As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar opcionalmente AWS KMS keys
Se você quiser criptografar e descriptografar seus recursos com uma chave de AWS KMS criptografia, marque a caixa de seleção. Se você tiver chaves existentes, poderá selecioná-las a partir dos identificadores exibidos em um menu suspenso. Você pode gerar uma nova chave escolhendo Criar uma chave. Você pode adicionar ou alterar uma chave KMS sempre que atualizar sua landing zone.
Quando você seleciona Configurar landing zone, o AWS Control Tower realiza uma pré-verificação para validar sua chave do KMS. A chave deve atender aos seguintes requisitos:
-
Habilitado
-
Simétrica
-
Não é uma chave multirregional
-
Tem as permissões corretas adicionadas à política
-
A chave está na conta de gerenciamento
Você pode ver um banner de erro se a chave não atender a esses requisitos. Nesse caso, escolha outra chave ou gere uma chave. Certifique-se de editar a política de permissões da chave, conforme descrito na próxima seção.
Atualizar a política de chaves do KMS
Antes de atualizar uma política de chaves do KMS, você deve criar uma chave do KMS. Para obter mais informações, consulte Criar uma política de chave no Guia do desenvolvedor do AWS Key Management Service .
Para usar uma chave do KMS com o AWS Control Tower, você deve atualizar a política padrão de chaves do KMS adicionando as permissões mínimas necessárias para e. AWS Config AWS CloudTrail Como prática recomendada, recomendamos que você inclua as permissões mínimas exigidas em qualquer política. Ao atualizar uma política de chaves do KMS, você pode adicionar permissões como um grupo em uma única instrução JSON ou linha por linha.
O procedimento descreve como atualizar a política de chave KMS padrão no AWS KMS console adicionando declarações de política que permitem AWS Config e devem CloudTrail ser usadas AWS KMS para criptografia. As declarações de política exigem que você inclua as seguintes informações:
-
YOUR-MANAGEMENT-ACCOUNT-ID— o ID da conta de gerenciamento na qual o AWS Control Tower será configurado. -
YOUR-HOME-REGION— a região de origem que você selecionará ao configurar o AWS Control Tower. -
YOUR-KMS-KEY-ID— o ID da chave KMS que será usado com a política.
Para atualizar a política de chaves do KMS
-
Abra o AWS KMS console em https://console.aws.amazon.com/kms
-
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
-
Na tabela, selecione a chave que você deseja editar.
-
Na guia Política de chaves, verifique se você pode visualizar a política de chaves. Se você não conseguir visualizar a política de chaves, escolha Alternar para a visualização da política.
-
Escolha Editar e atualize a política de chaves padrão do KMS adicionando as seguintes declarações de política para AWS Config e. CloudTrail
AWS Config declaração de política
{ "Sid": "Allow Config to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID" }CloudTrail declaração de política
{ "Sid": "Allow CloudTrail to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail" }, "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*" } } } -
Escolha Salvar alterações.
Exemplo de política de chaves do KMS
O exemplo de política a seguir mostra como sua política de chaves do KMS pode parecer depois de adicionar as declarações de política que concedem AWS Config e CloudTrail as permissões mínimas necessárias. O exemplo de política não inclui sua política de chaves KMS padrão.
{
"Version": "2012-10-17",
"Id": "CustomKMSPolicy",
"Statement": [
{
... YOUR-EXISTING-POLICIES ...
},
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
},
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
]
}
Para ver outros exemplos de políticas, consulte as páginas a seguir:
-
Conceder permissões de criptografia no Guia do AWS CloudTrail usuário.
-
Permissões necessárias para a chave KMS ao usar o Service-Linked RolesS3 (Bucket Delivery) no Guia do desenvolvedor.AWS Config
Proteja-se contra atacantes
Ao adicionar determinadas condições às suas políticas, você pode ajudar a evitar um tipo específico de ataque, conhecido como ataque adjunto confuso, que ocorre se uma entidade coagir uma entidade com mais privilégios a realizar uma ação, como a falsificação de identidade entre serviços. Para obter informações gerais sobre as condições da política, consulte tambémEspecificar condições em uma política.
O AWS Key Management Service (AWS KMS) permite que você crie chaves KMS multirregionais e chaves assimétricas; no entanto, o AWS Control Tower não oferece suporte a chaves multirregionais ou chaves assimétricas. O AWS Control Tower realiza uma pré-verificação das suas chaves existentes. Você pode ver uma mensagem de erro se selecionar uma chave multirregional ou uma chave assimétrica. Nesse caso, gere outra chave para uso com os recursos do AWS Control Tower.
Para obter mais informações sobre AWS KMS, consulte o Guia do AWS KMS desenvolvedor.
Observe que os dados do cliente no AWS Control Tower são criptografados em repouso, por padrão, usando SSE-S3.
