Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz im IAM Identity Center
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in AWS IAM Identity Center. AWS Ist, wie in diesem Modell beschrieben, für den Schutz der globalen Infrastruktur verantwortlich, auf der die gesamte AWS Cloud läuft. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben der von Ihnen verwendeten AWS Dienste verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)-Modell der geteilten Verantwortung und die GDPR*AWS im Blog zur *-Sicherheit.
Wir empfehlen Ihnen, Ihre Daten auf folgende Weise zu sichern:
+ Verwenden Sie die Multi-Faktor-Authentifizierung (MFA) mit IAM Identity Center.
+ Verwenden Sie TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.
Wir empfehlen dringend, niemals vertrauliche oder sensible Informationen, wie z. B. die E-Mail-Adressen Ihrer Kunden, in Tags oder frei formatierte Textfelder wie ein **Namensfeld einzugeben**. Dies gilt auch AWS IAM Identity Center, wenn Sie mit oder anderen AWS Diensten arbeiten, die Konsole, die API oder AWS SDKs verwenden. AWS CLI Alle Daten, die Sie in Tags oder Freiform-Textfelder für Namen eingeben, können für Diagnoseprotokolle verwendet werden.
## Verschlüsselung während der Übertragung
IAM Identity Center schützt Daten während der Übertragung zum und vom Service, indem alle Netzwerkdaten automatisch mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) 1.2 oder TLS 1.3 verschlüsselt werden. Direkte HTTPS-Anfragen, die mit IAM authentifiziert und an das IAM Identity Center APIs, die Identity Store API oder die OIDC API gesendet werden, werden mit dem [AWS Signature Version](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) 4-Algorithmus signiert, um eine sichere Verbindung herzustellen.
## Datenschutz
Mit IAM Identity Center behalten Sie die Kontrolle über die Daten Ihres Unternehmens. Ihre in IAM Identity Center gespeicherten Benutzer- und Gruppenidentitäten werden nur dann mit anderen AWS Diensten wie [AWS verwalteten Anwendungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html) geteilt, wenn Sie sie mit IAM Identity Center aktivieren und wenn diese Dienste sie benötigen.
Weitere Informationen finden Sie in den häufig gestellten Fragen zum [AWS Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/).
## Datenaufbewahrung
IAM Identity Center speichert Ihre Daten wie Benutzer- und Gruppenidentitäten sowie Metadaten, bis Sie sie aus dem Dienst löschen. Wenn Sie eine IAM Identity Center-Instanz löschen, werden die darin enthaltenen Daten ebenfalls gelöscht.
# Verschlüsselung im Ruhezustand
IAM Identity Center bietet Verschlüsselung zum Schutz von gespeicherten Kundendaten mithilfe der folgenden Schlüsseltypen:
+ **AWS-eigene Schlüssel (Standardschlüsseltyp)** — IAM Identity Center verwendet diese Schlüssel standardmäßig, um Ihre Daten automatisch zu verschlüsseln. Sie können ihre Verwendung nicht einsehen, verwalten, überprüfen oder AWS eigene Schlüssel für andere Zwecke verwenden. IAM Identity Center kümmert sich vollständig um die Schlüsselverwaltung, um die Sicherheit Ihrer Daten zu gewährleisten, ohne dass Sie Maßnahmen ergreifen müssen. Weitere Informationen finden Sie unter [AWS -eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im [https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ **Vom Kunden verwaltete Schlüssel** — In Unternehmensinstanzen von IAM Identity Center können Sie einen symmetrischen, vom Kunden verwalteten Schlüssel für die Verschlüsselung der übrigen Identitätsdaten Ihrer Belegschaft wie Benutzer- und Gruppenattribute wählen. Sie erstellen, besitzen und verwalten diese Verschlüsselungsschlüssel. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:
+ Einrichtung und Pflege wichtiger Richtlinien, um den Zugriff auf den Schlüssel nur auf IAM-Prinzipale zu beschränken, die Zugriff benötigen, wie z. B. IAM Identity Center und [AWS verwaltete Anwendungen](awsapps.md) darauf AWS Organizations und deren Administratoren.
+ Einrichtung und Pflege von IAM-Richtlinien für den Zugriff auf den Schlüssel, einschließlich kontoübergreifender Zugriffe
+ Aktivieren und Deaktivieren wichtiger Richtlinien
+ Kryptographisches Material mit rotierendem Schlüssel
+ Prüfung des Zugriffs auf Ihre Daten, für den ein Schlüsselzugriff erforderlich ist
+ Hinzufügen von -Tags
+ Erstellen von Schlüsselaliasen
+ Schlüssel für das Löschen von Schlüsseln planen
Informationen zur Implementierung eines vom Kunden verwalteten KMS-Schlüssels in IAM Identity Center finden Sie unter[Implementierung von vom Kunden verwalteten KMS-Schlüsseln in AWS IAM Identity Center](identity-center-customer-managed-keys.md). Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie im *AWS Key Management Service Entwicklerhandbuch* unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Anmerkung**
IAM Identity Center aktiviert automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener KMS-Schlüssel, um Kundendaten kostenlos zu schützen. Bei Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service Preisgestaltung](https://aws.amazon.com/kms/pricing/).
**Überlegungen zur Implementierung von vom Kunden verwalteten Schlüsseln:**
+ **Dedizierte Schlüssel**: Wir empfehlen, für jede IAM Identity Center-Instanz einen neuen dedizierten, vom Kunden verwalteten KMS-Schlüssel zu erstellen, anstatt einen vorhandenen Schlüssel wiederzuverwenden. Dieser Ansatz ermöglicht eine klarere Aufgabentrennung, vereinfacht die Verwaltung der Zugriffskontrolle und vereinfacht die Sicherheitsüberprüfung. Ein dedizierter Schlüssel reduziert auch das Risiko, da die Auswirkungen wichtiger Änderungen auf eine einzelne IAM Identity Center-Instanz begrenzt werden.
+ **Verwendung von IAM Identity Center für mehrere AWS-Regionen:** Wenn Sie planen, Ihre IAM Identity Center-Instanz auf eine weitere zu replizieren AWS-Regionen, müssen Sie einen vom Kunden verwalteten KMS-Schlüssel für die Verschlüsselung im Ruhezustand verwenden. Der standardmäßige AWS eigene KMS-Schlüsseltyp wird in einem multiregionalen IAM Identity Center nicht unterstützt. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
**Anmerkung**
IAM Identity Center verwendet [Umschlagverschlüsselung bei der Verschlüsselung](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption) der Identitätsdaten Ihrer Belegschaft. Ihr KMS-Schlüssel spielt die Rolle eines Wrapping-Schlüssels, der den Datenschlüssel verschlüsselt, der tatsächlich zur Verschlüsselung der Daten verwendet wird.
Weitere Informationen zu AWS KMS finden Sie unter [Was ist der AWS Schlüsselverwaltungsdienst](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)?
## IAM Identity Center-Verschlüsselungskontext
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) ist ein optionaler Satz nicht geheimer Schlüssel-Wert-Paare, die zusätzliche kontextbezogene Informationen zu den Daten enthalten. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben. Weitere Informationen zum Verschlüsselungskontext finden Sie im [AWS KMS Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html).
IAM Identity Center verwendet Verschlüsselungskontextschlüssel aus den folgenden Quellen: aws:sso:instance-arn, aws:identitystore:identitystore-arn und. tenant-key-id [Beispielsweise kann der folgende Verschlüsselungskontext in API-Vorgängen vorkommen, die von der IAM Identity Center API aufgerufen werden. AWS KMS](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Der folgende Verschlüsselungskontext kann in AWS KMS API-Vorgängen vorkommen, die von der [Identity](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) Store API aufgerufen werden.
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den kundenseitig verwalteten Schlüssel
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, kundenseitig verwalteten Schlüssel zu kontrollieren. Einige der wichtigsten Richtlinienvorlagen in der [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md) enthalten solche Bedingungen, um sicherzustellen, dass der Schlüssel nur mit einer bestimmten IAM Identity Center-Instanz verwendet wird.
## Überwachung Ihrer Verschlüsselungsschlüssel für IAM Identity Center
Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel mit Ihrer IAM Identity Center-Instance verwenden, können Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)oder [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden, um Anfragen zu verfolgen, an die IAM Identity Center sendet. AWS KMS Die KMS-API-Operationen, die IAM Identity Center aufruft, sind unter aufgeführt. [Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) CloudTrail Ereignisse für diese API-Operationen enthalten den Verschlüsselungskontext, der es Ihnen ermöglicht, AWS KMS API-Operationen zu überwachen, die von Ihrer IAM Identity Center-Instanz aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
Beispiel für einen Verschlüsselungskontext im CloudTrail Fall eines AWS KMS API-Vorgangs:
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS Speicherung, Verschlüsselung und Löschung von IAM Identity Center-Identitätsattributen durch verwaltete Anwendungen
Einige AWS verwaltete Anwendungen, die Sie bereitstellen AWS IAM Identity Center, wie AWS Systems Manager und Amazon CodeCatalyst, speichern bestimmte Benutzer- und Gruppenattribute aus IAM Identity Center in ihrem eigenen Datenspeicher. Die Verschlüsselung im Ruhezustand mit einem vom Kunden verwalteten KMS-Schlüssel in IAM Identity Center erstreckt sich nicht auf die IAM Identity Center-Benutzer- und Gruppenattribute, die in AWS verwalteten Anwendungen gespeichert sind. AWS verwaltete Anwendungen unterstützen verschiedene Verschlüsselungsmethoden für die von ihnen gespeicherten Daten. Und wenn Sie Benutzer- und Gruppenattribute in IAM Identity Center löschen, speichern diese AWS verwalteten Anwendungen diese Informationen möglicherweise auch nach dem Löschen in IAM Identity Center weiter. Informationen zur Verschlüsselung und Sicherheit der in den Anwendungen gespeicherten Daten finden Sie im Benutzerhandbuch Ihrer AWS verwalteten Anwendungen.
# Implementierung von vom Kunden verwalteten KMS-Schlüsseln in AWS IAM Identity Center
Kundenverwaltete Schlüssel sind AWS Schlüssel des Key Management Service, die Sie selbst erstellen, besitzen und verwalten. Gehen Sie wie folgt vor, um einen vom Kunden verwalteten KMS-Schlüssel für die Verschlüsselung im Ruhezustand in AWS IAM Identity Center zu implementieren:
**Wichtig**
Einige AWS verwaltete Anwendungen können nicht mit AWS IAM Identity Center verwendet werden, das mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Siehe [AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](awsapps-that-work-with-identity-center.md).
1. [Schritt 1: Identifizieren Sie Anwendungsfälle für Ihr Unternehmen](#identify-use-cases)- Um die richtigen Berechtigungen für die Verwendung des KMS-Schlüssels zu definieren, müssen Sie die relevanten Anwendungsfälle in Ihrem Unternehmen identifizieren. Die KMS-Schlüsselberechtigungen bestehen aus KMS-Schlüsselrichtlinienerklärungen und identitätsbasierten Richtlinien, die zusammenwirken, sodass die entsprechenden IAM-Prinzipale den KMS-Schlüssel für ihre spezifischen Anwendungsfälle verwenden können.
1. [Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](#choose-kms-key-policy-statements)- Wählen Sie auf der Grundlage der in Schritt 1 identifizierten Anwendungsfälle die entsprechenden Vorlagen für KMS-Schlüsselrichtlinienerklärungen aus und geben Sie die erforderlichen Kennungen und IAM-Prinzipalnamen ein. Beginnen Sie mit den grundlegenden KMS-Richtlinienaussagen und verfeinern Sie sie, falls Ihre Sicherheitsrichtlinien dies erfordern, wie unter Erweiterte KMS-Richtlinienerklärungen beschrieben.
1. [Schritt 3: Erstellen Sie einen vom Kunden verwalteten KMS-Schlüssel](#create-customer-managed-kms-key)- Erstellen Sie in KMS einen AWS KMS-Schlüssel, der die Anforderungen von IAM Identity Center erfüllt, und fügen Sie die in Schritt 2 erstellten KMS-Schlüsselrichtlinienanweisungen zur KMS-Schlüsselrichtlinie hinzu.
1. [Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels](#configure-iam-policies-kms-key)- Wählen Sie auf der Grundlage der in Schritt 1 identifizierten Anwendungsfälle entsprechende Vorlagen für IAM-Richtlinienerklärungen aus und bereiten Sie sie für die Verwendung vor, indem Sie den Schlüssel-ARN ARN. Erlauben Sie dann den IAM-Prinzipalen für jeden spezifischen Anwendungsfall, den KMS-Schlüssel kontenübergreifend zu verwenden, indem Sie die vorbereiteten IAM-Richtlinienerklärungen zu den IAM-Richtlinien der Principals hinzufügen.
1. [Schritt 5: Konfigurieren Sie den KMS-Schlüssel im IAM Identity Center](#configure-kms-key-in-iam-identity-center)- Aktivieren Sie den vom Kunden verwalteten KMS-Schlüssel in Ihrer IAM Identity Center-Instanz, um ihn für die Verschlüsselung im Ruhezustand zu verwenden.
## Schritt 1: Identifizieren Sie Anwendungsfälle für Ihr Unternehmen
Bevor Sie Ihren vom Kunden verwalteten KMS-Schlüssel erstellen und konfigurieren, identifizieren Sie Ihre Anwendungsfälle und bereiten Sie die erforderlichen KMS-Schlüsselberechtigungen vor. Weitere Informationen zur [AWS KMS-Schlüsselrichtlinie finden Sie im KMS-Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
IAM-Prinzipale, die den IAM Identity Center-Dienst APIs aufrufen, benötigen Berechtigungen. Ein delegierter Administrator kann beispielsweise APIs über eine Berechtigungssatzrichtlinie autorisiert werden, diese zu verwenden. Wenn IAM Identity Center mit einem vom Kunden verwalteten Schlüssel konfiguriert ist, müssen IAM-Prinzipale auch über Berechtigungen zur Verwendung der KMS-API über den IAM Identity Center-Dienst verfügen. APIs Sie definieren diese KMS-API-Berechtigungen an zwei Stellen: in der KMS-Schlüsselrichtlinie und in den IAM-Richtlinien, die den IAM-Prinzipalen zugeordnet sind.
Die KMS-Schlüsselberechtigungen bestehen aus:
1. KMS-Schlüsselrichtlinienanweisungen, die Sie für den KMS-Schlüssel bei seiner Erstellung in angeben[Schritt 3: Erstellen Sie einen vom Kunden verwalteten KMS-Schlüssel](#create-customer-managed-kms-key).
1. IAM-Richtlinienanweisungen für IAM-Prinzipale, die Sie [Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels](#configure-iam-policies-kms-key) nach der Erstellung des KMS-Schlüssels angeben.
In der folgenden Tabelle sind die relevanten Anwendungsfälle und IAM-Prinzipale aufgeführt, für die Berechtigungen zur Verwendung Ihres KMS-Schlüssels erforderlich sind.
| Anwendungsfall | IAM-Prinzipale, die Berechtigungen zur Verwendung des KMS-Schlüssels benötigen | Erforderlich/optional |
| --- | --- | --- |
| Verwendung von AWS IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Erforderlich |
| Verwendung AWS verwalteter Anwendungen mit IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Optional |
| Verwendung von AWS Control Tower auf der AWS IAM Identity Center-Instanz, die sie aktiviert hat | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Optional |
| SSO zu Amazon EC2 EC2-Instances mit AWS IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Optional |
| Jeder andere Anwendungsfall, bei dem der IAM Identity Center-Service APIs mit IAM-Prinzipalen aufgerufen wird, wie z. B. vom Kunden verwaltete Anwendungen, Workflows zur Bereitstellung von Berechtigungssätzen oder Funktionen AWS Lambda | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Optional |
**Anmerkung**
Für mehrere in der Tabelle aufgeführte IAM-Prinzipale sind KMS-API-Berechtigungen erforderlich. AWS Um Ihre Benutzer- und Gruppendaten in IAM Identity Center zu schützen, rufen jedoch nur IAM Identity Center- und Identity Store-Dienste die KMS-API direkt auf. AWS
## Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor
Nachdem Sie die für Ihr Unternehmen relevanten Anwendungsfälle identifiziert haben, können Sie die entsprechenden wichtigsten KMS-Richtlinienerklärungen vorbereiten.
1. Wählen Sie die wichtigsten KMS-Richtlinienerklärungen aus, die den Anwendungsfällen für Ihre Organisation entsprechen. Beginnen Sie mit den grundlegenden Richtlinienvorlagen. Wenn Sie spezifischere Richtlinien benötigen, die auf Ihren Sicherheitsanforderungen basieren, können Sie die Richtlinienerklärungen anhand der Beispiele unter ändern[Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md). Hinweise zu dieser Entscheidung finden Sie unter[Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline). Darüber hinaus [Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen](baseline-KMS-key-policy.md) enthält jeder Basisabschnitt entsprechende Überlegungen.
1. Kopieren Sie die entsprechenden Richtlinien in einen Editor und fügen Sie die erforderlichen Kennungen und IAM-Prinzipalnamen in die wichtigsten KMS-Richtlinienerklärungen ein. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unter. [Wo finde ich die erforderlichen Kennungen](#find-the-required-identifiers)
Im Folgenden finden Sie grundlegende Richtlinienvorlagen für jeden Anwendungsfall. Für die Verwendung eines KMS-Schlüssels ist nur der erste Satz von Berechtigungen für AWS IAM Identity Center erforderlich. Wir empfehlen Ihnen, die entsprechenden Unterabschnitte zu lesen, um weitere anwendungsfallspezifische Informationen zu erhalten.
+ [Grundlegende KMS-Richtlinienerklärungen für die Verwendung von IAM Identity Center (erforderlich)](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-iam-identity-center-mandatory)
+ [Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)
+ [Grundlegende KMS-Schlüsselaussage für die Verwendung von AWS Control Tower](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-specific-use-cases)
+ [Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung von IAM Identity Center für Amazon EC2 EC2-Instances](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-sso-to-amazon-ec2-windows-instances)
+ [Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung benutzerdefinierter Workflows mit IAM Identity Center](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**Wichtig**
Seien Sie vorsichtig, wenn Sie KMS-Schlüsselrichtlinien für Schlüssel ändern, die bereits von IAM Identity Center verwendet werden. IAM Identity Center validiert zwar die Verschlüsselungs- und Entschlüsselungsberechtigungen bei der ersten Konfiguration eines KMS-Schlüssels, kann jedoch nachfolgende Richtlinienänderungen nicht verifizieren. Wenn Sie versehentlich die erforderlichen Berechtigungen entfernen, kann dies den normalen Betrieb Ihres IAM Identity Center stören. Anleitungen zur Behebung häufiger Fehler im Zusammenhang mit vom Kunden verwalteten Schlüsseln in IAM Identity Center finden Sie unter. [Beheben Sie Probleme mit vom Kunden verwalteten Schlüsseln in AWS IAM Identity Center](cmk-related-errors.md)
**Anmerkung**
Für das IAM Identity Center und der zugehörige Identity Store sind Service-Level-Berechtigungen erforderlich, um Ihren vom Kunden verwalteten KMS-Schlüssel verwenden zu können. Diese Anforderung gilt auch für AWS verwaltete Anwendungen, die den IAM Identity Center-Dienst APIs mithilfe von Dienstanmeldedaten aufrufen. In anderen Anwendungsfällen, in denen der IAM Identity Center-Dienst APIs mit [Forward-Access-Sitzungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) aufgerufen wird, benötigt nur der initiierende IAM-Prinzipal (z. B. ein Administrator) KMS-Schlüsselberechtigungen. Insbesondere Endbenutzer, die das AWS Zugriffsportal und AWS verwaltete Anwendungen verwenden, benötigen keine direkten KMS-Schlüsselberechtigungen, da sie über die jeweiligen Dienste erteilt werden.
## Schritt 3: Erstellen Sie einen vom Kunden verwalteten KMS-Schlüssel
Sie können mit der AWS Management Console oder dem AWS KMS APIs einen vom Kunden verwalteten Schlüssel erstellen. Fügen Sie bei der Erstellung des Schlüssels die in Schritt 2 erstellten KMS-Schlüsselrichtlinienanweisungen zur KMS-Schlüsselrichtlinie hinzu. Ausführliche Anweisungen, einschließlich Anleitungen zur standardmäßigen KMS-Schlüsselrichtlinie, finden Sie im [AWS Key Management Service Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/).
Der Schlüssel muss die folgenden Anforderungen erfüllen:
+ Der KMS-Schlüssel muss sich in derselben AWS Region befinden wie die IAM Identity Center-Instanz
+ Sie können entweder einen Schlüssel für mehrere Regionen oder einen Schlüssel für eine einzelne Region wählen. Wenn Sie IAM Identity Center jedoch mehrfach verwenden möchten, müssen AWS-Regionen Sie einen KMS-Schlüssel für mehrere Regionen erstellen. Sie können einen KMS-Schlüssel mit einer Region nicht in einen KMS-Schlüssel mit mehreren Regionen konvertieren. Wir empfehlen daher, mit einem KMS-Schlüssel für mehrere Regionen zu beginnen, es sei denn, Sie haben spezielle Anforderungen, einen KMS-Schlüssel für eine einzelne Region zu verwenden.
+ Der KMS-Schlüssel muss ein symmetrischer Schlüssel sein, der für die Verwendung zum Verschlüsseln und Entschlüsseln konfiguriert ist
+ Der KMS-Schlüssel muss sich in demselben AWS Organizations Verwaltungskonto befinden wie die Organisationsinstanz von IAM Identity Center
**Anmerkung**
Wenn Sie planen, diesen KMS-Schlüssel in Regionen zu replizieren, in denen Sie Ihr IAM Identity Center replizieren möchten, empfehlen wir Ihnen, zuerst die Einrichtung in diesem Abschnitt abzuschließen und dann den Anweisungen unter zu folgen [Replizieren Sie IAM Identity Center in eine weitere Region](replicate-to-additional-region.md)
## Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels
Jeder IAM-Prinzipal, der den IAM Identity Center-Dienst APIs von einem anderen AWS Konto aus verwendet, z. B. delegierte IAM Identity Center-Administratoren, benötigt ebenfalls eine IAM-Richtlinienerklärung, die die Verwendung des KMS-Schlüssels über diese Konten ermöglicht. APIs
Für jeden in Schritt 1 identifizierten Anwendungsfall gilt Folgendes:
1. Suchen Sie die entsprechenden Vorlagen für IAM-Richtlinienanweisungen unter Basis-KMS-Schlüssel und IAM-Richtlinienanweisungen.
1. Kopieren Sie die Vorlagen in einen Editor und geben Sie den Schlüssel ARN ein, der jetzt nach der Erstellung des KMS-Schlüssels in Schritt 3 verfügbar ist. Hilfe bei der Suche nach dem ARN-Schlüsselwert finden Sie unter[Wo finde ich die erforderlichen Kennungen](#find-the-required-identifiers).
1. Suchen Sie in der AWS-Managementkonsole nach der IAM-Richtlinie des IAM-Prinzipals, der dem Anwendungsfall zugeordnet ist. Der Speicherort dieser Richtlinie hängt vom Anwendungsfall und davon ab, wie der Zugriff gewährt wird.
+ Für den Zugriff, der direkt in IAM gewährt wird, können Sie in der IAM-Konsole nach IAM-Prinzipalen suchen, z. B. nach IAM-Rollen.
+ Für den Zugriff, der über IAM Identity Center gewährt wird, finden Sie den entsprechenden Berechtigungssatz in der IAM Identity Center-Konsole.
1. Fügen Sie die anwendungsfallspezifischen IAM-Richtlinienanweisungen zur IAM-Rolle hinzu und speichern Sie die Änderung.
**Anmerkung**
Bei den hier beschriebenen IAM-Richtlinien handelt es sich um identitätsbasierte Richtlinien. Solche Richtlinien können zwar IAM-Benutzern, -Gruppen und -Rollen zugewiesen werden, wir empfehlen jedoch, wenn möglich, IAM-Rollen zu verwenden. Weitere Informationen zu IAM-Rollen im Vergleich zu IAM-Benutzern finden Sie im IAM-Benutzerhandbuch.
### Zusätzliche Konfiguration in einigen verwalteten Anwendungen AWS
Bei einigen AWS verwalteten Anwendungen müssen Sie eine Servicerolle konfigurieren, damit die Anwendungen den IAM Identity Center-Dienst APIs nutzen können. Wenn Ihr Unternehmen AWS verwaltete Anwendungen mit IAM Identity Center verwendet, führen Sie für jede bereitgestellte Anwendung die folgenden Schritte aus:
1. Überprüfen Sie im Benutzerhandbuch der Anwendung, ob die Berechtigungen aktualisiert wurden und nun auch Berechtigungen für KMS-Schlüssel für die Verwendung der Anwendung mit IAM Identity Center enthalten.
1. Falls ja, aktualisieren Sie die Berechtigungen gemäß den Anweisungen im Benutzerhandbuch der Anwendung, um Störungen des Anwendungsbetriebs zu vermeiden.
**Anmerkung**
Wenn Sie sich nicht sicher sind, ob eine AWS verwaltete Anwendung diese Berechtigungen verwendet, empfehlen wir Ihnen, die Benutzerhandbücher aller bereitgestellten AWS verwalteten Anwendungen zu lesen. Sie müssen diese Konfiguration nur einmal für jede Anwendung durchführen, für die die Konfiguration erforderlich ist.
## Schritt 5: Konfigurieren Sie den KMS-Schlüssel im IAM Identity Center
**Wichtig**
Bevor Sie mit diesem Schritt fortfahren:
Stellen Sie sicher, dass Ihre AWS verwalteten Anwendungen mit vom Kunden verwalteten KMS-Schlüsseln kompatibel sind. Eine Liste kompatibler Anwendungen finden Sie unter [AWS Verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html). Wenn Sie inkompatible Anwendungen haben, fahren Sie nicht fort.
Konfigurieren Sie die erforderlichen Berechtigungen für die Verwendung des KMS-Schlüssels. Ohne die entsprechenden Berechtigungen kann dieser Schritt fehlschlagen oder die IAM Identity Center-Verwaltung, die Verwendung AWS verwalteter Anwendungen und andere Anwendungsfälle, für die KMS-Schlüsselberechtigungen erforderlich sind, unterbrechen. Weitere Informationen finden Sie unter [Schritt 1: Identifizieren Sie Anwendungsfälle für Ihr Unternehmen](#identify-use-cases).
Stellen Sie sicher, dass Berechtigungen für AWS verwaltete Anwendungen und vom Kunden verwaltete Anwendungen, die den IAM Identity Center-Dienst APIs mit IAM-Rollen aufrufen, auch die Verwendung des KMS-Schlüssels über den IAM Identity Center-Dienst zulassen. APIs Bei einigen AWS verwalteten Anwendungen müssen Sie Berechtigungen, wie z. B. eine Servicerolle, für deren Verwendung konfigurieren. APIs Prüfen Sie im Benutzerhandbuch jeder bereitgestellten AWS verwalteten Anwendung, ob Sie bestimmte KMS-Schlüsselberechtigungen hinzufügen müssen.
### Geben Sie einen KMS-Schlüssel an, wenn Sie eine neue Organisationsinstanz von IAM Identity Center aktivieren
Wenn Sie eine neue Organisationsinstanz von IAM Identity Center aktivieren, können Sie bei der Einrichtung einen vom Kunden verwalteten KMS-Schlüssel angeben. Dadurch wird sichergestellt, dass die Instanz Ihren Schlüssel von Anfang an für die Verschlüsselung im Ruhezustand verwendet. Bevor Sie beginnen, finden Sie weitere Informationen unter[Überlegungen zu vom Kunden verwalteten KMS-Schlüsseln und erweiterten KMS-Schlüsselrichtlinien](considerations-for-customer-managed-kms-keys-advanced.md).
1. Erweitern Sie auf der Seite **„IAM Identity Center aktivieren**“ den Abschnitt **Verschlüsselung im Ruhezustand**.
1. Wählen Sie **Manage Encryption** (Verschlüsselung verwalten).
1. Wählen Sie Vom **Kunden verwalteter Schlüssel** aus.
1. Führen Sie für **den KMS-Schlüssel** einen der folgenden Schritte aus:
1. **Wählen Sie Aus Ihren KMS-Schlüsseln** auswählen und wählen Sie den Schlüssel, den Sie erstellt haben, aus der Dropdownliste aus.
1. Wählen **Sie Enter KMS key ARN** und geben Sie den vollständigen ARN Ihres Schlüssels ein.
1. Wählen Sie **Speichern**.
1. Wählen Sie **Aktivieren**, um die Einrichtung abzuschließen.
Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html).
### Ändern Sie die Schlüsselkonfiguration für eine bestehende Organisationsinstanz von IAM Identity Center
Sie können Ihren vom Kunden verwalteten KMS-Schlüssel jederzeit in einen anderen Schlüssel ändern oder AWS zu einem eigenen Schlüssel wechseln.
------
#### [ Console ]
**Um die Konfiguration Ihres KMS-Schlüssels zu ändern**
1. Öffnen Sie die IAM Identity Center-Konsole unter [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie die Registerkarte **Zusätzliche Einstellungen** aus.
1. Wählen Sie **Verschlüsselung verwalten** aus.
1. Wählen Sie eine der folgenden Optionen:
1. Vom **Kunden verwalteter Schlüssel** — Wählen Sie einen anderen vom Kunden verwalteten Schlüssel aus der Dropdownliste aus oder geben Sie einen neuen Schlüssel-ARN ein.
1. **AWS Eigener Schlüssel** — Wechseln Sie zur Standardverschlüsselungsoption.
1. Wählen Sie **Speichern**.
------
#### [ AWS CLI ]
**Um eine bestehende Organisationsinstanz von IAM Identity Center so zu ändern, dass sie den vom Kunden verwalteten KMS-Schlüssel verwendet**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration \
KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
**Um eine bestehende Organisationsinstanz von IAM Identity Center so zu ändern, dass sie einen eigenen Schlüssel verwendet AWS **
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```
------
**Vom Kunden verwaltete wichtige Überlegungen**
+ Die Aktualisierung der KMS-Schlüsselkonfiguration für den Betrieb von IAM Identity Center hat keine Auswirkungen auf aktive Benutzersitzungen in Ihrem IAM Identity Center. Während dieses Vorgangs können Sie das AWS Zugriffsportal, die IAM Identity Center-Konsole und den IAM Identity Center-Dienst APIs weiterhin verwenden.
+ Wenn Sie zu einem neuen KMS-Schlüssel wechseln, überprüft IAM Identity Center, ob der Schlüssel erfolgreich für die Verschlüsselung und Entschlüsselung verwendet werden kann. Wenn Sie bei der Einrichtung der Schlüssel- oder IAM-Richtlinie einen Fehler gemacht haben, zeigt die Konsole eine erklärende Fehlermeldung an, und der vorherige KMS-Schlüssel wird weiterhin verwendet.
+ Die standardmäßige jährliche KMS-Schlüsselrotation erfolgt automatisch. Informationen zu Themen wie [Schlüsselrotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), [Überwachung von AWS KMS Schlüsseln und [Steuerung des Zugriffs auf das Löschen](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html) finden Sie im [AWS KMS Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
**Wichtig**
Wenn der von Ihrer IAM Identity Center-Instanz verwendete, vom Kunden verwaltete KMS-Schlüssel gelöscht, deaktiviert oder aufgrund einer falschen KMS-Schlüsselrichtlinie nicht zugänglich ist, können Ihre Belegschaftsbenutzer und IAM Identity Center-Administratoren IAM Identity Center nicht verwenden. Der Verlust des Zugriffs kann je nach den Umständen vorübergehend (eine wichtige Richtlinie kann korrigiert werden) oder dauerhaft (ein gelöschter Schlüssel kann nicht wiederhergestellt werden) sein. Wir empfehlen Ihnen, [den Zugriff auf kritische Vorgänge wie das Löschen oder Deaktivieren des KMS-Schlüssels zu beschränken](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html). Außerdem empfehlen wir, dass Ihr Unternehmen [AWS glasklare Zugriffsverfahren einrichtet,](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) um sicherzustellen, dass Ihre privilegierten Benutzer auch dann Zugriff AWS haben, wenn auf IAM Identity Center nicht zugegriffen werden kann.
## Wo finde ich die erforderlichen Kennungen
Bei der Konfiguration von Berechtigungen für Ihren vom Kunden verwalteten KMS-Schlüssel benötigen Sie spezifische AWS Ressourcen-IDs, um die Vorlagen für Schlüsselrichtlinien und IAM-Richtlinienerklärungen auszufüllen. Fügen Sie die erforderlichen Kennungen (z. B. die Organisations-ID) und die IAM-Prinzipalnamen in die wichtigsten KMS-Richtlinienerklärungen ein.
Im Folgenden finden Sie eine Anleitung zum Auffinden dieser Kennungen in der AWS Management Console.
**IAM Identity Center Amazon-Ressourcenname (ARN) und Identitätsspeicher-ARN**
Eine IAM Identity Center-Instanz ist eine AWS Ressource mit einem eigenen eindeutigen ARN wie arn:aws:sso: ::instance/ssoins-1234567890abcdef. Der ARN folgt dem Muster, das im Abschnitt IAM Identity Center-Ressourcentypen der Service Authorization Reference dokumentiert ist.
Jeder IAM Identity Center-Instanz ist ein Identity Store zugeordnet, in dem die Benutzer- und Gruppenidentitäten gespeichert werden. Ein Identity Store hat eine eindeutige Kennung namens Identity Store ID (z. B. d-123456789a). Der ARN folgt dem Muster, das im Abschnitt Identity Store-Ressourcentypen der [Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html) dokumentiert ist.
Sie finden sowohl die ARN- als auch die Identity Store-ID-Werte auf der Einstellungsseite Ihres IAM Identity Center. Die Identity Store-ID befindet sich auf der Registerkarte Identitätsquelle.
**AWS Organizations ID (ID)**
Wenn Sie eine Organisations-ID (z. B. o-exampleorg1) in Ihrer Schlüsselrichtlinie angeben möchten, finden Sie ihren Wert auf der Einstellungsseite Ihres IAM Identity Center und der Organisationskonsole. Der ARN folgt dem Muster, das im Abschnitt Ressourcentypen für Organizations der Service Authorization Reference dokumentiert ist.
**KMS-Schlüssel ARN**
Sie finden den ARN eines KMS-Schlüssels in der AWS KMS Konsole. Wählen Sie links vom Kunden verwaltete Schlüssel aus, klicken Sie auf den Schlüssel, dessen ARN Sie nachschlagen möchten, und Sie werden ihn im Abschnitt Allgemeine Konfiguration sehen. Der ARN folgt dem Muster, das im Abschnitt AWS KMS Ressourcentypen der Service Authorization Reference dokumentiert ist.
Weitere Informationen zu den wichtigsten Richtlinien AWS KMS und zur Problembehandlung bei AWS KMS Berechtigungen finden Sie im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zu IAM-Richtlinien und ihrer JSON-Darstellung finden Sie im IAM-Benutzerhandbuch.
# Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen
Die hier bereitgestellten grundlegenden Richtlinien für KMS-Schlüssel und Identitäten dienen als Grundlage für allgemeine Anforderungen. Wir empfehlen Ihnen außerdem, zu überprüfen[Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md), ob detailliertere Zugriffskontrollen vorgesehen sind, z. B. sicherzustellen, dass der KMS-Schlüssel nur einer bestimmten IAM Identity Center-Instanz oder verwalteten Anwendung zugänglich ist. AWS Bevor Sie erweiterte KMS-Schlüsselrichtlinienerklärungen verwenden, lesen Sie die. [Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline)
Die folgenden Abschnitte enthalten grundlegende Richtlinienaussagen für jeden Anwendungsfall. Erweitern Sie die Abschnitte, die Ihren Anwendungsfällen entsprechen, und kopieren Sie die wichtigsten KMS-Richtlinienerklärungen. Kehren Sie dann zu zurück[Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements).
## Grundlegende KMS-Richtlinienerklärungen für die Verwendung von IAM Identity Center (erforderlich)
Verwenden Sie die folgende Vorlage für wichtige KMS-Richtlinien, [Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) um IAM Identity Center, dem zugehörigen Identity Store und IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
+ Geben Sie im Element Principal für Administratorrichtlinienanweisungen die AWS Kontenprinzipale der Administratorkonten des IAM Identity Center an, d. h. das AWS Organisationsverwaltungskonto und das delegierte Administratorkonto, und verwenden Sie dabei das Format „arn:aws:iam: :111122223333:root“.
+ Ersetzen Sie im Element das Beispiel durch die IAM-Rollen der IAM Identity Center-Administratoren. PrincipalArn ARNs
Sie können entweder Folgendes angeben:
+ Spezifischer ARN für IAM-Rollen:
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678"`
+ Platzhaltermuster (empfohlen):
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"`
Die Verwendung des Platzhalters (`*`) verhindert den Verlust des Zugriffs, wenn der Berechtigungssatz gelöscht und neu erstellt wird, da Identity Center neue eindeutige Identifikatoren für neu erstellte Berechtigungssätze generiert. Eine Beispielimplementierung finden Sie unter. [Beispiel für eine benutzerdefinierte Vertrauensrichtlinie](referencingpermissionsets.md#custom-trust-policy-example)
+ Geben Sie im SourceAccount Element die IAM Identity Center-Konto-ID an.
+ Identity Store hat seinen eigenen Dienstprinzipal`identitystore.amazonaws.com`, dem die Verwendung des KMS-Schlüssels gestattet werden muss.
+ Diese Richtlinienerklärungen ermöglichen es Ihren IAM Identity Center-Instanzen in einem bestimmten AWS Konto, den KMS-Schlüssel zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md) Sie können für jedes AWS Konto nur eine IAM Identity Center-Instanz haben.
Die wichtigsten Richtlinienerklärungen von KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, [Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) um IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
+ Ersetzen Sie den Beispielschlüssel-ARN im `Resource` Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unter[Wo finde ich die erforderlichen Kennungen](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Diese IAM-Richtlinienanweisungen gewähren KMS-Schlüsselzugriff auf den IAM-Prinzipal, schränken jedoch nicht ein, welcher AWS Dienst die Anfrage stellen kann. Die KMS-Schlüsselrichtlinie sieht in der Regel diese Diensteinschränkungen vor. Sie können dieser IAM-Richtlinie jedoch einen Verschlüsselungskontext hinzufügen, um die Nutzung auf eine bestimmte Identity Center-Instanz zu beschränken. Einzelheiten finden Sie unter [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md).
Für delegierte Administratoren von IAM Identity Center sind IAM-Richtlinienerklärungen erforderlich
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
}
]
}
```
## Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen AWS
**Anmerkung**
Einige AWS verwaltete Anwendungen können nicht verwendet werden, wenn IAM Identity Center mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Weitere Informationen finden Sie unter [AWS Verwaltete Anwendungen, die mit IAM Identity Center funktionieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Verwenden Sie die folgende Vorlage für eine KMS-Schlüsselrichtlinie[Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements), um sowohl AWS verwalteten Anwendungen als auch ihren Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
+ Geben Sie Ihre AWS Organizations ID in die PrincipalOrg ID und die SourceOrgId Bedingungen ein. Hilfe bei der Suche nach den Werten der referenzierten Identifikatoren finden Sie unter[Wo finde ich die erforderlichen Kennungen](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Diese Richtlinienerklärungen ermöglichen es allen Ihren AWS verwalteten Anwendungen und allen IAM-Prinzipalen (Anwendungsadministratoren) in der AWS Organisation, kms: Decrypt mithilfe von IAM Identity Center und Identity Store zu verwenden. Informationen zur Beschränkung dieser Richtlinienerklärungen auf bestimmte AWS verwaltete Anwendungen, Konten oder IAM Identity Center-Instanzen finden Sie unter. [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md)
Sie können den Zugriff auf bestimmte Anwendungsadministratoren einschränken, indem Sie ihn durch bestimmte IAM-Prinzipale ` *` ersetzen. Um sich vor Änderungen der IAM-Rollennamen bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den Ansatz in. [Beispiel für eine benutzerdefinierte Vertrauensrichtlinie](referencingpermissionsets.md#custom-trust-policy-example) Weitere Informationen finden Sie unter [Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
Wichtige KMS-Richtlinienerklärungen
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen[Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key), um Administratoren AWS verwalteter Anwendungen die Verwendung des KMS-Schlüssels von einem Mitgliedskonto aus zu ermöglichen.
+ Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unter[Wo finde ich die erforderlichen Kennungen](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Bei einigen AWS verwalteten Anwendungen müssen Sie Berechtigungen für den IAM Identity Center-Dienst konfigurieren. APIs Bevor Sie einen vom Kunden verwalteten Schlüssel in IAM Identity Center konfigurieren, stellen Sie sicher, dass diese Berechtigungen auch die Verwendung des KMS-Schlüssels zulassen. Spezifische Berechtigungsanforderungen für KMS-Schlüssel finden Sie in der Dokumentation der einzelnen AWS verwalteten Anwendungen, die Sie bereitgestellt haben.
Für Administratoren AWS verwalteter Anwendungen sind IAM-Richtlinienerklärungen erforderlich:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Grundlegende KMS-Schlüsselaussage für die Verwendung von AWS Control Tower
Verwenden Sie die folgenden Vorlagen für KMS-Schlüsselanweisungen[Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements), um AWS Control Tower Tower-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
+ Geben Sie im Principal-Element die IAM-Prinzipale an, die für den Zugriff auf den IAM Identity Center-Dienst verwendet werden. APIs *Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter [Einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).*
+ Diese Richtlinienerklärungen ermöglichen es AWS Control Tower Tower-Administratoren, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. AWS Control Tower schränkt jedoch den Zugriff auf die Organisationsinstanz von IAM Identity Center in derselben AWS Organisation ein. Aufgrund dieser Einschränkung hat eine weitere Beschränkung des KMS-Schlüssels auf eine bestimmte IAM Identity Center-Instanz keinen praktischen Nutzen, wie unter beschrieben. [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md)
+ Um sich vor Änderungen des IAM-Rollennamens bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den in der beschriebenen Ansatz. [Beispiel für eine benutzerdefinierte Vertrauensrichtlinie](referencingpermissionsets.md#custom-trust-policy-example)
KMS-Schlüsselrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
AWS Control Tower unterstützt keine delegierte Administration, weshalb Sie keine IAM-Richtlinie für seine Administratoren konfigurieren müssen.
**Wichtig**
Die vorstehende Grundsatzerklärung bezieht sich AWS Control Tower auf vom Service verwaltete Vorgänge, wie z. B. die automatische Registrierung von Konten, wobei diese Rolle übernommen wird. AWS Control Tower `AWSControlTowerAdmin` Für vom Kunden initiierte Vorgänge wie die Bereitstellung von Konten über Account Factory oder AWS Control Tower APIs direkte Anrufe AWS Control Tower verwendet es jedoch [Forward Access Sessions (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) und arbeitet unter der eigenen IAM-Rolle des Kunden. Das bedeutet, dass für die IAM-Rolle, mit der Sie diese Vorgänge initiieren, auch `kms:Decrypt` Berechtigungen für den vom Kunden verwalteten KMS-Schlüssel erforderlich sind.
Fügen Sie neben den obigen Aussagen die folgenden wichtigen `AWSControlTowerAdmin` KMS-Richtlinienerklärungen hinzu. Ersetzen *MyControlTowerRole* Sie es durch den ARN der IAM-Rolle AWS Control Tower, mit der Sie interagieren, z. B. eine IAM Identity Center-Berechtigungssatz-Rolle (z. B.`AWSReservedSSO_PermissionSetName_*`), eine benutzerdefinierte IAM-Rolle für die Automatisierung oder eine andere Rolle, die zum Aufrufen von oder verwendet wird. AWS Control Tower AWS Service Catalog APIs
Grundsatzerklärung von KMS für vom Kunden initiierte Abläufe: AWS Control Tower
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityCenterForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityStoreForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
## Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung von IAM Identity Center für Amazon EC2 EC2-Instances
Verwenden Sie die folgende Vorlage für KMS-Schlüsselrichtlinien, [Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) um Benutzern von Single Sign-On (SSO) Amazon EC2 EC2-Instances die kontenübergreifende Verwendung des KMS-Schlüssels zu ermöglichen.
+ Geben Sie im Feld Principal die IAM-Prinzipale an, die für den Zugriff auf das IAM Identity Center verwendet werden. *Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter [Einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).*
+ Diese Richtlinienerklärung ermöglicht es allen Ihren IAM Identity Center-Instances, den KMS-Schlüssel zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md)
+ Um sich vor Änderungen der IAM-Rollennamen bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den im Beispiel für eine benutzerdefinierte Vertrauensrichtlinie beschriebenen Ansatz.
Anweisung für die KMS-Schlüsselrichtlinie
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, [Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) um SSO für EC2-Instances die Verwendung des KMS-Schlüssels zu ermöglichen.
Hängen Sie die IAM-Richtlinienerklärung an den vorhandenen Berechtigungssatz in IAM Identity Center an, den Sie verwenden, um SSO-Zugriff auf Amazon EC2 EC2-Instances zu gewähren. Beispiele für IAM-Richtlinien finden Sie unter [Remote Desktop Protocol-Verbindungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-iam-policy-examples) im *AWS Systems Manager Manager-Benutzerhandbuch*.
+ Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unter[Wo finde ich die erforderlichen Kennungen](identity-center-customer-managed-keys.md#find-the-required-identifiers).
IAM-Richtlinie für den Berechtigungssatz:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung benutzerdefinierter Workflows mit IAM Identity Center
Verwenden Sie die folgenden Vorlagen für wichtige KMS-Richtlinienerklärungen, [Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) um benutzerdefinierten Workflows, wie z. B. vom Kunden verwalteten Anwendungen, im AWS Organizations Verwaltungskonto oder im delegierten Administratorkonto die Verwendung des KMS-Schlüssels zu ermöglichen. Beachten Sie, dass für den SAML-Verbund mit vom Kunden verwalteten Anwendungen keine KMS-Schlüsselberechtigungen erforderlich sind.
+ Geben Sie im Principal-Element die IAM-Prinzipale an, die für den Zugriff auf den IAM Identity Center-Dienst verwendet werden. APIs *Weitere Informationen zu IAM-Prinzipalen finden Sie unter [Einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) im IAM-Benutzerhandbuch.*
+ Diese Richtlinienerklärungen ermöglichen es Ihrem Workflow, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md)
+ Um sich vor Änderungen des IAM-Rollennamens bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den in der beschriebenen Ansatz. [Beispiel für eine benutzerdefinierte Vertrauensrichtlinie](referencingpermissionsets.md#custom-trust-policy-example)
KMS-Schlüsselrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, [Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) um dem mit dem benutzerdefinierten Workflow verknüpften IAM-Prinzipal die kontenübergreifende Verwendung des KMS-Schlüssels zu ermöglichen. Fügen Sie die IAM-Richtlinienerklärung zum IAM-Prinzipal hinzu.
+ Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unter[Wo finde ich die erforderlichen Kennungen](identity-center-customer-managed-keys.md#find-the-required-identifiers).
IAM-Richtlinienerklärung (nur für die kontoübergreifende Verwendung erforderlich):
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Beispiele für wichtige KMS-Richtlinienerklärungen für allgemeine Anwendungsfälle
### IAM Identity Center mit delegierten Administratoren und verwalteten Anwendungen AWS
Dieser Abschnitt enthält Beispiele für wichtige KMS-Richtlinienanweisungen, die Sie für eine IAM Identity Center-Instanz verwenden können, die über delegierte Administratoren und verwaltete Anwendungen verfügt. AWS
**Wichtig**
Bei den wichtigsten KMS-Richtlinienanweisungen wird davon ausgegangen, dass Ihre IAM Identity Center-Instanz nicht in anderen Anwendungsfällen verwendet wird, für die KMS-Schlüsselberechtigungen erforderlich sind. Zur Bestätigung können Sie alle [Anwendungsfälle](identity-center-customer-managed-keys.md#identify-use-cases) überprüfen. Weitere Informationen darüber, ob für Ihre AWS verwalteten Anwendungen eine zusätzliche Konfiguration erforderlich ist, finden Sie unter [Zusätzliche Konfiguration in einigen verwalteten Anwendungen AWS](identity-center-customer-managed-keys.md#additional-config-in-some-aws-apps)
Kopieren Sie die wichtigsten KMS-Richtlinienanweisungen unter der Tabelle und fügen Sie sie Ihrer KMS-Schlüsselrichtlinie hinzu. In diesem Beispiel werden die folgenden Beispielwerte verwendet:
+ `111122223333`— Konto-ID der IAM Identity Center-Instanz
+ `444455556666`— Konto-ID für delegierte Administratoren
+ `o-a1b2c3d4e5`- AWS Organisations-ID
+ ` arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*`— Ein Platzhaltermuster der IAM-Rolle eines IAM Identity Center-Administrators, die über den Berechtigungssatz bereitgestellt wurde. *Admin* Eine solche Rolle enthält den Regionalcode der primären Region (in diesem Beispiel us-east-1).
+ ` arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*`— Ein Platzhaltermuster für die IAM-Rolle eines delegierten IAM Identity Center-Administrators, die über den Berechtigungssatz bereitgestellt wurde. *DelegatedAdmin* Eine solche Rolle enthält den Regionalcode der primären Region (in diesem Beispiel us-east-1).
Wenn die IAM-Rolle nicht anhand eines Berechtigungssatzes generiert wurde, sieht die IAM-Rolle wie eine reguläre aus, z. B. `arn:aws:iam::111122223333:role/idcadmin`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
# Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene
Verwenden Sie erweiterte KMS-Schlüsselrichtlinienerklärungen, um detailliertere Zugriffskontrollen für Ihren vom Kunden verwalteten KMS-Schlüssel zu implementieren. Diese Richtlinien bauen auf dem auf, [Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen](baseline-KMS-key-policy.md) indem sie Verschlüsselungskontextbedingungen und dienstspezifische Einschränkungen hinzufügen. Bevor Sie entscheiden, ob Sie erweiterte KMS-Schlüsselrichtlinienerklärungen verwenden möchten, sollten Sie sich mit den entsprechenden Überlegungen vertraut machen.
## Verwenden Sie den Verschlüsselungskontext, um den Zugriff einzuschränken
Sie können die Verwendung von KMS-Schlüsseln auf eine bestimmte IAM Identity Center-Instanz beschränken, indem Sie in Ihren wichtigsten Richtlinienerklärungen eine Bedingung für den Verschlüsselungskontext angeben. In den grundlegenden wichtigen Richtlinienaussagen ist dieser Kontext bereits mit einem generischen Wert enthalten. Ersetzen Sie den Platzhalter „\$1“ durch einen bestimmten Identity Center-Instanz-ARN und einen Identity Store-ARN, um sicherzustellen, dass der Schlüssel nur mit Ihrer beabsichtigten Instanz funktioniert. Sie können der IAM-Richtlinie, die für die kontoübergreifende Verwendung des KMS-Schlüssels konfiguriert ist, auch dieselben Bedingungen für den Verschlüsselungskontext hinzufügen.
Identity Center
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Identitätsspeicher
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
Wenn Sie Hilfe bei der Suche nach diesen Identifikatoren benötigen, finden Sie weitere Informationen unter[Wo finde ich die erforderlichen Kennungen](identity-center-customer-managed-keys.md#find-the-required-identifiers).
**Anmerkung**
Sie können einen vom Kunden verwalteten KMS-Schlüssel nur mit einer Organisationsinstanz von IAM Identity Center verwenden. Der vom Kunden verwaltete Schlüssel muss sich im Verwaltungskonto der AWS Organisation befinden. Dadurch wird sichergestellt, dass der Schlüssel mit einer einzelnen IAM Identity Center-Instanz verwendet wird. Der Verschlüsselungskontextmechanismus bietet jedoch einen unabhängigen technischen Schutz für die Verwendung einer einzelnen Instanz. Sie können den `aws:SourceArn` Bedingungsschlüssel auch in den KMS-Schlüsselrichtlinienerklärungen verwenden, die für die Identity Center- und Identity Store-Dienstprinzipale vorgesehen sind.
### Überlegungen zur Implementierung von Bedingungen für den Verschlüsselungskontext
Bevor Sie die Bedingungen für den Verschlüsselungskontext implementieren, sollten Sie die folgenden Anforderungen überprüfen:
+ **DescribeKey Aktion.** Der Verschlüsselungskontext kann nicht auf die Aktion „kms:DescribeKey“ angewendet werden, die von IAM Identity Center-Administratoren verwendet werden kann. Schließen Sie bei der Konfiguration Ihrer KMS-Schlüsselrichtlinie den Verschlüsselungskontext für diese spezielle Aktion aus, um den ordnungsgemäßen Betrieb Ihrer IAM Identity Center-Instanz sicherzustellen.
+ **Einrichtung einer neuen Instanz.** Wenn Sie eine neue IAM Identity Center-Instanz mit einem vom Kunden verwalteten KMS-Schlüssel aktivieren, finden Sie weitere Informationen unter[Überlegungen zu vom Kunden verwalteten KMS-Schlüsseln und erweiterten KMS-Schlüsselrichtlinien](considerations-for-customer-managed-kms-keys-advanced.md).
+ **Änderungen der Identitätsquelle.** Wenn Sie Ihre Identitätsquelle zu oder von Active Directory ändern, muss dem Verschlüsselungskontext besondere Aufmerksamkeit geschenkt werden. Siehe [Überlegungen zur Änderung Ihrer Identitätsquelle](manage-your-identity-source-considerations.md).
## Richtlinienvorlagen
Wählen Sie je nach Ihren Sicherheitsanforderungen aus diesen erweiterten Richtlinienvorlagen. Sorgen Sie für ein ausgewogenes Verhältnis zwischen detaillierten Zugriffskontrollen und dem damit verbundenen Verwaltungsaufwand.
Themen, die hier behandelt werden:
+ [KMS-Richtlinienanweisungen für die schreibgeschützte Verwendung einer bestimmten IAM Identity Center-Instanz](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). In diesem Abschnitt wird die Verwendung des Verschlüsselungskontextes für den schreibgeschützten Zugriff auf IAM Identity Center demonstriert.
+ [Die wichtigsten KMS-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen wurden verfeinert AWS](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). In diesem Abschnitt wird gezeigt, wie Sie die KMS-Schlüsselrichtlinien für AWS verwaltete Anwendungen mithilfe des Verschlüsselungskontextes und der Anwendungsinformationen wie dem Anwendungsdienstprinzipal, dem Anwendungs-ARN und der AWS Konto-ID verfeinern können.
## KMS-Richtlinienanweisungen für die schreibgeschützte Verwendung einer bestimmten IAM Identity Center-Instanz
Diese Richtlinie ermöglicht es [Sicherheitsprüfern](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) und anderen Mitarbeitern, die nur Lesezugriff auf IAM Identity Center benötigen, den KMS-Schlüssel zu verwenden.
So verwenden Sie diese Richtlinie:
1. Ersetzen Sie das Beispiel für schreibgeschützte Administrator-IAM-Prinzipale durch Ihre tatsächlichen Administrator-IAM-Prinzipale
1. Ersetzen Sie den Beispiel-ARN für eine IAM Identity Center-Instanz durch Ihren tatsächlichen Instanz-ARN
1. Ersetzen Sie den Beispiel-Identity Store-ARN durch Ihren tatsächlichen Identity Store-ARN
1. Wenn Sie [delegierte Administration](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) verwenden, finden Sie weitere Informationen unter [Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)
Wenn Sie Hilfe bei der Suche nach den Werten dieser Bezeichner benötigen, finden Sie unter. [Wo finde ich die erforderlichen Kennungen](identity-center-customer-managed-keys.md#find-the-required-identifiers)
Nachdem Sie die Vorlage mit Ihren Werten aktualisiert haben, kehren Sie zu zurück, [Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) um bei Bedarf weitere wichtige KMS-Richtlinienerklärungen vorzubereiten.
Die Aktion kms: Entschlüsseln allein schränkt den Zugriff nicht auf schreibgeschützte Operationen ein. Die IAM-Richtlinie muss den schreibgeschützten Zugriff auf den IAM Identity Center-Dienst erzwingen. APIs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## Die wichtigsten KMS-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen wurden verfeinert AWS
Diese Richtlinienvorlagen bieten eine detailliertere Kontrolle darüber, welche AWS verwalteten Anwendungen Ihren KMS-Schlüssel verwenden können.
**Anmerkung**
Einige AWS verwaltete Anwendungen können nicht mit IAM Identity Center verwendet werden, das mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Sehen Sie sich [AWS verwaltete Anwendungen an, die Sie mit IAM Identity Center verwenden können](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
[Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)Sie ermöglichen es jeder AWS verwalteten Anwendung von jedem Konto in derselben AWS Organisation, den KMS-Schlüssel zu verwenden. Verwenden Sie diese verfeinerten Richtlinien, um den Zugriff wie folgt einzuschränken:
+ Principal des Anwendungsdienstes
+ Anwendungsinstanz ARNs
+ AWS Konto IDs
+ Verschlüsselungskontext für bestimmte IAM Identity Center-Instanzen
**Anmerkung**
Ein Service Principal ist eine eindeutige Kennung für einen AWS Service, die normalerweise als servicename.amazonaws.com formatiert ist (z. B. elasticmapreduce.amazonaws.com für Amazon EMR).
### Nach Konto einschränken
Diese Vorlage für eine KMS-Schlüsselrichtlinie ermöglicht es einer AWS verwalteten Anwendung in bestimmten AWS Konten, den KMS-Schlüssel mithilfe einer bestimmten IAM Identity Center-Instanz zu verwenden.
So verwenden Sie diese Richtlinie:
1. Ersetzen Sie den Beispiel-Serviceprinzipal durch Ihren tatsächlichen Anwendungsdienstprinzipal
1. Ersetzen Sie das Beispielkonto IDs durch das tatsächliche Konto IDs , auf dem Ihre AWS verwalteten Anwendungen bereitgestellt werden
1. Ersetzen Sie den Beispiel-Identity Store-ARN durch Ihren tatsächlichen Identity Store-ARN
1. Ersetzen Sie den Beispiel-ARN für eine IAM Identity Center-Instanz durch Ihren tatsächlichen Instanz-ARN
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### Nach Anwendungsinstanz einschränken
Diese Vorlage für eine KMS-Schlüsselrichtlinie ermöglicht es einer bestimmten AWS verwalteten Anwendungsinstanz, den KMS-Schlüssel mithilfe einer bestimmten IAM Identity Center-Instanz zu verwenden.
So verwenden Sie diese Richtlinie:
1. Ersetzen Sie den Beispiel-Serviceprinzipal durch Ihren tatsächlichen Anwendungsdienstprinzipal
1. Ersetzen Sie den ARN der Beispielanwendung durch den ARN Ihrer tatsächlichen Anwendungsinstanz
1. Ersetzen Sie den Beispiel-Identity Store-ARN durch Ihren tatsächlichen Identity Store-ARN
1. Ersetzen Sie den Beispiel-ARN für eine IAM Identity Center-Instanz durch Ihren tatsächlichen Instanz-ARN
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# Überlegungen zu vom Kunden verwalteten KMS-Schlüsseln und erweiterten KMS-Schlüsselrichtlinien
Bei der Implementierung von vom Kunden verwalteten KMS-Schlüsseln mit IAM Identity Center sollten Sie diese Faktoren berücksichtigen, die sich auf die Einrichtung, Sicherheit und laufende Wartung Ihrer Verschlüsselungskonfiguration auswirken.
## Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien
Bei der Entscheidung, ob die Verwendung der KMS-Schlüsselberechtigungen spezifischer gestaltet werden soll[Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md), sollten Sie den Verwaltungsaufwand und die Sicherheitsanforderungen Ihres Unternehmens berücksichtigen. Spezifischere Richtlinienerklärungen bieten eine genauere Kontrolle darüber, wer den Schlüssel verwenden kann und für welche Zwecke. Sie müssen jedoch fortlaufend aktualisiert werden, wenn sich Ihre IAM Identity Center-Konfiguration weiterentwickelt. Wenn Sie beispielsweise die Verwendung des KMS-Schlüssels auf bestimmte AWS verwaltete Anwendungsbereitstellungen beschränken, müssen Sie die Schlüsselrichtlinie jedes Mal aktualisieren, wenn Ihre Organisation eine Anwendung bereitstellen oder deren Bereitstellung aufheben möchte. Weniger restriktive Richtlinien reduzieren den Verwaltungsaufwand, gewähren jedoch möglicherweise umfassendere Berechtigungen, als für Ihre Sicherheitsanforderungen erforderlich sind.
## Überlegungen zur Aktivierung einer neuen IAM Identity Center-Instanz mit einem vom Kunden verwalteten KMS-Schlüssel
Die hier aufgeführten Überlegungen gelten, wenn Sie den Verschlüsselungskontext verwenden, wie unter Beschränken der Verwendung des KMS-Schlüssels auf eine bestimmte IAM Identity Center-Instanz beschrieben. [Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene](advanced-kms-policy.md)
Wenn Sie eine neue IAM Identity Center-Instanz mit einem vom Kunden verwalteten KMS-Schlüssel aktivieren, ARNs sind das IAM Identity Center und der Identity Store erst nach der Einrichtung verfügbar. Ihnen stehen folgende Optionen zur Verfügung:
+ Verwenden Sie vorübergehend generische ARN-Muster und ersetzen Sie sie dann durch full, ARNs nachdem die Instanz aktiviert wurde. Denken Sie daran, nach Bedarf zwischen den StringLike Operatoren StringEquals und zu wechseln.
+ Für IAM Identity Center SPN: „arn: \$1 \$1Partition\$1 :sso: ::instance/\$1“.
+ Für Identity Store SPN: „arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :identitystore/\$1“.
+ Verwenden Sie vorübergehend „purpose:KEY\$1CONFIGURATION“ im ARN. Dies funktioniert nur bei der Instanzaktivierung und muss durch den tatsächlichen ARN ersetzt werden, damit Ihre IAM Identity Center-Instanz normal funktioniert. Der Vorteil dieses Ansatzes besteht darin, dass Sie nicht vergessen können, diesen zu ersetzen, nachdem die Instanz aktiviert wurde.
+ Verwenden Sie für IAM Identity Center SPN: „arn: \$1 \$1Partition\$1 :sso: ::instance/purpose:KEY\$1CONFIGURATION“
+ Verwenden Sie für Identity Store SPN: „arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :identityStore/purpose:KEY\$1CONFIGURATION“
**Wichtig**
Wenden Sie diese Konfiguration nicht auf einen KMS-Schlüssel an, der bereits in einer vorhandenen IAM Identity Center-Instanz verwendet wird, da dies den normalen Betrieb stören kann.
+ Lassen Sie die Bedingung für den Verschlüsselungskontext in der KMS-Schlüsselrichtlinie weg, bis die Instanz aktiviert ist.