Amazon WorkMail におけるデータ保護

Amazon WorkMail でのデータ保護には、 AWS 責任共有モデルが適用されます。このモデルで説明されているように、 AWS はすべてのを実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

各アカウントで多要素認証 (MFA) を使用します。
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 AWS CloudTrail ユーザーガイド」のCloudTrail 証跡の使用」を参照してください。
AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
コマンドラインインターフェイスまたは API AWS を介してにアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon WorkMail AWS CLIまたは他の AWS のサービスを操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

Amazon WorkMail でのの使用方法 AWS KMS

Amazon WorkMail は、メッセージがディスクに書き込まれる前に、すべての Amazon WorkMail 組織のメールボックス内のすべてのメッセージを透過的に暗号化し、ユーザーがアクセスしたときにメッセージを透過的に復号化します。暗号化は無効にできません。メッセージを保護する暗号化キーを保護するために、Amazon WorkMail は AWS Key Management Service () と統合されていますAWS KMS。

Amazon WorkMail には、ユーザーが署名付きまたは暗号化された E メールを送信できるようにするオプションもあります。この暗号化機能は AWS KMSを使用していません。詳細については、「署名または暗号化された E メールの有効化」を参照してください。

トピック

Amazon WorkMail の暗号化
CMK の使用の許可
Amazon WorkMail 暗号化コンテキスト
との Amazon WorkMail インタラクションのモニタリング AWS KMS

Amazon WorkMail の暗号化

Amazon WorkMail では、各組織には、組織内のユーザーごとに 1 つずつ、複数のメールボックスを含めることができます。E メール、カレンダーの項目などのすべてのメッセージはユーザーのメールボックスに保存されます。

Amazon WorkMail 組織内のメールボックスの内容を保護するために、Amazon WorkMail はすべてのメールボックスメッセージをディスクに書き込む前に暗号化します。お客様から提供された情報がプレーンテキストで保存されることはありません。

各メッセージは、一意のデータ暗号化キーで暗号化されます。メッセージキーは、そのメールボックスでのみ使用される一意の暗号化キーであるメールボックスキーで保護されています。メールボックスキーは、を暗号化 AWS KMS されないままにしない組織の AWS KMS カスタマーマスターキー (CMK) で暗号化されます。次の図では、 AWS KMSにおける、暗号化されたメッセージ、暗号化されたメッセージキー、暗号化されたメールボックスキー、組織の CMK の関係を示しています。

組織の CMK を設定する

Amazon WorkMail 組織を作成するときに、組織の AWS KMS カスタマーマスターキー (CMK) を選択するオプションがあります。この CMK は組織内のすべてのメールボックスキーを保護します。

Amazon WorkMail のデフォルトの AWS 管理の CMK を選択するか、所有および管理している既存のカスタマー管理の CMK を選択できます。詳細については、AWS Key Management Service デベロッパーガイドのカスタマーマスターキー (CMK) を参照してください。各組織に同じ CMK を使用するか異なる CMK を使用するかを選択できますが、一度選択した CMK を変更することはできません。

重要

Amazon WorkMail は、対称型 CMK のみをサポートします。非対称 CMK を使用することはできません。CMK が対称か非対称かを判断する方法については、AWS Key Management Service デベロッパーガイドの対称と非対称 CMK の識別を参照してください。

組織の CMK を検索するには、への呼び出しを記録する AWS CloudTrail ログエントリを使用します AWS KMS。

各メールボックスの一意の暗号化キー

メールボックスを作成すると、Amazon WorkMail はメールボックスの外部に、メールボックスキーと呼ばれる一意の 256 ビット Advanced Encryption Standard (AES) 対称暗号化キーを生成します AWS KMS。Amazon WorkMail は、メールボックスキーを使用して、メールボックス内の各メッセージの暗号化キーを保護します。

メールボックスキーを保護するために、Amazon WorkMail は AWS KMS を呼び出して、組織の CMK でメールボックスキーを暗号化します。その後、メールボックスのメタデータに暗号化されたメールボックスキーを保存します。

注記

Amazon WorkMail は、対称メールボックス暗号化キーを使用してメッセージキーを保護します。以前は、Amazon WorkMail は各メールボックスを非対称キーペアで保護していました。パブリックキーを使用して各メッセージキーを暗号化し、プライベートキーで復号していました。プライベートメールボックスキーは組織の CMK で保護されていました。古いメールボックスは非対称メールボックスkey pair を使用している場合があります。この変更により、メールボックスやそのメッセージのセキュリティに影響が生じることはありません。

各メッセージを暗号化する。

ユーザーがメールボックスにメッセージを追加すると、Amazon WorkMail はの外部にあるメッセージに対して一意の 256 ビット AES 対称暗号化キーを生成します AWS KMS。このメッセージキーを使用してメッセージを暗号化します。Amazon WorkMail は、メールボックスキーの下にメッセージキーを暗号化し、暗号化されたメッセージキーをメッセージとともに保存します。次に、組織の CMK でメールボックスキーを暗号化します。

新しいメールボックスの作成

Amazon WorkMail はメールボックスを作成するとき、次のプロセスを使用して、暗号化されたメッセージを保持するメールボックスを準備します。

Amazon WorkMail は、AWS KMS 以外のメールボックスに対して一意の 256 ビット AES 対称暗号化キーを生成します。
Amazon WorkMail は AWS KMS Encrypt オペレーションを呼び出します。メールボックスキーと組織のカスタマーマスターキー (CMK) の識別子を渡します。は、CMK で暗号化されたメールボックスキーの暗号文 AWS KMS を返します。
Amazon WorkMail は、暗号化されたメールボックスキーと、メールボックスのメタデータを保存します。

メールボックスメッセージの暗号化

メッセージを暗号化するために、Amazon WorkMail は次のプロセスを使用します。

Amazon WorkMail は、メッセージに対して一意の 256 ビット AES 対称キーを生成します。プレーンテキストメッセージキーと Advanced Encryption Standard (AES) アルゴリズムを使用して、の外部でメッセージを暗号化します AWS KMS。
メールボックスキーの下でメッセージキーを保護するために、Amazon WorkMail はメールボックスキーを復号化する必要があります。メールボックスキーは常に暗号化された形式で保存されます。

Amazon WorkMail は、 AWS KMS Decrypt オペレーションを呼び出し、暗号化されたメールボックスキーを渡します。は、組織の CMK AWS KMS を使用してメールボックスキーを復号し、プレーンテキストのメールボックスキーを Amazon WorkMail に返します。
Amazon WorkMail は、プレーンテキストのメールボックスキーと Advanced Encryption Standard (AES) アルゴリズムを使用して、外部でメッセージキーを暗号化します AWS KMS。
Amazon WorkMail は、暗号化されたメッセージのメタデータに暗号化されたメッセージキーを保存し、復号化できるようにします。

メールボックスメッセージの復号

メッセージを復号化するために、Amazon WorkMail は次のプロセスを使用します。

Amazon WorkMail は、 AWS KMS Decrypt オペレーションを呼び出し、暗号化されたメールボックスキーを渡します。は、組織の CMK AWS KMS を使用してメールボックスキーを復号し、プレーンテキストのメールボックスキーを Amazon WorkMail に返します。
Amazon WorkMail は、プレーンテキストのメールボックスキーと Advanced Encryption Standard (AES) アルゴリズムを使用して、暗号化されたメッセージキーをの外部で復号します AWS KMS。
Amazon WorkMail は、プレーンテキストのメッセージキーを使用して、暗号化されたメッセージを復号化します。

メールボックスキーのキャッシュ

パフォーマンスを向上させ、への呼び出しを最小限に抑えるために AWS KMS、Amazon WorkMail は各クライアントの各プレーンテキストのメールボックスキーを最大 1 分間ローカルにキャッシュします。キャッシュ期間の終了時に、メールボックスキーは削除されます。キャッシュ期間中にそのクライアントのメールボックスキーが必要な場合、Amazon WorkMail では AWS KMSを呼び出す代わりに、キャッシュからキーを取得できます。メールボックスキーはキャッシュで保護されており、プレーンテキストでディスクに書き込まれることはありません。

CMK の使用の許可

Amazon WorkMail が暗号化操作でカスタマーマスターキー (CMK) を使用する場合、メールボックス管理者の代わりに動作します。

ユーザーに代わってシークレットに AWS KMS カスタマーマスターキー (CMK) を使用するには、管理者に次のアクセス許可が必要です。IAM ポリシーまたはキーポリシーで、これらの必要なアクセス許可を指定できます。

kms:Encrypt
kms:Decrypt
kms:CreateGrant

Amazon WorkMail で発生するリクエストにのみ CMK が使用されるようにするには、kms:ViaService 条件キーを workmail.<region>.amazonaws.com 値で使用します。

また、暗号化オペレーションに CMK を使用する条件として、暗号化コンテキストでキーまたは値を使用することもできます。例えば、IAM またはキーポリシードキュメントで文字列条件演算子を使用したり、許可で許可制約を使用したりできます。

AWS 管理 CMK のキーポリシー

Amazon WorkMail 用 AWS 管理 CMK のキーポリシーは、Amazon WorkMail がユーザーに代わってリクエストを行う場合にのみ、指定されたオペレーションに CMK を使用するアクセス許可をユーザーに付与します。このキーポリシーでは、ユーザーが CMK を直接使用することは許可されません。

このキーポリシーは、すべての AWS 管理キーと同様に、サービスによって確立されます。キーポリシーは変更できませんが、いつでも表示できます。詳細については、AWS Key Management Service デベロッパーガイドのキーポリシーの表示を参照してください。

このキーポリシーのポリシーステートメントには次の効果があります

アカウントとリージョンのユーザーが暗号化操作に CMK を使用し、許可を作成することを許可します。ただし、リクエストが自分の Amazon WorkMail から送信された場合のみです。kms:ViaService 条件キーで、この制限を適用します。
AWS アカウントが CMK プロパティの表示と許可の取り消しをユーザーに許可する IAM ポリシーを作成できるようにします。

以下は、Amazon WorkMail 用の AWS マネージド CMK の例のキーポリシーです。


{
  "Version" : "2012-10-17",
  "Id" : "auto-workmail-1",
  "Statement" : [ {
    "Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "workmail.us-east-1.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
      }
    }
  }, {
    "Sid" : "Allow direct access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ],
    "Resource" : "*"
  } ]
}

Amazon WorkMail の認可に許可を使用する

Amazon WorkMail では、キーポリシーに加えて、権限を使用して、各組織の CMK にアクセス許可を追加します。アカウントの CMK の許可を表示するには、ListGrants 演算を使用します。

Amazon WorkMail は、権限を使用して、組織の CMK に次の権限を追加します。

Amazon WorkMail がメールボックスキーを暗号化することを kms:Encrypt 許可する権限を追加します。
Amazon WorkMail が CMK を使用してメールボックスキーを復号化できるようにする kms:Decrypt アクセス許可を追加します。Amazon WorkMail では、メールボックスメッセージを読み取るリクエストは、メッセージを読み取っているユーザーのセキュリティコンテキストを使用するため、許可でこのアクセス許可が必要です。リクエストは AWS アカウントの認証情報を使用しません。Amazon WorkMail は、組織の CMK を選択したときにこの権限を作成します。

許可を作成するために、Amazon WorkMail は、組織を作成したユーザーの代わりに CreateGrant を呼び出します。権限付与を作成するアクセス許可はキーポリシーから付与されます。このポリシーでは、Amazon WorkMail が承認されたユーザーの代わりにリクエストを行うときに、アカウントユーザーが組織の CMK を呼び出す CreateGrant ことができます。

キーポリシーは、アカウントルートが AWS マネージドキーの許可を取り消すことも許可します。ただし、許可を取り消すと、Amazon WorkMail はメールボックスの暗号化されたデータを復号化できません。

Amazon WorkMail 暗号化コンテキスト

暗号化コンテキストは、任意のシークレットデータを含まない、一連のキーと値のペアです。データを暗号化するリクエストに暗号化コンテキストを含めると、は暗号化コンテキストを暗号化されたデータに AWS KMS 暗号的にバインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。詳しくは、AWS Key Management Service デベロッパーガイドの Encryption context を参照してください。

Amazon WorkMail は、すべての暗号化オペレーションで同じ AWS KMS 暗号化コンテキスト形式を使用します。暗号化コンテキストを使用して、AWS CloudTrail などの監査レコードやログで、暗号化オペレーションを確認できます。また、ポリシーと許可で認可の条件として確認することもできます。

Amazon WorkMail は AWS KMS、暗号化リクエストと復号リクエストで、キーが aws:workmail:arn、値が組織の Amazon リソースネーム (ARN) である暗号化コンテキストを使用します。


"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization-ID"

例えば、次の暗号化コンテキストには欧州 (アイルランド) (eu-west-1) リージョンの組織の ARN のサンプルが含まれています。


"aws:workmail:arn":"arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"

との Amazon WorkMail インタラクションのモニタリング AWS KMS

AWS CloudTrail と Amazon CloudWatch Logs を使用して、Amazon WorkMail が AWS KMS ユーザーに代わってに送信するリクエストを追跡できます。

暗号化

メールボックスを作成すると、Amazon WorkMail はメールボックスキーを生成し、 AWS KMS を呼び出してメールボックスキーを暗号化します。Amazon WorkMail は、プレーンテキストのメールボックスキーと Amazon WorkMail 組織の CMK の識別子 AWS KMS を使用して Encrypt リクエストをに送信します。

Encrypt 演算を記録するイベントは、次のようなサンプルイベントになります。ユーザーは Amazon WorkMail サービスです。パラメータには、CMK ID (keyId) と Amazon WorkMail 組織の暗号化コンテキストが含まれます。Amazon WorkMail もメールボックスキーを渡しますが、CloudTrail ログには記録されません。


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Decrypt

メールボックスメッセージを追加、表示、または削除すると、Amazon WorkMail はメールボックスキーの復号 AWS KMS をに要求します。Amazon WorkMail は、暗号化されたメールボックスキーと Amazon WorkMail 組織の CMK の識別子を使用して、復号リクエストを AWS KMS に送信します。

Decrypt 演算を記録するイベントは、次のようなサンプルイベントになります。ユーザーは Amazon WorkMail サービスです。パラメータには、暗号化されたメールボックスキー (暗号化テキスト BLOB として) が含まれ、ログには記録されません。また、Amazon WorkMail 組織の暗号化コンテキストが含まれます。は、暗号化テキストから CMK の ID AWS KMS を取得します。


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティ

Identity and Access Management