[KMS.1] IAM 客戶管理策略不應允許對所有密KMS鑰進行解密操作 [KMS.2] IAM 主體不應具有允許對所有KMS金鑰進行解密動作的IAM內嵌政策 [KMS3] AWS KMS keys 不應被無意中刪除 [KMS.4] AWS KMS 鍵旋轉應該被啟用

Security Hub 控制 AWS KMS

這些 AWS Security Hub 控制項:評估 AWS Key Management Service (AWS KMS）服務和資源。

這些控制項可能不適用於所有 AWS 區域。如需詳細資訊，請參閱各區域控制項的可用性。

[KMS.1] IAM 客戶管理策略不應允許對所有密KMS鑰進行解密操作

相關要求： NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::IAM::Policy

AWS Config 規則：iam-customer-policy-blocked-kms-actions

排程類型：已觸發變更

參數：

blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt（不可定制）
excludePermissionBoundaryPolicy：True（不可定制）

檢查IAM客戶管理策略的預設版本是否允許主參與者使用 AWS KMS 解密所有資源上的動作。如果政策足夠開放以允許kms:Decrypt或對所有KMS金鑰kms:ReEncryptFrom執行動作，則控制項會失敗。

控制項只會檢查 Resource 項目中的KMS索引鍵，而不會考慮原則之 Condition 項目中的任何條件。此外，控制項還會評估附加和未連接的客戶管理政策。它不檢查內聯策略或 AWS 受管理的策略。

同 AWS KMS，您可以控制誰可以使用您的密KMS鑰並訪問您的加密數據。IAM策略定義身分識別 (使用者、群組或角色) 可對哪些資源執行的動作。遵循安全性最佳做法， AWS 建議您允許最低權限。換句話說，您應該僅授與kms:Decrypt或kms:ReEncryptFrom權限，並僅授與執行工作所需的金鑰。否則，使用者可能會使用不適合您資料的金鑰。

決定使用者存取加密資料所需的最小金鑰集，而不是授與所有金鑰的權限。然後設計原則，讓使用者只能使用這些金鑰。例如，不允許所有KMS金鑰的kms:Decrypt權限。相反，kms:Decrypt只允許您帳戶的特定區域中的密鑰。通過採用最低權限原則，您可以降低數據意外披露的風險。

修補

若要修改IAM客戶管理的策略，請參閱《IAM使用指南》中的編輯客戶管理策略。編輯政策時，針對Resource欄位提供您要允許解密動作的特定金鑰或金鑰的 Amazon 資源名稱 (ARN)。

[KMS.2] IAM 主體不應具有允許對所有KMS金鑰進行解密動作的IAM內嵌政策

類別：保護 > 安全存取管理

嚴重性：中

資源類型：

AWS::IAM::Group
AWS::IAM::Role
AWS::IAM::User

AWS Config 規則：iam-inline-policy-blocked-kms-actions

排程類型：已觸發變更

參數：

blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt（不可定制）

此控制項會檢查內嵌在IAM身分識別 (角色、使用者或群組) 中的內嵌原則是否允許 AWS KMS 解密和重新加密所有KMS金鑰的動作。如果政策足夠開放以允許kms:Decrypt或對所有KMS金鑰kms:ReEncryptFrom執行動作，則控制項會失敗。

控制項只會檢查 Resource 項目中的KMS索引鍵，而不會考慮原則之 Condition 項目中的任何條件。

同 AWS KMS，您可以控制誰可以使用您的密KMS鑰並訪問您的加密數據。IAM策略定義身分識別 (使用者、群組或角色) 可對哪些資源執行的動作。遵循安全性最佳做法， AWS 建議您允許最低權限。換句話說，您應該僅授與身分識別所需的權限，並僅授與執行工作所需的金鑰。否則，使用者可能會使用不適合您資料的金鑰。

決定使用者存取加密資料所需的最小金鑰集，而不是授與所有金鑰的權限。然後設計原則，讓使用者只能使用這些金鑰。例如，不允許所有KMS金鑰的kms:Decrypt權限。而是僅允許您帳戶的特定區域中特定密鑰的權限。通過採用最低權限原則，您可以降低數據意外披露的風險。

修補

若要修改內IAM嵌政策，請參閱IAM使用指南中的編輯內嵌政策。編輯政策時，針對Resource欄位提供您要允許解密動作的特定金鑰或金鑰的 Amazon 資源名稱 (ARN)。

[KMS3] AWS KMS keys 不應被無意中刪除

相關要求： NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-12、2

分類:保護 > 資料保護 > 資料刪除保護

嚴重性：嚴重

資源類型：AWS::KMS::Key

AWS Config 規則:kms-cmk-not-scheduled-for-deletion-2(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：無

此控制項會檢查是否已排定要刪除的KMS金鑰。如果已排定要刪除的KMS金鑰，則控制項會失敗。

KMS金鑰一旦刪除，就無法復原。如果密鑰被刪除，則在密KMS鑰下加密的數據也將KMS永久無法恢復。如果有意義的資料已使用排定KMS要刪除的金鑰加密，請考慮將資料解密或以新KMS金鑰重新加密資料，除非您故意執行加密刪除。

當KMS索引鍵排定要刪除時，如果排定錯誤，則會強制執行強制等待期間，以允許有時間回復刪除作業。預設等待期為 30 天，但在排定刪除KMS金鑰時，可縮短至最短 7 天。在等待期間，可以取消排定的刪除，且不會刪除KMS金鑰。

如需有關刪除KMS金鑰的其他資訊，請參閱刪除 KMS AWS Key Management Service 開發人員指南。

修補

若要取消已排程的KMS金鑰刪除，請參閱中的排程和取消金鑰刪除 (主控台) 下的若要取消金鑰刪除 AWS Key Management Service 開發人員指南。

[KMS.4] AWS KMS 鍵旋轉應該被啟用

相關要求：PCIDSSCIS AWS 基金會基準測試版 3.0.0/3.6 CIS AWS 基金會基準測試版 1.4.0/3.8 CIS AWS 基金會基準指標 V1.2.0/2.8, NIST.800-53.r5 SC-1 二, 二 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 8 (3)

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::KMS::Key

AWS Config 規則：cmk-backing-key-rotation-enabled

排程類型：定期

參數：無

AWS KMS 可讓客戶旋轉儲存在其中的關鍵材料的後備鍵 AWS KMS 並綁定到密鑰的密KMS鑰 ID。它是用來執行加密操作的備份金鑰，例如加密和解密。自動化輪換金鑰目前會保留之前所有的備份金鑰，以便透明解密加密的資料。

CIS建議您啟用KMS按鍵旋轉。輪換加密金鑰有助於降低被盜用金鑰造成的可能影響，因為可能公開的舊金鑰無法存取使用新金鑰加密的資料。