企业级KMS 密钥策略审计方案
背景
企业会拥有多个KMS密钥,分布在不同帐号,并由不同的团队创建和管理这些密钥 - 每个团队负责自己账户中的KMS密钥。
一个常见的场景是:有些KMS密钥策略会提供比所需的权限更广泛的访问权限(例如多个账户中的主体有权解密该KMS密钥)。所以安全团队要监控在所有账户中是否存在其他KMS密钥策略存在这种问题。
本章介绍在多账户中可视化的 KMS 密钥策略。目标是识别不符合安全最佳实践的策略,可能会导致安全事件。我们将构建一个自动化解决方案,在Quicksight Dashboard中可视化和分析所有 KMS 密钥策略。内容如下:
- 了解如何使用 Lambda 和 DynamoDB 来识别账户中的 KMS 密钥、相关的密钥策略以及关注点
- 使用 S3、Glue 和 Athena 来聚合数据
- 构建一个单一的 Quicksight 仪表板来可视化结果
架构如下:
示例 Quicksight Dashboard:
