エンタープライズ鍵管理ガイド、Quip

Enterprise Key Management (EKM) を使用すると、Salesforce Anywhere (Quip) データの暗号化に使用されるキーを制御できます。作成したキーはコンテンツの暗号化にのみ使用されます。Quip はそれらのキーを制御できず、ユーザーが許可したアクセスのみを制御します。

このガイドでは、初期設定とログ記録から、キーのローテーションと取り消しまで、EKM 展開の設定手順を説明します。EKM についての詳細は、Quip のセキュリティページを参照してください。

EKM の設定

1. ロールアウトを計画する

設定を開始する前に、Quip 担当者と協力してドキュメントを暗号化するためのロールアウト計画とスケジュールを定義します。暗号化された新しいスレッドの割合を徐々に増やしてから既存のすべてのコンテンツを完全に切り替えか、すべてのコンテンツを同時にすばやく展開するかにかかわらず、テストと検証のニーズに合わせて展開をカスタマイズできます。

ロールアウトの計画を開始するには、Quip 担当者に連絡してください。展開の期間は、テストと検証のニーズ、および Quip インスタンスのサイズによって異なります。

2. キーを作成する

Amazon KMS を設定します。KMS の製品の概要と開始方法ガイドを参照してください。
1. KMS カスタムキーストアを介して CloudHSM を使用することもできます。
KMS で 3 つのキーを作成します。
1. KMS のキーの作成ガイドに記載されているキー作成の手順に従います。
2. ステップ 4 の [キーの使用アクセス許可を定義] で [別の AWS アカウント] までスクロールダウンし、[別の AWS アカウントを追加する] をクリックして Quip AWS アカウント番号を入力します。
  1. Quip がキーに直接アクセスすることはありません。ここで Quip AWS アカウントを追加すると、Quip が暗号化された素材を AWS KMS API を使用して送信し、暗号化解除された素材を API 応答として取得する権限を付与することになりますが、その他のアクセス権は付与されません。
3. VPC の EKM を設定しない場合、次のリージョンにキーを作成する必要があります。
  1. プライマリキー: us-west-2
  2. バックアップキー 1: us-east-2
  3. バックアップキー 2: us-west-1
    
    VPC の EKM を設定している場合、Quip 担当者と協力して適切なリージョンを選択します。

3. 設定プロセスを開始する

暗号化プロセスを開始する準備ができたら (展開計画があり、KMS でキーを作成したら)、管理コンソールでそのことを示します。

管理コンソールの [高度なシールドセキュリティ] タブに移動します。
[エンタープライズ鍵管理] 見出しの下にある [設定を開始] をクリックします。
情報を読み、理解していることを確認して [次へ] をクリックします。
キーの ARN を入力し、[次へ] をクリックします。
1. この手順を完了する前に、適切な権限が付与されていることを確認してください。
2. ARN は AWS コンソールで見つけることができます。KMS サービスに移動し、左サイドバーで [カスタマー管理型のキー] をクリックします。次に、各キーをクリックし、それぞれのキーページに移動します。[ARN] の下にある arn:aws:kms で始まる文字列全体を管理コンソールに入力します。
すべてが正しく入力されていることを再確認し、[設定を開始] をクリックします。
これで、展開計画に従って設定が開始されます。展開の期間は、テストと検証のニーズ、および Quip インスタンスのサイズによって異なります。

キーアクセスの取り消し

単一ドキュメントへのアクセス権の取り消し

単一ドキュメントへのアクセス権を取り消すことで、対象を絞ったセキュリティの脅威または懸念事項に対応できます。これにより、すべてのユーザー、Quip 従業員、Quip サービスを含む全員がそのドキュメントを暗号化解除してアクセスできないようにする一方で、ユーザーは残りの Quip コンテンツに継続してアクセスできます。

スレッドへのアクセス権を取り消すには、Quip 管理コンソールと AWS KMS 管理コンソールの両方を使用します。

まず、ドキュメントへのアクセス権を取り消すために使用するシークレット文書 ID を取得します。これを行う手順は、次のとおりです。

Quip 管理コンソールの [高度なシールドセキュリティ] タブに移動します。
[文書 ID を取得] をクリックします。
アクセスをブロックするドキュメントの URL を貼り付けて、[文書 ID を取得] をクリックします。
次のモーダル画面で返される文書 ID をコピーします。この ID は、後でアクセス権を復元する場合に必要になるため、安全な場所 (Quip の外部) に保存します。ドキュメントへのアクセス権が取り消されている間、このルックアップツールは機能しません。

その識別子を取得したら、次の方法で特定のコンテンツへのアクセス権を取り消します。

AWS コンソールを開き、KMS サービスに移動します。
いずれかのキーをクリックし、[キーポリシー] と表示されている場所までスクロールダウンして [編集] をクリックします。
次のポリシーを貼り付けます。

{
    "Sid":"Deny decryption access to a specific document",
    "Effect":"Deny",
    "Principal": {
        "AWS": "arn:aws:iam::QUIP_AWS_ACCOUNT:root"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContext:RootID":"DOCUMENT_ID"
        }
    }
},

プレースホルダ QUIP_AWS_ACCOUNT を EKM の設定時にアクセス権を付与したアカウント番号に置き換えます。
1. 次で始まるキーポリシーのステートメントを検索することで、アカウント番号を見つけることもできます。「Sid: Allow use of key, Effect:Allow」。それらの行のすぐ下に、アカウント番号を含む同様の「Principal」ステートメントがあります。
キーポリシーテンプレート内のプレースホルダ DOCUMENT_ID を文書 ID に置き換えます。
1. 必要に応じて、Sid を編集してドキュメントの名前を含めることができます ("Sid":"Deny decryption access to doc "2020 Financials", など)。
ポリシーを保存します。
3 つのキーそれぞれでステップ 2 ～ 5 を繰り返します。
次に、Quip 管理コンソールの [高度なシールドセキュリティ] タブに戻ります。
1. スクロールダウンして [文書をクリア] ボタンをクリックします。
2. 文書 ID を入力し、[ダウンロードをクリア] をクリックして、すべてのダウンロードとキャッシュからドキュメントをクリアします。

ドキュメントへのアクセス権を復元するには、KMS の [キーポリシー] セクションから追加したポリシーを削除し、再度 [文書をクリア] フローを使用して、Quip で新しいキーポリシーを強制的に有効にします。

サイト全体へのアクセス権の取り消し

カスタマー管理型のキーへの Quip サービスのアクセス権を取り消すには、AWS KMS ドキュメントの説明に従ってキーを無効にします。これにより、すべてのユーザー、Quip 従業員、および Quip サービスを含む全員によるコンテンツの復号化とアクセスを防止できます。

必ず 3 つのキーをすべて無効にしてください。
カスタマー管理型のキーが無効な間、ユーザーはどのコンテンツにもアクセスできません。Quip コンテンツの残りは通常稼働のまま、単一スレッドの復号化アクセス権を取り消す場合は、上記の「単一ドキュメントへのアクセス権の取り消し」を参照してください。

コンテンツがすべてのキャッシュ、検索インデックス、およびユーザーがダウンロードしたアプリケーションからすぐにクリアされるようにするには、管理コンソールの [ダウンロードをクリア] オプションも使用する必要があります。

Quip サイトの管理コンソールを読み込み、[高度なシールドセキュリティ] タブに移動します。
[エンタープライズ鍵管理] 見出しの下にある [ダウンロードをクリア] セクションまでスクロールダウンします。
[サイトをクリア] ボタンをクリックして確認します。

コンテンツの復号化を再度有効にするには、キーを再度有効にし、[サイトをクリア] ボタンを再度クリックしてキー設定をすぐに有効にします。