创建 KMS 密钥以加密凭证 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 KMS 密钥以加密凭证

本节中的集成过程为您提供了使用 AWS 自有密钥或客户托管密钥加密凭证的选项。 AWS 拥有的密钥是不属于您的 KMS 密钥, AWS 账户 因为加密您的证书的 AWS 服务拥有并管理 KMS 密钥。如果您想完全控制用于加密凭证的 KMS 密钥,请创建客户托管密钥。客户托管密钥是您拥有并管理的 KMS 密钥。

Security Hub 加密操作访问权限

此策略声明允许 Security Hub 使用该 AWS KMS 密钥进行加密操作。它允许 Security Hub 使用此密钥保护您的客户机密钥。通过检查源 ARN 和加密上下文的条件块,权限仅限于与特定 Security Hub 连接器相关的操作。

{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}"
        }
    }
}
注意

对于CloudProviderName,输入JIRA_CLOUDSERVICENOW。对于RegionAccountId,请输入您的 AWS 区域 和 AWS 账户 ID。

Security Hub 密钥读取权限

通过允许DescribeKey操作,此策略声明使 Security Hub 能够读取有关 KMS 密钥的元数据。此权限是 Security Hub 验证密钥状态和配置所必需的。通过源 ARN 条件,访问权限仅限于特定的 Security Hub 连接器。

{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*"
        }
    }
}
注意

对于RegionAccountId,请输入您的 AWS 区域 和 AWS 账户 ID。

对 Security Hub 操作的 IAM 委托人访问权限

此策略声明授予指定的 IAM 角色在使用 V2 和 V2 与 Security Hub 交互时执行密钥操作(描述、生成、解密、重新加密和列出别名)的CreateConnector权限。CreateTicket APIs该条件可确保这些操作只能通过指定区域的 Security Hub 服务执行。

{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        },
        StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW"
        }
    }
}

{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.${Region}.amazonaws.com"
            ]
        }
    }
}
注意

对于RoleName,请输入正在调用 Security Hub 的 IAM 角色的名称。对于RegionAccountId,请输入您的 AWS 区域 和 AWS 账户 ID。