Como a Amazon WorkMail usa AWS KMS

Este tópico discute como a Amazon WorkMail usa AWS KMS para criptografar mensagens de e-mail.

WorkMail Visão geral da Amazon

WorkMailA Amazon é um serviço de e-mail e calendário comercial seguro e gerenciado com suporte para clientes de e-mail móveis e desktop existentes. Você pode criar uma WorkMail organização da Amazon e atribuir a ela um ou mais domínios de e-mail de sua propriedade. Você pode criar caixas de correio para os usuários e grupos de distribuição de e-mail na organização.

A Amazon criptografa de WorkMail forma transparente todas as mensagens nas caixas de correio de todas as WorkMail organizações da Amazon antes que as mensagens sejam gravadas em disco e as descriptografa de forma transparente quando os usuários as acessam. Não há nenhuma opção para desabilitar a criptografia. Para proteger as chaves de criptografia que protegem as mensagens, a Amazon WorkMail está integrada com AWS Key Management Service (AWS KMS).

A Amazon WorkMail também oferece uma opção para permitir que os usuários enviem e-mails assinados ou criptografados. Este recurso de criptografia não usa o AWS KMS.

WorkMail Criptografia da Amazon

Na Amazon WorkMail, cada organização pode conter várias caixas de correio, uma para cada usuário na organização. Todas as mensagens, incluindo e-mail, calendário e itens são armazenados na caixa de correio do usuário.

Para proteger o conteúdo das caixas de correio em suas WorkMail organizações da Amazon, a Amazon WorkMail criptografa todas as mensagens da caixa de correio antes de serem gravadas no disco. Nenhuma informação fornecidas pelo cliente é armazenada em texto simples.

Cada mensagem é criptografada em uma chave de criptografia dos dados exclusiva. A chave da mensagem é protegida por uma chave de caixa de correio, que é uma chave exclusiva usada apenas para essa caixa de correio. A chave de caixa de correio é criptografada em uma AWS KMS key para a organização que nunca deixa o AWS KMS em estado sem criptografia. O diagrama a seguir mostra a relação das mensagens criptografadas, das chaves de mensagens criptografadas, da chave de caixa de correio criptografada e da chave do KMS para a organização no AWS KMS.

Uma chave do KMS para a organização

Ao criar uma WorkMail organização da Amazon, você pode selecionar uma AWS KMS key para a organização. Essa chave do KMS protege todas as chaves de caixa de correio nessa organização.

Se você usar o procedimento de configuração rápida para criar sua organização, a Amazon WorkMail usará o Chave gerenciada pela AWSfor Amazon WorkMail (aws/workmail) em seuConta da AWS. Se você usar a Configuração padrão, poderá selecionar a chave Chave gerenciada pela AWS para a Amazon WorkMail ou uma chave gerenciada pelo cliente que você possui e gerencia. É possível selecionar a mesma chave do KMS ou uma chave do KMS diferente para cada uma das suas organizações, mas não é possível alterar a chave do KMS depois de selecioná-la.

Importante

A Amazon WorkMail suporta somente chaves KMS de criptografia simétrica. Você não pode usar uma chave KMS assimétrica para criptografar dados na Amazon. WorkMail Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

Para localizar a chave do KMS da sua organização, use a entrada de log do AWS CloudTrail que registra chamadas para o AWS KMS.

Uma chave de criptografia exclusiva para cada caixa de correio

Quando você cria uma nova caixa de correio, a Amazon WorkMail gera uma chave de criptografia simétrica exclusiva do Advanced Encryption Standard (AES) de 256 bits para a caixa de correio, conhecida como chave de caixa de correio, fora dela. AWS KMS A Amazon WorkMail usa a chave da caixa de correio para proteger as chaves de criptografia de cada mensagem na caixa de correio.

Para proteger a chave da caixa de correio, a Amazon WorkMail liga AWS KMS para criptografar a chave da caixa de correio sob a chave KMS da organização. Ele armazena a chave de caixa de correio criptografada nos metadados da caixa de correio.

nota

A Amazon WorkMail usa uma chave de criptografia de caixa de correio simétrica para proteger as chaves das mensagens. Anteriormente, a Amazon WorkMail protegia cada caixa de correio com um par de chaves assimétrico. Ele usava a chave pública para criptografar cada chave de mensagem e a chave privada para descriptografá-la. A chave de caixa correio privada era protegida pela chave do KMS para a organização. As caixas de correio existentes ainda podem usar um par de chaves de caixa de correio assimétricas. Essa alteração não afeta a segurança da caixa de correio ou suas mensagens.

Uma chave de criptografia exclusiva para cada mensagem

Quando uma mensagem é adicionada à caixa de correio, a Amazon WorkMail gera uma chave de criptografia simétrica AES exclusiva de 256 bits para a mensagem externa. AWS KMS Ele usa essa chave de mensagem para criptografar a mensagem. A Amazon WorkMail criptografa a chave da mensagem sob a chave da caixa de correio e armazena a chave da mensagem criptografada com a mensagem. Em seguida, ele criptografa a chave de caixa de correio na chave do KMS para a organização.

Criar uma caixa de correio

Quando a Amazon WorkMail cria uma nova caixa de correio, ela usa o seguinte processo para preparar a caixa de correio para armazenar mensagens criptografadas.

• WorkMail A Amazon gera uma chave de criptografia simétrica AES exclusiva de 256 bits para a caixa de correio externa. AWS KMS

• A Amazon WorkMail chama a operação AWS KMS Encrypt. Ela é transmitida na chave de caixa de correio e no identificador da AWS KMS key para a organização. O AWS KMS retorna um texto cifrado da chave de caixa de correio criptografada na chave do KMS.

• A Amazon WorkMail armazena a chave criptografada da caixa de correio com os metadados da caixa de correio.

Criptografar uma mensagem de caixa de correio

Para criptografar uma mensagem, a Amazon WorkMail usa o seguinte processo.

1. WorkMail A Amazon gera uma chave simétrica AES exclusiva de 256 bits para a mensagem. Ele usa a chave de dados de texto simples e o algoritmo AES (Advanced Encryption Standard) para criptografar a mensagem fora do AWS KMS.

2. Para proteger a chave da mensagem sob a chave da caixa de correio, a Amazon WorkMail precisa descriptografar a chave da caixa de correio, que é sempre armazenada em seu formato criptografado.

   A Amazon WorkMail chama a operação AWS KMS Decrypt e passa a chave criptografada da caixa de correio. AWS KMSusa a chave KMS da organização para descriptografar a chave da caixa de correio e retorna a chave da caixa de correio em texto simples para a Amazon. WorkMail

3. A Amazon WorkMail usa a chave da caixa de correio de texto simples e o algoritmo Advanced Encryption Standard (AES) para criptografar a chave da mensagem fora dela. AWS KMS

4. A Amazon WorkMail armazena a chave da mensagem criptografada nos metadados da mensagem criptografada para que esteja disponível para descriptografá-la.

Descriptografar uma mensagem de caixa de correio

Para descriptografar uma mensagem, a Amazon WorkMail usa o seguinte processo.

1. A Amazon WorkMail chama a operação AWS KMS Decrypt e passa a chave criptografada da caixa de correio. AWS KMSusa a chave KMS da organização para descriptografar a chave da caixa de correio e retorna a chave da caixa de correio em texto simples para a Amazon. WorkMail

2. A Amazon WorkMail usa a chave da caixa de correio de texto simples e o algoritmo Advanced Encryption Standard (AES) para descriptografar a chave da mensagem criptografada fora dela. AWS KMS

3. A Amazon WorkMail usa a chave da mensagem de texto simples para descriptografar a mensagem criptografada.

Armazenar chaves de caixa de correio em cache

Para melhorar o desempenho e minimizar as chamadas paraAWS KMS, a Amazon armazena em WorkMail cache cada chave de caixa de correio de texto simples de cada cliente localmente por até um minuto. No final do período de cache, a chave de caixa de correio é removida. Se a chave da caixa de correio desse cliente for necessária durante o período de armazenamento em cache, a Amazon WorkMail poderá obtê-la do cache em vez de ligar. AWS KMS A chave de caixa de correio está protegida no cache e nunca é gravada em disco em texto simples.

Autorizar o uso da chave do KMS

Quando a Amazon WorkMail usa um AWS KMS key em operações criptográficas, ela age em nome do administrador da caixa de correio.

Para usar a AWS KMS key para um segredo em seu nome, o administrador deve ter as permissões a seguir. Você pode especificar essas permissões necessárias em uma política do IAM ou uma política de chaves.

• kms:Encrypt

• kms:Decrypt

• kms:CreateGrant

Para permitir que a chave KMS seja usada somente para solicitações originadas na Amazon WorkMail, você pode usar a chave de ViaService condição kms: com o valor. workmail.<region>.amazonaws.com

Você também pode usar as chaves ou valores no contexto de criptografia como uma condição para usar a chave do KMS para operações de criptografia. Por exemplo, você pode usar um operador de condição de string em um documento do IAM ou de uma política de chaves, ou usar uma restrição de concessão em uma concessão.

Política de chaves para as Chave gerenciada pela AWS

A política de chaves do Chave gerenciada pela AWS for Amazon WorkMail dá aos usuários permissão para usar a chave KMS para operações específicas somente quando a Amazon WorkMail faz a solicitação em nome do usuário. A política de chaves não permite que os usuários utilizem a chave do KMS diretamente.

Essa política de chaves, como as políticas de todas as Chaves gerenciadas pela AWS, é estabelecida pelo serviço. Não é possível alterar a política de chaves, mas é possível visualizá-la a qualquer momento. Para obter mais detalhes, consulte Visualizar uma política de chaves.

As declarações de política na política de chaves têm os seguintes efeitos:

• Permita que os usuários da conta e da região usem a chave KMS para operações criptográficas e criem concessões, mas somente quando a solicitação vier da Amazon WorkMail em seu nome. A chave de condição kms:ViaService impõe essa restrição.

• Permite que a Conta da AWS crie políticas do IAM que permitem que os usuários visualizem as propriedades da chave do KMS e revoguem concessões.

A seguir está uma política fundamental para um exemplo Chave gerenciada pela AWS para a Amazon WorkMail.

{
  "Version" : "2012-10-17",
  "Id" : "auto-workmail-1",
  "Statement" : [ {
    "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "workmail.us-east-1.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
      }
    }
  }, {
    "Sid" : "Allow direct access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ],
    "Resource" : "*"
  } ]
}

Usando subsídios para autorizar a Amazon WorkMail

Além das principais políticas, a Amazon WorkMail usa concessões para adicionar permissões à chave KMS para cada organização. Para ver as concessões na chave KMS em sua conta, use a ListGrantsoperação.

A Amazon WorkMail usa concessões para adicionar as seguintes permissões à chave KMS da organização.

• Adicione a kms:Encrypt permissão para permitir que a Amazon criptografe WorkMail a chave da caixa de correio.

• Adicione a kms:Decrypt permissão para permitir que a Amazon use WorkMail a chave KMS para descriptografar a chave da caixa de correio. A Amazon WorkMail exige essa permissão em uma concessão porque a solicitação para ler mensagens da caixa de correio usa o contexto de segurança do usuário que está lendo a mensagem. A solicitação não usa as credenciais da Conta da AWS. WorkMail A Amazon cria essa concessão quando você seleciona uma chave KMS para a organização.

Para criar as doações, a Amazon WorkMail liga CreateGrantem nome do usuário que criou a organização. A permissão para criar a concessão vem de política de chaves. Essa política permite que os usuários da conta CreateGrant solicitem a chave KMS da organização quando a Amazon WorkMail faz a solicitação em nome de um usuário autorizado.

A política de chaves também permite que a conta raiz revogue a concessão na Chave gerenciada pela AWS. No entanto, se você revogar a concessão, a Amazon WorkMail não poderá decifrar os dados criptografados em suas caixas de correio.

Contexto WorkMail de criptografia da Amazon

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.

A Amazon WorkMail usa o mesmo formato de contexto de criptografia em todas as operações AWS KMS criptográficas. É possível usar o contexto de criptografia para identificar uma operação criptográfica em logs e registros de auditoria, como o AWS CloudTrail, e como uma condição para a autorização em políticas e concessões.

Em suas solicitações de criptografia e descriptografia, a AWS KMS Amazon WorkMail usa um contexto de criptografia em que a chave está aws:workmail:arn e o valor é o Amazon Resource Name (ARN) da organização.

"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization ID"

Por exemplo, o seguinte contexto de criptografia inclui um ARN da organização de exemplo na região Leste dos EUA (Ohio) (us-east-2)

"aws:workmail:arn":"arn:aws:workmail:us-east-2:111122223333:organization/m-68755160c4cb4e29a2b2f8fb58f359d7"

Monitorando a WorkMail interação da Amazon com AWS KMS

Você pode usar o AWS CloudTrail Amazon CloudWatch Logs para rastrear as solicitações que a Amazon WorkMail envia AWS KMS em seu nome.

Encrypt

Quando você cria uma nova caixa de correio, a Amazon WorkMail gera uma chave de caixa de correio e liga AWS KMS para criptografar a chave da caixa de correio. WorkMail A Amazon envia uma solicitação Encrypt AWS KMS com a chave da caixa de correio em texto simples e um identificador para a chave KMS da organização Amazon. WorkMail

O evento que registra a operação Encrypt é semelhante ao evento de exemplo a seguir. O usuário é o WorkMail serviço da Amazon. Os parâmetros incluem o ID da chave KMS (keyId) e o contexto de criptografia da WorkMail organização Amazon. A Amazon WorkMail também passa a chave da caixa de correio, mas isso não é registrado no CloudTrail registro.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Decrypt

Quando você adiciona, visualiza ou exclui uma mensagem da caixa de correio, a Amazon WorkMail pede AWS KMS para descriptografar a chave da caixa de correio. WorkMail A Amazon envia uma solicitação Decrypt AWS KMS com a chave criptografada da caixa de correio e um identificador para a chave KMS da organização Amazon. WorkMail

O evento que registra a operação Decrypt é semelhante ao evento de exemplo a seguir. O usuário é o WorkMail serviço da Amazon. Os parâmetros incluem a chave criptografada da caixa de correio (como um blob de texto cifrado), que não é registrada no log, e o contexto de criptografia da organização Amazon. WorkMail AWS KMSderiva o ID da chave KMS do texto cifrado.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-c6981ff7642446fa8772ba99c690e455"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}