【Security Hub修復手順】[KMS.3] AWS KMS キーを意図せずに削除してはいけません

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
2023.02.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[KMS.3] AWS KMS キーを意図せずに削除してはいけません

[KMS.3] AWS KMS keys should not be unintentionally deleted

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、KMSキーのうちカスタマーマネージドキーの削除がスケジュール済みかどうかをチェックします。

KMSキーの削除がスケジュール済みの場合、コントロールは失敗します。

KMSキーは、一度削除すると復元できません。また、KMSキーで暗号化されたデータも、KMSキーが削除された場合は永久に復元できません。

そのため、意図的にKMSキー削除を実行する場合の除き、削除をキャンセルをしましょう。

もちろん意図的に削除している場合、Security Hubで抑制済みにしてください。

ちなみに、削除できるキーは、カスタマーマネージドキーのみです。AWSマネージドキー または AWS所有のキーは、削除することはできませんので、コントロールの対象外になります。

修正手順

1 対象のKMSキーの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「KMS.3」を検索します。タイトルを選択します。
  2. リソースの欄から失敗しているカスタマーマネージドキーを確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • KMSキーは、意図的に削除しているか
    • 意図的であれば、抑制済みにします
    • 意図的でなければ、KMSキーの削除をキャンセルします

3 KMSキーの削除をキャンセル

  1. KMSのダッシュボードから対象である[ステータス]が削除保留中のKMSキーのエイリアスをクリックします。今回はtest-keyの削除をキャンセルします。
  2. [キーアクション]から[キーの削除をキャンセル]をクリックします。
  3. KMSキーの[ステータス]が、削除保留中でなくなれば、削除をキャンセルできたことになります。

これでKMSキーの削除をキャンセルすることができました! 削除すると、二度と復元できないため、キーの削除は慎重に行いましょう。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、平井でした!