Declaraciones de política clave avanzadas de KMS - AWS IAM Identity Center
Utilizar el contexto de cifrado para restringir el accesoPlantillas de política de Declaraciones de política de KMS para el uso de solo lectura de una instancia específica del IAM Identity CenterSe han perfeccionado las principales declaraciones de política de KMS para el uso de aplicaciones gestionadas AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Declaraciones de política clave avanzadas de KMS

Utilice las declaraciones de política clave de KMS avanzadas para implementar controles de acceso más detallados para su clave de KMS administrada por el cliente. Estas políticas se basan en la adición Declaraciones básicas de KMS y políticas de IAM de condiciones de contexto de cifrado y restricciones específicas del servicio. Antes de decidir si va a utilizar las declaraciones de política clave de KMS avanzadas, asegúrese de revisar las consideraciones pertinentes.

Utilizar el contexto de cifrado para restringir el acceso

Puede restringir el uso de claves de KMS a una instancia específica del IAM Identity Center especificando una condición de contexto de cifrado en sus declaraciones de política de claves. Las declaraciones políticas clave de referencia ya incluyen este contexto con un valor genérico. Sustituya el comodín «*» por un ARN de instancia de Identity Center y un ARN de Identity Store específicos para garantizar que la clave solo funcione con la instancia deseada. También puede añadir las mismas condiciones de contexto de cifrado a la política de IAM configurada para el uso de la clave KMS entre cuentas.

Identity Center


"StringEquals": {
    "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

Almacén de identidades 


"StringEquals": {
    "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}

Si necesita ayuda para encontrar estos identificadores, consulte. Busque los identificadores necesarios

nota

Puede utilizar una clave de KMS gestionada por el cliente únicamente con una instancia organizativa de IAM Identity Center. La clave administrada por el cliente debe estar ubicada en la cuenta de administración de la AWS organización, lo que ayuda a garantizar que la clave se utilice con una única instancia de IAM Identity Center. Sin embargo, el mecanismo de contexto de cifrado proporciona una protección técnica independiente contra el uso de una sola instancia. También puede usar la clave de aws:SourceArn condición en las declaraciones de política de claves de KMS destinadas a los directores de servicio de Identity Center e Identity Store.

Consideraciones para implementar las condiciones del contexto de cifrado

Antes de implementar las condiciones del contexto de cifrado, revise estos requisitos:

  • DescribeKey acción. El contexto de cifrado no se puede aplicar a la acción «kms:DescribeKey», que pueden utilizar los administradores del Centro de Identidad de IAM. Al configurar su política de claves de KMS, excluya el contexto de cifrado para esta acción específica a fin de garantizar el correcto funcionamiento de su instancia del IAM Identity Center.

  • Configuración de la nueva instancia. Si va a habilitar una nueva instancia del IAM Identity Center con una clave KMS gestionada por el cliente, consulteConsideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas.

  • Cambios en la fuente de identidad. Al cambiar la fuente de identidad a Active Directory o desde Active Directory, se debe prestar especial atención al contexto de cifrado. Consulte Consideraciones para cambiar la fuente de identidad.

Plantillas de política de

Elija entre estas plantillas de políticas avanzadas en función de sus requisitos de seguridad. Equilibre los controles de acceso detallados con la sobrecarga administrativa que suponen.

Los temas que se tratan aquí:

Declaraciones de política de KMS para el uso de solo lectura de una instancia específica del IAM Identity Center

Esta política permite a los auditores de seguridad y al resto del personal que solo necesita acceso de lectura al Centro de Identidad de IAM utilizar la clave KMS.

Para usar esta política:

  1. Sustituya los directores de IAM de administrador de solo lectura del ejemplo por los directores de IAM de administrador actuales

  2. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

  3. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

  4. Si utiliza la administración delegada, consulte Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas

Si necesita ayuda para encontrar los valores de estos identificadores, consulte. Busque los identificadores necesarios

Una vez que haya actualizado la plantilla con sus valores, vuelva Paso 2: Prepare las principales declaraciones de política de KMS a preparar más declaraciones de política clave de KMS, según sea necesario.

La acción de kms: desencriptar por sí sola no restringe el acceso a las operaciones de solo lectura. La política de IAM debe imponer el acceso de solo lectura al servicio del Centro de identidad de IAM. APIs

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
        }
      }
    }
  ]
}

Se han perfeccionado las principales declaraciones de política de KMS para el uso de aplicaciones gestionadas AWS

Estas plantillas de políticas proporcionan un control más detallado sobre qué aplicaciones AWS administradas pueden usar su clave de KMS.

nota

Algunas aplicaciones AWS administradas no se pueden usar con el Centro de identidad de IAM configurado con una clave de KMS administrada por el cliente. Consulte las aplicaciones AWS gestionadas que puede utilizar con el Centro de identidades de IAM.

Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones gestionadas AWSPermiten que cualquier aplicación AWS gestionada desde cualquier cuenta de la misma AWS organización utilice la clave KMS. Utilice estas políticas refinadas para restringir el acceso de la siguiente manera:

  • Director del servicio de aplicaciones

  • Instancia de aplicación ARNs

  • AWS account IDs

  • Contexto de cifrado para instancias específicas del IAM Identity Center

nota

Un principal de servicio es un identificador único de un AWS servicio, normalmente con el formato servicename.amazonaws.com (por ejemplo, elasticmapreduce.amazonaws.com para Amazon EMR).

Restringir por cuenta

Esta plantilla de declaración de política clave de KMS permite que una aplicación AWS gestionada en AWS cuentas específicas utilice la clave de KMS mediante una instancia específica del IAM Identity Center.

Para usar esta política:

  1. Sustituya el principal de servicio de ejemplo por el principal de servicio de la aplicación actual

  2. Sustituya la cuenta IDs de ejemplo por la cuenta real en la que IDs se implementan las aplicaciones AWS administradas

  3. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

  4. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": [
            "111122223333",
            "444455556666"
          ]
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": [
            "111122223333",
            "444455556666"
          ]
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Restrinja por instancia de aplicación

Esta plantilla de declaración de política clave de KMS permite que una instancia de aplicación AWS gestionada específica utilice la clave de KMS mediante una instancia específica del IAM Identity Center.

Para usar esta política:

  1. Sustituya el principal de servicio de ejemplo por el principal de servicio de la aplicación actual

  2. Sustituya el ARN de la aplicación de ejemplo por el ARN de la instancia de aplicación real

  3. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

  4. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}