Crie uma chave KMS para criptografar credenciais - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma chave KMS para criptografar credenciais

Os procedimentos de integração nesta seção oferecem a opção de criptografar suas credenciais com uma chave própria ou uma chave AWS gerenciada pelo cliente. Uma chave AWS própria é uma chave KMS que não está na sua Conta da AWS porque o AWS serviço que criptografa suas credenciais possui e gerencia a chave KMS. Se você quiser ter controle total sobre a chave KMS usada para criptografar suas credenciais, crie uma chave gerenciada pelo cliente. Uma chave gerenciada pelo cliente é uma chave KMS que você possui e gerencia.

Acesso às operações de criptografia do Security Hub

Essa declaração de política permite que o Security Hub use a AWS KMS chave para operações de criptografia. Ele permite que o Security Hub proteja os segredos do seu cliente usando essa chave. As permissões são restritas a operações relacionadas a conectores específicos do Security Hub por meio do bloco de condições que verifica o ARN de origem e o contexto de criptografia.

{ "Sid": "Allow Security Hub access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" }, "StringLike": { "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*", "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}" } } }
nota

ParaCloudProviderName, insira JIRA_CLOUD ouSERVICENOW. Para Region eAccountId, insira seu Conta da AWS ID Região da AWS e.

Acesso de leitura de chaves do Security Hub

Essa declaração de política permite que o Security Hub leia metadados sobre a chave KMS permitindo a DescribeKey operação. Essa permissão é necessária para que o Security Hub verifique o status e a configuração da chave. O acesso é limitado a conectores específicos do Security Hub por meio da condição ARN de origem.

{ "Sid": "Allow Security Hub read access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" } } }
nota

Para Region eAccountId, insira seu Conta da AWS ID Região da AWS e.

Acesso principal do IAM para operações do Security Hub

Essa declaração de política concede à função do IAM especificada permissões para realizar operações importantes (descrever, gerar, descriptografar, recriptografar e listar aliases) ao interagir com o Security Hub usando a V2 e a V2. CreateConnector CreateTicket APIs A condição garante que essas operações só possam ser executadas por meio do serviço Security Hub na região especificada.

{ "Sid": "Allow permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] }, StringLike": { "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW" } } } { "Sid": "Allow read permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] } } }
nota

ParaRoleName, insira o nome da função do IAM que está fazendo chamadas para o Security Hub. Para Region eAccountId, insira seu Conta da AWS ID Região da AWS e.