本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon WorkMail 中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon WorkMail 中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Amazon WorkMail 或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
## Amazon WorkMail 如何使用 AWS KMS
Amazon WorkMail 會在訊息寫入磁碟之前,對所有 Amazon WorkMail 組織的信箱中的所有訊息進行透明加密,並在使用者存取訊息時透明地解密訊息。您無法停用加密。為了保護保護訊息的加密金鑰,Amazon WorkMail 已與 AWS Key Management Service () 整合AWS KMS。
Amazon WorkMail 還提供一個選項,可讓使用者傳送簽章或加密的電子郵件。此加密功能不使用 AWS KMS。如需詳細資訊,請參閱[啟用簽章或加密的電子郵件](enable_encryption.md)。
**Topics**
+ [Amazon WorkMail 加密](#workmail-kms-encryption)
+ [授權使用 CMK](#workmail-kms-authorizing-cmk)
+ [Amazon WorkMail 加密內容](#workmail-encryption-context)
+ [監控 Amazon WorkMail 與 的互動 AWS KMS](#workmail-kms-cloudtrail-logs)
### Amazon WorkMail 加密
在 Amazon WorkMail 中,每個組織可以包含多個信箱,各用於組織中的每個使用者。所有訊息 (包括電子郵件和行事曆項目) 都存放在使用者的信箱中。
為了保護 Amazon WorkMail 組織中的信箱的內容,Amazon WorkMail 會在所有信箱訊息寫入磁碟之前加密。客戶提供的資訊都不以純文字形式儲存。
每個訊息都在唯一的資料加密金鑰下加密。訊息金鑰由信箱金鑰加密,這是該信箱專用的唯一加密金鑰。信箱金鑰是在絕不會保持 AWS KMS 未加密的組織 AWS KMS 的客戶主金鑰 (CMK) 下加密。下圖顯示 AWS KMS中在加密訊息、加密訊息金鑰、加密信箱金鑰及組織 CMK 之間的關係。
![\[加密您的 Amazon WorkMail 信箱\]](http://docs.aws.amazon.com/zh_tw/workmail/latest/adminguide/images/service-workmail.png)
#### 設定組織的 CMK
當您建立 Amazon WorkMail 組織時,您可以選擇組織 AWS KMS 的客戶主金鑰 (CMK)。這個 CMK 保護該組織中的所有信箱金鑰。
您可以選取 Amazon WorkMail 的預設 AWS 受管 CMK,也可以選取您擁有和管理的現有客戶受管 CMK。如需詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*[》中的客戶主金鑰 (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。您可以為每個組織選取相同的 CMK 或不同的 CMK,但一旦選取,就無法變更 CMK。
**重要**
Amazon WorkMail 僅支援對稱 CMKs。您無法使用非對稱 CMK。如需判斷 CMK 是對稱或非對稱的說明,請參閱《 *AWS Key Management Service 開發人員指南*》中的[識別對稱和非對稱 CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)。
若要尋找組織的 CMK,請使用記錄對 呼叫的 AWS CloudTrail 日誌項目 AWS KMS。
#### 每個信箱的唯一加密金鑰
當您建立信箱時,Amazon WorkMail 會在外部為信箱產生唯一的 256 位元[進階加密標準](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) 對稱加密金鑰,稱為其*信箱金鑰* AWS KMS。Amazon WorkMail 使用信箱金鑰來保護信箱中每封訊息的加密金鑰。
為了保護信箱金鑰,Amazon WorkMail 會呼叫 AWS KMS 來加密組織 CMK 下的信箱金鑰。然後,它會將加密的信箱金鑰存放在信箱中繼資料。
**注意**
Amazon WorkMail 使用對稱信箱加密金鑰來保護訊息金鑰。在過去,Amazon WorkMail 使用非對稱金鑰對來保護每個信箱。它使用公有金鑰來加密每個訊息金鑰,並使用私有金鑰來解密金鑰。私有信箱金鑰由組織的 CMK 保護。較舊的信箱可能會使用非對稱信箱金鑰對。此變更不會影響信箱或其訊息的安全性。
#### 加密每個訊息
當使用者將訊息新增至信箱時,Amazon WorkMail 會為外部的訊息產生唯一的 256 位元 AES 對稱加密金鑰 AWS KMS。它會使用此*訊息金鑰*來加密訊息。Amazon WorkMail 會在信箱金鑰下加密訊息金鑰,並將加密的訊息金鑰存放在訊息中。然後,它在組織的 CMK 下加密信箱金鑰。
#### 建立新信箱
Amazon WorkMail 建立信箱時,會使用下列程序來準備信箱以保留加密的訊息。
+ Amazon WorkMail 會為 AWS KMS 外部的信箱產生唯一的 256 位元 AES 對稱加密金鑰。
+ Amazon WorkMail 會呼叫 AWS KMS [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 操作。它會傳入 organization 的信箱金鑰和客戶主金鑰 (CMK) 的識別符。 AWS KMS 會傳回以 CMK 加密之信箱金鑰的加密文字。
+ Amazon WorkMail 將加密的信箱金鑰存放在信箱中繼資料。
#### 加密信箱訊息
為了加密訊息,Amazon WorkMail 使用以下程序。
1. Amazon WorkMail 為訊息產生唯一的 256 位元 AES 對稱金鑰。它使用純文字訊息金鑰和進階加密標準 (AES) 演算法來加密外部的訊息 AWS KMS。
1. 為了在信箱金鑰下保護訊息,Amazon WorkMail 需要解密一律以加密形式儲存的信箱金鑰。
Amazon WorkMail 會呼叫 AWS KMS [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 操作並傳入加密的信箱金鑰。 AWS KMS 會使用組織的 CMK 來解密信箱金鑰,並將純文字信箱金鑰傳回給 Amazon WorkMail。
1. Amazon WorkMail 使用純文字信箱金鑰和進階加密標準 (AES) 演算法來加密外部的訊息金鑰 AWS KMS。
1. Amazon WorkMail 將加密的訊息金鑰存放在中繼資料,以用於解密金鑰。
#### 解密信箱訊息
為了解密訊息,Amazon WorkMail 使用以下程序。
1. Amazon WorkMail 會呼叫 AWS KMS [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 操作並傳入加密的信箱金鑰。 AWS KMS 會使用組織的 CMK 來解密信箱金鑰,並將純文字信箱金鑰傳回給 Amazon WorkMail。
1. Amazon WorkMail 使用純文字信箱金鑰和進階加密標準 (AES) 演算法,在 外部解密加密的訊息金鑰 AWS KMS。
1. Amazon WorkMail 使用純文字訊息金鑰解密已加密的訊息。
#### 快取信箱金鑰
為了改善效能並盡量減少對 的呼叫 AWS KMS,Amazon WorkMail 會在本機快取每個用戶端的每個純文字信箱金鑰最多一分鐘。在快取期間結束時,就會移除信箱金鑰。如果在快取期間需要該用戶端的信箱金鑰,Amazon WorkMail 可以從快取中取得金鑰,而不需要呼叫 AWS KMS。信箱金鑰放在快取中保護,絕對不會以純文字形式寫入磁碟。
### 授權使用 CMK
當 Amazon WorkMail 在密碼編譯操作中使用客戶主金鑰 (CMK) 時,它會代表信箱管理員。
若要代表您將 AWS KMS 客戶主金鑰 (CMK) 用於秘密,管理員必須具有下列許可。您可以在 IAM 政策或金鑰策略中指定這些必要的許可。
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:CreateGrant`
若要允許 CMK 僅用於源自 Amazon WorkMail 的請求,您可以使用 [kms:ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) 條件索引鍵搭配 `workmail..amazonaws.com`值。
您也可以使用[加密內容](#workmail-encryption-context)中的金鑰或值做為條件金鑰,以將 CMK 用於密碼編譯操作。例如,您可以在 IAM 或金鑰政策文件中使用字串條件運算子,或在授權中使用授權限制。
**AWS 受管 CMK 的金鑰政策**
Amazon WorkMail AWS 受管 CMK 的金鑰政策僅在 Amazon WorkMail 代表使用者提出請求時,才授予使用者將 CMK 用於指定操作的許可。金鑰政策不允許任何使用者直接使用 CMK。
此金鑰政策與所有 [AWS 受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)的政策一樣,都是由服務建立。您無法變更金鑰政策,但您可以隨時檢視。如需詳細資訊,請參閱[《 開發人員指南》中的檢視金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html)。 *AWS Key Management Service *
金鑰政策中的政策陳述式具有下列效果:
+ 允許帳戶和區域中的使用者使用 CMK 進行密碼編譯操作和建立授予,但僅限於請求來自 Amazon WorkMail 時。`kms:ViaService` 條件金鑰會強制實施此限制。
+ 允許 AWS 帳戶建立 IAM 政策,允許使用者檢視 CMK 屬性並撤銷授予。
以下是 Amazon WorkMail AWS 受管 CMK 範例的金鑰政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id" : "auto-workmail-1",
"Statement" : [ {
"Sid" : "Allow access through WorkMail for all principals in the account that are authorized to use WorkMail",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [ "kms:Decrypt", "kms:CreateGrant", "kms:ReEncrypt*", "kms:DescribeKey", "kms:Encrypt" ],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "workmail.us-east-1.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
}
}, {
"Sid" : "Allow direct access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:RevokeGrant" ],
"Resource" : "*"
} ]
}
```
------
**使用授予來授權 Amazon WorkMail**
除了金鑰政策之外,Amazon WorkMail 還會使用授予來為每個組織的 CMK 新增許可。若要查看帳戶中的 CMK,請使用 [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html) 操作。
Amazon WorkMail 使用授予將下列許可新增至組織的 CMK。
+ 新增 `kms:Encrypt` 許可,以允許 Amazon WorkMail 加密信箱金鑰。
+ 新增允許 Amazon WorkMail 使用 CMK 解密信箱金鑰的`kms:Decrypt`許可。Amazon WorkMail 在授予中需要此許可,因為請求讀取信箱訊息時,將會使用讀取訊息的使用者的安全內容。請求不會使用 AWS 帳戶的登入資料。當您為組織選取 CMK 時,Amazon WorkMail 會建立此授權。
若要建立授予,Amazon WorkMail 會代表建立組織的使用者來呼叫 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)。建立授與的許可來自金鑰政策。當 Amazon WorkMail 代表授權使用者提出請求時,此政策允許帳戶使用者在組織的 CMK `CreateGrant`上呼叫 。
金鑰政策也允許帳戶根撤銷 AWS 受管金鑰的授予。不過,如果您撤銷授予,Amazon WorkMail 無法解密信箱中的加密資料。
### Amazon WorkMail 加密內容
加密內容是一組金鑰/值對,其中包含任意非私密資料。當您在加密資料的請求中包含加密內容時, AWS KMS 會以加密方式將加密內容繫結至加密的資料。若要解密資料,您必須傳遞相同的加密內容。如需詳細資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)。
Amazon WorkMail 在所有 AWS KMS 密碼編譯操作中使用相同的加密內容格式。您可以使用加密內容來識別稽核記錄和日誌 (例如 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)) 中的這些密碼編譯操作,以及在政策和授與中做為授權的條件。
在其[加密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)和[解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)請求中 AWS KMS,Amazon WorkMail 會使用加密內容,其中金鑰為 ,`aws:workmail:arn`而值為組織的 Amazon Resource Name (ARN)。
```
"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization-ID"
```
例如,下列加密內容包含歐洲 (愛爾蘭) (`eu-west-1`) 區域中的範例組織 ARN。
```
"aws:workmail:arn":"arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
```
### 監控 Amazon WorkMail 與 的互動 AWS KMS
您可以使用 AWS CloudTrail 和 Amazon CloudWatch Logs 來追蹤 Amazon WorkMail AWS KMS 代表您傳送給 的請求。
#### 加密
當您建立信箱時,Amazon WorkMail 會產生信箱金鑰並呼叫 AWS KMS 來加密信箱金鑰。Amazon WorkMail 會使用 AWS KMS 純文字信箱金鑰和 Amazon WorkMail 組織的 CMK 識別符,將[加密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)請求傳送至 。
記錄 `Encrypt` 操作的事件類似於以下範例事件。使用者是 Amazon WorkMail 服務。這些參數包括 CMK ID (`keyId`) 和 Amazon WorkMail 組織的加密內容。Amazon WorkMail 也傳入信箱金鑰,但不會記錄在 CloudTrail 日誌中。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSService",
"invokedBy": "workmail.eu-west-1.amazonaws.com"
},
"eventTime": "2019-02-19T10:01:09Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "eu-west-1",
"sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
"userAgent": "workmail.eu-west-1.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
},
"keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
},
"responseElements": null,
"requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
"eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
"accountId": "111122223333",
"type": "AWS::KMS::Key"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}
```
#### 解密
當您新增、檢視或刪除信箱訊息時,Amazon WorkMail AWS KMS 會要求 解密信箱金鑰。Amazon WorkMail 會使用 AWS KMS 加密信箱金鑰和 Amazon WorkMail 組織的 CMK 識別符,將[解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)請求傳送至 。
記錄 `Decrypt` 操作的事件類似於以下範例事件。使用者是 Amazon WorkMail 服務。這些參數包括未記錄在日誌中的加密信箱金鑰 (做為加密文字 Blob),以及 Amazon WorkMail 組織的加密內容。 會從加密文字 AWS KMS 衍生 CMK 的 ID。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSService",
"invokedBy": "workmail.eu-west-1.amazonaws.com"
},
"eventTime": "2019-02-20T11:51:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "eu-west-1",
"sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
"userAgent": "workmail.eu-west-1.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
}
},
"responseElements": null,
"requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
"eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
"accountId": "111122223333",
"type": "AWS::KMS::Key"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}
```