아마존에서의 데이터 보호 WorkMail - 아마존 WorkMail
아마존이 WorkMail 사용하는 방법 AWS KMS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존에서의 데이터 보호 WorkMail

AWS 공동 책임 모델 Amazon의 데이터 보호에 적용됩니다 WorkMail. 이 모델에 설명된 대로 AWS 은 (는) 모두를 실행하는 글로벌 인프라를 보호할 책임이 AWS 클라우드있습니다. 사용자는 인프라에서 호스팅되는 콘텐츠를 관리해야 합니다. 사용하는 AWS 서비스 의 보안 구성과 관리 작업에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 대한 자세한 내용은 데이터 프라이버시 FAQ를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 AWS 보안 블로그AWS 공동 책임 모델 및 GDPR 블로그 게시물을 참조하십시오.

데이터 보호를 위해 AWS 계정 자격 증명을 보호하고 AWS IAM Identity Center OR AWS Identity and Access Management (IAM) 을 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.

  • 각 계정에 멀티 팩터 인증 설정(MFA)을 사용하세요.

  • SSL/TLS를 사용하여 리소스와 통신할 수 있습니다. AWS TLS 1.2는 필수이며 TLS 1.3를 권장합니다.

  • 를 사용하여 API 및 사용자 활동 로깅을 설정합니다. AWS CloudTrail

  • 포함된 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용하십시오 AWS 서비스.

  • Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용하세요.

  • 명령줄 인터페이스 또는 API를 AWS 통해 액세스할 때 FIPS 140-2로 검증된 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용하십시오. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-2를 참조하십시오.

고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 이름 필드와 같은 자유 양식 필드에 입력하지 않는 것이 좋습니다. 여기에는 Amazon WorkMail 또는 다른 곳에서 콘솔 AWS CLI, API 또는 AWS SDK를 AWS 서비스 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 보안 인증 정보를 URL에 포함시켜서는 안 됩니다.

아마존이 WorkMail 사용하는 방법 AWS KMS

Amazon은 메시지를 디스크에 쓰기 전에 모든 Amazon WorkMail 조직의 사서함에 있는 모든 메시지를 WorkMail 투명하게 암호화하고, 사용자가 메시지에 액세스할 때 메시지를 투명하게 해독합니다. 암호화는 비활성화할 수 없습니다. 메시지를 보호하는 암호화 키를 보호하기 위해 WorkMail Amazon은 AWS Key Management Service (AWS KMS) 와 통합되었습니다.

Amazon은 WorkMail 또한 사용자가 서명되거나 암호화된 이메일을 보낼 수 있는 옵션을 제공합니다. 이 암호화 기능은 AWS KMS를 사용하지 않습니다. 자세한 정보는 서명되거나 암호화된 이메일 활성화을 참조하세요.

아마존 WorkMail 암호화

WorkMailAmazon에서는 각 조직에 조직의 사용자당 하나씩 여러 사서함을 포함할 수 있습니다. 이메일 및 일정 항목을 포함하여 모든 메시지는 사용자의 사서함에 저장됩니다.

Amazon WorkMail 조직의 사서함 콘텐츠를 보호하기 위해 Amazon은 모든 사서함 메시지를 디스크에 쓰기 전에 WorkMail 암호화합니다. 고객이 제공하는 정보는 일반 텍스트로 저장되지 않습니다.

각 메시지는 고유한 데이터 암호화 키로 암호화됩니다. 메시지 키는 해당 사서함에서만 사용되는 고유한 암호화 키인 사서함 키로 보호됩니다. 사서함 키는 조직의 AWS KMS 고객 마스터 키 (CMK) 로 암호화되므로 암호화되지 않은 상태로 유지되지 않습니다. AWS KMS 다음 다이어그램은 AWS KMS에서 암호화된 메시지, 암호화된 메시지 키, 조직 CMK 사이의 관계를 보여줍니다.

Amazon WorkMail 메일박스 암호화

조직에 대해 CMK 설정

Amazon 조직을 생성할 때 WorkMail 조직의 AWS KMS 고객 마스터 키 (CMK) 를 선택할 수 있습니다. 이 CMK는 해당 조직의 모든 시서함 키를 보호합니다.

WorkMailAmazon용 기본 AWS 관리형 CMK를 선택하거나 소유하고 관리하는 기존 고객 관리형 CMK를 선택할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 고객 마스터 키(CMK)를 참조하세요. 각 조직에 동일한 CMK 또는 다른 CMK를 선택할 수 있지만, 일단 선택한 CMK는 변경할 수 없습니다.

중요

WorkMail Amazon은 대칭 CMK만 지원합니다. 비대칭 CMK를 사용할 수 없습니다. CMK가 대칭인지 비대칭인지 확인하는 것과 관련된 도움말은 AWS Key Management Service 개발자 안내서대칭 및 비대칭 CMK 식별을 참조하세요.

조직의 CMK를 찾으려면 통화를 기록하는 AWS CloudTrail 로그 항목을 사용하십시오. AWS KMS

각 사서함마다 고유한 암호화 키

사서함을 생성하면 Amazon은 사서함 외부에 고유한 256비트 고급 암호화 표준 (AES) 대칭 암호화 키 (사서함 키라고 ) 를 WorkMail 생성합니다. AWS KMS WorkMail Amazon은 사서함 키를 사용하여 사서함에 있는 각 메시지의 암호화 키를 보호합니다.

사서함 키를 보호하기 위해 Amazon은 WorkMail 조직의 CMK에 따라 사서함 키를 AWS KMS 암호화하도록 요청합니다. 그런 다음 암호화된 사서함 키를 사서함 메타데이터에 저장합니다.

참고

WorkMail Amazon은 대칭 메일박스 암호화 키를 사용하여 메시지 키를 보호합니다. 이전에 Amazon은 비대칭 키 쌍으로 각 사서함을 WorkMail 보호했습니다. 즉, 퍼블릭 키를 사용하여 각 메시지 키를 보호하고 프라이빗 키를 사용하여 해독했습니다. 프라이빗 사서함 키는 조직 CMK로 보호되었습니다. 이전 사서함은 비대칭 사서함 키 쌍을 사용할 수 있습니다. 이 변경 사항은 사서함 또는 그 안의 메시지의 보안에 영향을 미치지 않습니다.

각 메시지 암호화

사용자가 사서함에 메시지를 추가하면 Amazon은 외부 메시지에 대해 고유한 256비트 AES 대칭 암호화 키를 WorkMail 생성합니다. AWS KMS이 메시지 키를 사용하여 메시지를 암호화합니다. WorkMail Amazon은 사서함 키 아래의 메시지 키를 암호화하고 암호화된 메시지 키를 메시지와 함께 저장합니다. 그런 다음 조직 CMK로 사서함 키를 암호화합니다.

새 사서함 생성

Amazon은 사서함을 WorkMail 생성할 때 다음 프로세스를 사용하여 암호화된 메시지를 보관할 사서함을 준비합니다.

  • Amazon은 AWS KMS 외부의 사서함에 대해 고유한 256비트 AES 대칭 암호화 키를 WorkMail 생성합니다.

  • Amazon은 AWS KMS 암호화 작업을 WorkMail 호출합니다. 사서함 키와 조직의 고객 마스터 키 (CMK) 식별자를 전달합니다. AWS KMS CMK로 암호화된 메일박스 키의 암호문을 반환합니다.

  • Amazon은 암호화된 메일박스 키를 메일박스 메타데이터와 함께 WorkMail 저장합니다.

사서함 메시지 암호화

메시지를 암호화하기 위해 WorkMail Amazon은 다음 프로세스를 사용합니다.

  1. Amazon은 메시지에 대해 고유한 256비트 AES 대칭 키를 WorkMail 생성합니다. 일반 텍스트 메시지 키와 고급 암호화 표준 (AES) 알고리즘을 사용하여 외부 메시지를 암호화합니다. AWS KMS

  2. 사서함 키 아래의 메시지 키를 보호하려면 Amazon은 사서함 키를 WorkMail 해독해야 합니다. 사서함 키는 항상 암호화된 형태로 저장됩니다.

    Amazon은 AWS KMS 복호화 작업을 WorkMail 호출하고 암호화된 메일박스 키를 전달합니다. AWS KMS 조직에서 CMK를 사용하여 사서함 키를 해독하고 Amazon에 일반 텍스트 사서함 키를 반환합니다. WorkMail

  3. WorkMail Amazon은 일반 텍스트 사서함 키와 고급 암호화 표준 (AES) 알고리즘을 사용하여 외부의 메시지 키를 암호화합니다. AWS KMS

  4. Amazon은 암호화된 메시지 키를 암호화된 메시지의 메타데이터에 WorkMail 저장하므로 이를 해독할 수 있습니다.

사서함 메시지 해독

메시지를 해독하기 위해 WorkMail Amazon은 다음 프로세스를 사용합니다.

  1. Amazon은 AWS KMS 복호화 작업을 WorkMail 호출하고 암호화된 메일박스 키를 전달합니다. AWS KMS 조직에서 CMK를 사용하여 사서함 키를 해독하고 Amazon에 일반 텍스트 사서함 키를 반환합니다. WorkMail

  2. WorkMail Amazon은 일반 텍스트 사서함 키와 고급 암호화 표준 (AES) 알고리즘을 사용하여 외부에서 암호화된 메시지 키를 해독합니다. AWS KMS

  3. WorkMail Amazon은 일반 텍스트 메시지 키를 사용하여 암호화된 메시지를 해독합니다.

사서함 키 캐싱

성능을 개선하고 호출을 최소화하기 위해 AWS KMS Amazon은 각 클라이언트의 각 일반 텍스트 사서함 키를 최대 1분 동안 로컬에 WorkMail 캐시합니다. 캐싱 기간이 만료되면 사서함 키가 제거됩니다. 캐싱 기간 동안 해당 클라이언트의 메일박스 키가 필요한 경우 Amazon은 AWS KMS호출하는 대신 캐시에서 메일박스 키를 가져올 WorkMail 수 있습니다. 사서함 키는 캐시에서 보호되며 절대로 일반 텍스트로 디스크에 기록되지 않습니다.

CMK 사용 권한 부여

Amazon이 암호화 작업에서 고객 마스터 키 (CMK) 를 WorkMail 사용하는 경우 사서함 관리자를 대신합니다.

사용자 대신 AWS KMS 고객 마스터 키 (CMK) 를 비밀번호로 사용하려면 관리자에게 다음 권한이 있어야 합니다. IAM 정책이나 키 정책에서 이러한 필수 권한을 지정할 수 있습니다.

  • kms:Encrypt

  • kms:Decrypt

  • kms:CreateGrant

WorkMailAmazon에서 시작된 요청에만 CMK를 사용할 수 있도록 하려면 kms: ViaService 조건 키를 값과 함께 사용하면 됩니다. workmail.<region>.amazonaws.com

암호화 작업에 대한 CMK 사용 조건으로서 암호화 컨텍스트에서 키나 값을 사용할 수도 있습니다. 예를 들면 IAM 또는 키 정책 문서에서 문자열 조건 연산자를 사용하거나 권한 부여에서 권한 부여 제약을 사용할 수 있습니다.

AWS 관리형 CMK에 대한 키 정책

Amazon용 AWS 관리형 CMK의 키 정책은 Amazon이 사용자를 대신하여 요청하는 경우에만 지정된 작업에 CMK를 사용할 수 있는 권한을 사용자에게 WorkMail 부여합니다. WorkMail 키 정책에서는 사용자가 CMK를 직접 사용하도록 허용하지 않습니다.

이 키 정책은 모든 AWS 관리형 키의 정책처럼 서비스에 의해 설정됩니다. 키 정책은 변경할 수 없지만 언제든지 볼 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서키 정책 보기를 참조하세요.

키 정책의 정책 설명문은 다음 효과를 갖습니다.

  • 계정 및 지역의 사용자가 CMK를 사용하여 암호화 작업과 권한 부여를 생성할 수 있도록 허용하되, 사용자를 대신하여 WorkMail Amazon에서 요청하는 경우에만 허용됩니다. kms:ViaService 조건 키는 이 제한을 강제 적용합니다.

  • 사용자가 CMK 속성을 확인하고 권한을 취소할 수 있도록 허용하는 IAM 정책을 AWS 계정에서 생성할 수 있도록 허용합니다.

다음은 WorkMail Amazon용 AWS 관리형 CMK 예제의 주요 정책입니다.

{
  "Version" : "2012-10-17",
  "Id" : "auto-workmail-1",
  "Statement" : [ {
    "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "workmail.us-east-1.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
      }
    }
  }, {
    "Sid" : "Allow direct access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ],
    "Resource" : "*"
  } ]
}

보조금을 사용하여 Amazon을 승인하기 WorkMail

WorkMail Amazon은 주요 정책 외에도 권한 부여를 사용하여 각 조직의 CMK에 권한을 추가합니다. 계정의 CMK에 대한 부여를 보려면 작업을 사용하십시오. ListGrants

WorkMail Amazon은 권한 부여를 사용하여 조직의 CMK에 다음과 같은 권한을 추가합니다.

  • WorkMail Amazon이 메일박스 키를 암호화할 수 있도록 허용하는 kms:Encrypt 권한을 추가합니다.

  • Amazon이 CMK를 WorkMail 사용하여 사서함 키를 해독할 수 있도록 허용하는 kms:Decrypt 권한을 추가합니다. 사서함 메시지 읽기 요청은 메시지를 읽는 사용자의 보안 컨텍스트를 사용하기 때문에 Amazon은 권한 부여를 위해 이 권한을 WorkMail 요구합니다. 요청에는 AWS 계정의 자격 증명이 사용되지 않습니다. 조직에 대한 CMK를 선택하면 Amazon에서 이 보조금을 WorkMail 생성합니다.

보조금을 생성하기 위해 Amazon은 조직을 만든 사용자를 CreateGrant대신하여 WorkMail 요청을 합니다. 권한 부여 생성 권한은 키 정책에 의해 부여됩니다. 이 정책을 WorkMail 통해 Amazon이 승인된 사용자를 대신하여 요청할 때 계정 사용자는 조직의 CMK를 CreateGrant 호출할 수 있습니다.

또한 키 정책은 계정 루트가 관리 키에 대한 권한을 취소할 수 있도록 허용합니다. AWS 하지만 권한을 취소하면 Amazon에서 사서함의 암호화된 데이터를 WorkMail 해독할 수 없습니다.

Amazon WorkMail 암호화 컨텍스트

암호화 컨텍스트는 비밀이 아닌 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하면 AWS KMS 암호화 컨텍스트를 암호화된 데이터에 암호화하여 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 가이드에서 암호화 컨텍스트를 참조하세요.

WorkMail Amazon은 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트 형식을 사용합니다. 암호화 컨텍스트를 사용하여 AWS CloudTrail 같은 감사 레코드나 로그에서, 그리고 정책 및 권한 부여의 권한 부여 조건으로서, 암호화 작업을 식별할 수 있습니다.

Amazon은 암호화 및 복호화 요청에 대해 키가 aws:workmail:arn 있고 값이 조직의 AWS KMS Amazon 리소스 이름 (ARN) 인 암호화 컨텍스트를 WorkMail 사용합니다.

"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization-ID"

예를 들어 다음 암호화 컨텍스트에는 유럽(아일랜드)(eu-west-1) 리전의 예제 조직 ARN이 포함되어 있습니다.

"aws:workmail:arn":"arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"

WorkMail Amazon과의 상호 작용 모니터링 AWS KMS

Amazon CloudWatch Logs를 사용하여 AWS CloudTrail Amazon이 사용자를 대신하여 WorkMail 보내는 요청을 추적할 AWS KMS 수 있습니다.

암호화

사서함을 생성하면 Amazon에서 사서함 키를 WorkMail 생성하고 사서함 키를 AWS KMS 암호화하도록 호출합니다. Amazon은 일반 텍스트 사서함 키 및 Amazon 조직의 CMK 식별자와 AWS KMS 함께 Encrypt 요청을 에 WorkMail 보냅니다. WorkMail

Encrypt 작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 Amazon WorkMail 서비스입니다. 파라미터에는 Amazon WorkMail 조직의 CMK ID (keyId) 및 암호화 컨텍스트가 포함됩니다. Amazon은 사서함 WorkMail 키도 전달하지만 CloudTrail 로그에는 기록되지 않습니다.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Decrypt

사서함 메시지를 추가, 확인 또는 삭제하면 Amazon에서 사서함 키의 암호를 WorkMail AWS KMS 해독하도록 요청합니다. Amazon은 암호화된 사서함 키 및 Amazon 조직의 CMK 식별자와 AWS KMS 함께 암호 해독 요청을 에 WorkMail 보냅니다. WorkMail

Decrypt 작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 Amazon WorkMail 서비스입니다. 매개변수에는 로그에 기록되지 않는 암호화된 사서함 키 (암호문 블럽) 와 Amazon 조직의 암호화 컨텍스트가 포함됩니다. WorkMail AWS KMS 암호문에서 CMK의 ID를 가져옵니다.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}