Se desejar, configure AWS KMS keys

Se você quiser criptografar e descriptografar seus recursos com uma chave de criptografia do AWS KMS, marque a caixa de seleção. Se tiver chaves existentes, você poderá selecioná-las pelos identificadores exibidos em um menu suspenso. Você pode gerar uma nova chave escolhendo Criar uma chave. Você pode adicionar ou alterar uma chave do KMS sempre que atualizar a zona de pouso.

Quando você seleciona Configurar zona de pouso, o AWS Control Tower realiza uma pré-verificação para validar sua chave do KMS. A chave também deve atender a estes requisitos:

Habilitada
Simétrica
Não ser uma chave multirregional
Ter as permissões corretas adicionadas à política
Estar na conta de gerenciamento

Poderá ser exibido um banner de erro se a chave não atender a esses requisitos. Nesse caso, escolha outra chave ou gere uma. Certifique-se de atualizar a política de permissões da chave, conforme descrito na próxima seção.

Atualizar a política de chave do KMS

Antes de atualizar uma política de chave do KMS, você deve criar uma chave do KMS. Para obter mais informações, consulte Criar uma política de chave no Guia do desenvolvedor do AWS Key Management Service.

Para usar uma chave do KMS com o AWS Control Tower, você deve atualizar a política de chave padrão do KMS adicionando as permissões mínimas necessárias para o AWS Config e o AWS CloudTrail. Como prática recomendada, sugerimos que você inclua as permissões mínimas exigidas em qualquer política. Ao atualizar uma política de chave do KMS, você pode adicionar permissões como um grupo em uma única instrução JSON ou linha por linha.

O procedimento descreve como atualizar a política de chaves padrão do KMS no console do AWS KMS adicionando instruções de política que permitem que o AWS Config e o CloudTrail usem o AWS KMS para criptografia. As instruções de política exigem que você inclua as seguintes informações:

YOUR-MANAGEMENT-ACCOUNT-ID: o ID da conta de gerenciamento na qual o AWS Control Tower será configurado.
YOUR-HOME-REGION: a região de origem que você selecionará ao configurar o AWS Control Tower.
YOUR-KMS-KEY-ID: o ID da chave do KMS que será usado com a política.

Como atualizar a política de chave do KMS

Abra o console do AWS KMS em https://console.aws.amazon.com//kms
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
Na tabela, selecione a chave que você deseja editar.
Na guia Política de chave, verifique se você consegue visualizar a política de chave. Se você não conseguir visualizar a política de chave, escolha Alternar para a visualização da política.

Escolha Editar e atualize a política de chave padrão do KMS adicionando as seguintes instruções de política para o AWS Config e o CloudTrail.

Instrução da política do AWS Config


{
    "Sid": "Allow Config to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "config.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}

Instrução de política do CloudTrail


{
    "Sid": "Allow CloudTrail to use KMS for encryption",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
        }
    }
}

Escolha Salvar alterações.

Exemplo de política de chave do KMS

O exemplo de política a seguir mostra como será a política de chave do KMS depois de adicionar as instruções de política que concedem ao AWS Config e ao CloudTrail as permissões mínimas necessárias. O exemplo de política não inclui a política de chave padrão do KMS.


{
    "Version": "2012-10-17",		 	 	 
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:PARTITION:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:PARTITION:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}

Para ver outros exemplos de políticas, consulte as seguintes páginas:

Granting encrypt permissions no Guia do usuário do AWS CloudTrail.
Required Permissions for the KMS Key When Using Service-Linked RolesS3 Bucket Delivery) no Guia do desenvolvedor do AWS Config.

Proteção contra invasores

Ao adicionar determinadas condições às suas políticas, você pode ajudar a evitar um tipo específico de ataque, conhecido como ataque confused deputy, que ocorre se uma entidade coagir uma entidade com mais privilégios a realizar uma ação, como a falsificação de identidade entre serviços. Também consulte informações gerais sobre condições de política em Especificar condições em uma política.

O AWS Key Management Service (AWS KMS) permite que você crie chaves do KMS multirregionais e chaves assimétricas; no entanto, o AWS Control Tower não é compatível com chaves multirregionais nem com chaves assimétricas. O AWS Control Tower realiza uma pré-verificação das chaves existentes. Você poderá receber uma mensagem de erro se selecionar uma chave multirregional ou uma chave assimétrica. Nesse caso, gere outra chave para usar com os recursos do AWS Control Tower.

Consulte mais informações sobre o AWS KMS no Guia do desenvolvedor do AWS KMS.

Observe que os dados do cliente no AWS Control Tower são criptografados em repouso, por padrão, usando SSE-S3.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Se desejar, configure trilhas do AWS CloudTrail.

Opcionalmente, configure a inscrição automática para contas