Verschlüsselung im Ruhezustand - AWS IAM Identity Center
IAM Identity Center-VerschlüsselungskontextVerwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten SchlüsselÜberwachung Ihrer Verschlüsselungsschlüssel für IAM Identity CenterAWS Speicherung, Verschlüsselung und Löschung von IAM Identity Center-Identitätsattributen durch verwaltete Anwendungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand

Anmerkung

Kundenverwaltete KMS-Schlüssel für AWS IAM Identity Center sind derzeit in ausgewählten AWS Regionen verfügbar.

IAM Identity Center bietet Verschlüsselung zum Schutz von gespeicherten Kundendaten mithilfe der folgenden Schlüsseltypen:

  • AWS-eigene Schlüssel (Standardschlüsseltyp) — IAM Identity Center verwendet diese Schlüssel standardmäßig, um Ihre Daten automatisch zu verschlüsseln. Sie können ihre Verwendung nicht einsehen, verwalten, überprüfen oder AWS eigene Schlüssel für andere Zwecke verwenden. IAM Identity Center kümmert sich vollständig um die Schlüsselverwaltung, um die Sicherheit Ihrer Daten zu gewährleisten, ohne dass Sie Maßnahmen ergreifen müssen. Weitere Informationen finden Sie unter AWS -eigene Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

  • Vom Kunden verwaltete Schlüssel — In Unternehmensinstanzen von IAM Identity Center können Sie einen symmetrischen, vom Kunden verwalteten Schlüssel für die Verschlüsselung der übrigen Identitätsdaten Ihrer Belegschaft wie Benutzer- und Gruppenattribute wählen. Sie erstellen, besitzen und verwalten diese Verschlüsselungsschlüssel. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:

    • Einrichtung und Pflege wichtiger Richtlinien, um den Zugriff auf den Schlüssel nur auf IAM-Prinzipale zu beschränken, die Zugriff benötigen, wie z. B. das IAM Identity Center und die AWS darin verwalteten Anwendungen AWS Organizations sowie deren Administratoren.

    • Einrichtung und Pflege von IAM-Richtlinien für den Zugriff auf den Schlüssel, einschließlich kontoübergreifender Zugriffe

    • Aktivieren und Deaktivieren wichtiger Richtlinien

    • Kryptographisches Material mit rotierendem Schlüssel

    • Prüfung des Zugriffs auf Ihre Daten, für den ein Schlüsselzugriff erforderlich ist

    • Hinzufügen von Tags

    • Erstellen von Schlüsselaliasen

    • Schlüssel für das Löschen von Schlüsseln planen

Informationen zur Implementierung eines vom Kunden verwalteten KMS-Schlüssels in IAM Identity Center finden Sie unterImplementierung von vom Kunden verwalteten KMS-Schlüsseln in AWS IAM Identity Center. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie im AWS Key Management Service Entwicklerhandbuch unter Vom Kunden verwaltete Schlüssel.

Anmerkung

IAM Identity Center aktiviert automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener KMS-Schlüssel, um Kundendaten kostenlos zu schützen. Bei Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service Preisgestaltung.

Überlegungen zur Implementierung von vom Kunden verwalteten Schlüsseln:

  • Ausnahme für bestehende Sitzungen: Die Verschlüsselung im Ruhezustand mit einem vom Kunden verwalteten Schlüssel gilt auch für Personalidentitätsdaten wie Benutzer- und Gruppenattribute, die vorübergehend in Benutzersitzungen gespeichert werden. Wenn Sie einen vom Kunden verwalteten Schlüssel in IAM Identity Center konfigurieren, wird der vom Kunden verwaltete Schlüssel verwendet, um Personalidentitätsdaten in neuen Sitzungen zu verschlüsseln. In Sitzungen, die vor der Veröffentlichung dieser Funktion initiiert wurden, bleiben Personalidentitätsdaten standardmäßig verschlüsselt, AWS-eigene Schlüssel bis die Sitzung abläuft (maximal 90 Tage) oder beendet wird. Zu diesem Zeitpunkt werden diese Daten automatisch gelöscht.

  • Dedizierte Schlüssel: Wir empfehlen, für jede IAM Identity Center-Instanz einen neuen dedizierten, vom Kunden verwalteten KMS-Schlüssel zu erstellen, anstatt einen vorhandenen Schlüssel wiederzuverwenden. Dieser Ansatz ermöglicht eine klarere Aufgabentrennung, vereinfacht die Verwaltung der Zugriffskontrolle und vereinfacht die Sicherheitsüberprüfung. Ein eigener Schlüssel reduziert auch das Risiko, da die Auswirkungen wichtiger Änderungen auf eine einzelne IAM Identity Center-Instanz begrenzt werden.

Anmerkung

IAM Identity Center verwendet Umschlagverschlüsselung bei der Verschlüsselung der Identitätsdaten Ihrer Belegschaft. Ihr KMS-Schlüssel spielt die Rolle eines Wrapping-Schlüssels, der den Datenschlüssel verschlüsselt, der tatsächlich zur Verschlüsselung der Daten verwendet wird.

Weitere Informationen zu AWS KMS finden Sie unter Was ist der AWS Key Management Service?

IAM Identity Center-Verschlüsselungskontext

Ein Verschlüsselungskontext ist ein optionaler Satz nicht geheimer Schlüssel-Wert-Paare, die zusätzliche kontextbezogene Informationen zu den Daten enthalten. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben. Weitere Informationen zum Verschlüsselungskontext finden Sie im KMS-Entwicklerhandbuch.

IAM Identity Center verwendet Verschlüsselungskontextschlüssel aus den folgenden Quellen: aws:sso:instance-arn, aws:identitystore:identitystore-arn und. tenant-key-id Beispielsweise kann der folgende Verschlüsselungskontext in API-Vorgängen vorkommen, die von der IAM Identity Center API aufgerufen werden. AWS KMS 


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

Der folgende Verschlüsselungskontext kann in AWS KMS API-Vorgängen vorkommen, die von der Identity Store API aufgerufen werden. 


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren. Einige der wichtigsten Richtlinienvorlagen in der Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene enthalten solche Bedingungen, um sicherzustellen, dass der Schlüssel nur mit einer bestimmten IAM Identity Center-Instanz verwendet wird.

Überwachung Ihrer Verschlüsselungsschlüssel für IAM Identity Center

Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel mit Ihrer IAM Identity Center-Instance verwenden, können Sie AWS CloudTrailoder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, an die IAM Identity Center sendet. AWS KMS Die KMS-API-Operationen, die IAM Identity Center aufruft, sind unter aufgeführt. Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor CloudTrail Ereignisse für diese API-Operationen enthalten den Verschlüsselungskontext, der es Ihnen ermöglicht, AWS KMS API-Operationen zu überwachen, die von Ihrer IAM Identity Center-Instanz aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

Beispiel für einen Verschlüsselungskontext im CloudTrail Fall eines AWS KMS API-Vorgangs: 


"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }

AWS Speicherung, Verschlüsselung und Löschung von IAM Identity Center-Identitätsattributen durch verwaltete Anwendungen

Einige AWS verwaltete Anwendungen, die Sie bereitstellen AWS IAM Identity Center, wie AWS Systems Manager und Amazon CodeCatalyst, speichern bestimmte Benutzer- und Gruppenattribute aus IAM Identity Center in ihrem eigenen Datenspeicher. Die Verschlüsselung im Ruhezustand mit einem vom Kunden verwalteten KMS-Schlüssel in IAM Identity Center erstreckt sich nicht auf die IAM Identity Center-Benutzer- und Gruppenattribute, die in AWS verwalteten Anwendungen gespeichert sind. AWS verwaltete Anwendungen unterstützen verschiedene Verschlüsselungsmethoden für die von ihnen gespeicherten Daten. Und wenn Sie Benutzer- und Gruppenattribute in IAM Identity Center löschen, speichern diese AWS verwalteten Anwendungen diese Informationen möglicherweise auch nach dem Löschen in IAM Identity Center weiter. Informationen zur Verschlüsselung und Sicherheit der in den Anwendungen gespeicherten Daten finden Sie im Benutzerhandbuch Ihrer AWS verwalteten Anwendungen.