Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien Überlegungen zur Aktivierung einer neuen IAM Identity Center-Instanz mit einem vom Kunden verwalteten KMS-Schlüssel

Überlegungen zu vom Kunden verwalteten KMS-Schlüsseln und erweiterten KMS-Schlüsselrichtlinien

Bei der Implementierung von vom Kunden verwalteten KMS-Schlüsseln mit IAM Identity Center sollten Sie diese Faktoren berücksichtigen, die sich auf die Einrichtung, Sicherheit und laufende Wartung Ihrer Verschlüsselungskonfiguration auswirken.

Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien

Bei der Entscheidung, ob die Verwendung der KMS-Schlüsselberechtigungen spezifischer gestaltet werden sollWichtige KMS-Richtlinienerklärungen für Fortgeschrittene, sollten Sie den Verwaltungsaufwand und die Sicherheitsanforderungen Ihres Unternehmens berücksichtigen. Spezifischere Richtlinienerklärungen bieten eine genauere Kontrolle darüber, wer den Schlüssel verwenden kann und für welche Zwecke. Sie müssen jedoch fortlaufend gewartet werden, wenn sich Ihre IAM Identity Center-Konfiguration weiterentwickelt. Wenn Sie beispielsweise die Verwendung des KMS-Schlüssels auf bestimmte AWS verwaltete Anwendungsbereitstellungen beschränken, müssen Sie die Schlüsselrichtlinie jedes Mal aktualisieren, wenn Ihre Organisation eine Anwendung bereitstellen oder deren Bereitstellung aufheben möchte. Weniger restriktive Richtlinien reduzieren den Verwaltungsaufwand, gewähren jedoch möglicherweise umfassendere Berechtigungen, als für Ihre Sicherheitsanforderungen erforderlich sind.

Überlegungen zur Aktivierung einer neuen IAM Identity Center-Instanz mit einem vom Kunden verwalteten KMS-Schlüssel

Die hier aufgeführten Überlegungen gelten, wenn Sie den Verschlüsselungskontext verwenden, wie unter Beschränken der Verwendung des KMS-Schlüssels auf eine bestimmte IAM Identity Center-Instanz beschrieben. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene

Wenn Sie eine neue IAM Identity Center-Instanz mit einem vom Kunden verwalteten KMS-Schlüssel aktivieren, ARNs sind das IAM Identity Center und der Identity Store erst nach der Einrichtung verfügbar. Ihnen stehen folgende Optionen zur Verfügung:

Verwenden Sie vorübergehend generische ARN-Muster und ersetzen Sie sie dann durch full, ARNs nachdem die Instanz aktiviert wurde. Denken Sie daran, nach Bedarf zwischen den StringLike Operatoren StringEquals und zu wechseln.
- Für IAM Identity Center SPN: „arn: $ {Partition} :sso: ::instance/*“.
- Für Identity Store SPN: „arn: $ {Partition} :identitystore: :$ {Account} :identitystore/*“.
Verwenden Sie vorübergehend „purpose:KEY_CONFIGURATION“ im ARN. Dies funktioniert nur bei der Instanzaktivierung und muss durch den tatsächlichen ARN ersetzt werden, damit Ihre IAM Identity Center-Instanz normal funktioniert. Der Vorteil dieses Ansatzes besteht darin, dass Sie nicht vergessen können, diesen zu ersetzen, nachdem die Instanz aktiviert wurde.
- Verwenden Sie für IAM Identity Center SPN: „arn: $ {Partition} :sso: ::instance/purpose:KEY_CONFIGURATION“
- Verwenden Sie für Identity Store SPN: „arn: $ {Partition} :identitystore: :$ {Account} :identityStore/purpose:KEY_CONFIGURATION“
Wichtig
Wenden Sie diese Konfiguration nicht auf einen KMS-Schlüssel an, der bereits in einer vorhandenen IAM Identity Center-Instanz verwendet wird, da dies den normalen Betrieb stören kann.
Lassen Sie die Bedingung für den Verschlüsselungskontext in der KMS-Schlüsselrichtlinie weg, bis die Instanz aktiviert ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene

Taggen von -Ressourcen