for-deletion-2 (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 KMS 키가 삭제되도록 예약되어 있는지 여부를 확인합니다. KMS 키 삭제가 예약된 경우 제어가 실패합니다.

KMS 키는 일단 삭제되면 복구할 수 없습니다. KMS 키를 삭제하면 KMS 키로 암호화된 데이터도 영구적으로 복구할 수 없습니다. 삭제될 예정인 KMS 키로 의미 있는 데이터를 암호화한 경우, 의도적으로 암호화 삭제를 수행하지 않는 한 데이터를 해독하거나 새 KMS 키로 데이터를 다시 암호화하는 것을 고려해 보십시오.

KMS 키 삭제가 예약되면 오류로 예약된 경우 삭제를 되돌릴 수 있는 시간을 확보하기 위해 필수 대기 기간이 적용됩니다. 기본 대기 기간은 30일이지만 KMS 키 삭제가 예정된 경우 짧게는 7일로 줄일 수 있습니다. 대기 기간 동안에는 예약된 삭제를 취소할 수 있으며 KMS 키는 삭제되지 않습니다.

KMS 키 삭제에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서KMS 키 삭제를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

예약된 KMS 키 삭제를 취소하려면 AWS Key Management Service 개발자 안내서키 삭제 예약 및 취소(콘솔) 아래의 키 삭제를 취소하려면을 참조하십시오.

[KMS.4] 키 로테이션을 활성화해야 합니다. AWS KMS

관련 요구 사항: PCI DSS v3.2.1/3.6.4, CIS 재단 벤치마크 v3.0.0/3.6, CIS AWS 재단 벤치마크 v1.4.0/3.8, CIS AWS 재단 벤치마크 v1.2.0/2.8, NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-12 (2), AWS NIST.800-53.r5 SC-28 (3)

범주: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::KMS::Key

AWS Config 규칙: cmk-backing-key-rotation-enabled

스케줄 유형: 주기적

파라미터: 없음

AWS KMS 고객이 KMS 키의 키 ID에 저장되고 KMS 키의 키 ID에 AWS KMS 연결되는 키 자료인 백킹 키를 교체할 수 있습니다. 이 백업 키는 암호화, 해독 등 암호화 작업을 수행하는 데 사용됩니다. 자동화된 키 교체는 암호화된 데이터의 해독이 투명하게 이루어질 수 있도록 하기 위해 현재 모든 이전 버전의 백업 키를 유지합니다.

CIS에서는 KMS 키 순환을 활성화할 것을 권장합니다. 암호화 키를 교체하면 노출되었을 수 있는 이전 키로 새로운 키로는 암호화된 데이터에 액세스할 수 없으므로 침해된 키가 영향을 미칠 가능성을 줄일 수 있습니다.

이제 Security Hub가 와 통합되었습니다

KMS 키 교체를 활성화하려면 AWS Key Management Service 개발자 안내서자동 키 교체를 활성화 및 비활성화하는 방법을 참조하십시오.