本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立 KMS 金鑰來加密登入資料
本節中的整合程序為您提供使用 AWS 擁有的金鑰或客戶受管金鑰加密憑證的選項。 AWS 擁有的金鑰是不在 中的 KMS 金鑰, AWS 帳戶 因為加密憑證 AWS 的服務擁有和管理 KMS 金鑰。如果您想要完全控制用來加密登入資料的 KMS 金鑰,請建立客戶受管金鑰。客戶受管金鑰是您擁有和管理的 KMS 金鑰。
Security Hub 加密操作存取
此政策陳述式允許 Security Hub 使用 AWS KMS 金鑰進行加密操作。它允許 Security Hub 使用此金鑰來保護您的用戶端秘密。透過檢查來源 ARN 和加密內容的條件區塊,許可僅限於與特定 Security Hub 連接器相關的操作。
{ "Sid": "Allow Security Hub access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" }, "StringLike": { "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*", "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}" } } }
注意
針對 CloudProviderName,輸入 JIRA_CLOUD或 SERVICENOW。針對區域和 AccountId,輸入您的 AWS 區域 和 AWS 帳戶 ID。
Security Hub 金鑰讀取存取
此政策陳述式可讓 Security Hub 透過允許 DescribeKey操作來讀取 KMS 金鑰的中繼資料。Security Hub 必須具備此許可,才能驗證金鑰的狀態和組態。存取僅限於透過來源 ARN 條件的特定 Security Hub 連接器。
{ "Sid": "Allow Security Hub read access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" } } }
注意
針對區域和 AccountId,輸入您的 AWS 區域 和 AWS 帳戶 ID。
Security Hub 操作的 IAM 主體存取
此政策陳述式授予指定的 IAM 角色許可,以便在使用 CreateConnectorV2 和 CreateTicketV2 APIs 與 Security Hub 互動時執行金鑰操作 (描述、產生、解密、重新加密和列出別名)。條件可確保這些操作只能透過指定區域中的 Security Hub 服務執行。
{ "Sid": "Allow permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] }, StringLike": { "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW" } } } { "Sid": "Allow read permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] } } }
注意
針對 RoleName,輸入呼叫 Security Hub 的 IAM 角色名稱。在區域和 AccountId 中,輸入您的 AWS 區域 和 AWS 帳戶 ID。
