Declaraciones de política clave avanzadas de KMS - AWS IAM Identity Center
Utilizar el contexto de cifrado para restringir el accesoPlantillas de política de Declaraciones de política clave de KMS para el uso de una instancia específica del IAM Identity CenterDeclaraciones de política de KMS para el uso de solo lectura de una instancia específica del IAM Identity CenterSe han perfeccionado las principales declaraciones de política de KMS para el uso de aplicaciones AWS administradas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Declaraciones de política clave avanzadas de KMS

nota

Las claves KMS gestionadas por el cliente AWS IAM Identity Center están disponibles actualmente en determinadas AWS regiones.

Utilice las declaraciones de política clave de KMS avanzadas para implementar controles de acceso más detallados para su clave de KMS administrada por el cliente. Estas políticas se basan en la adición Declaraciones básicas de KMS y políticas de IAM de condiciones de contexto de cifrado y restricciones específicas del servicio. Antes de decidir si va a utilizar las declaraciones de política clave de KMS avanzadas, asegúrese de revisar las consideraciones pertinentes.

Utilizar el contexto de cifrado para restringir el acceso

Puede restringir el uso de claves de KMS a una instancia específica del IAM Identity Center añadiendo una condición de contexto de cifrado a sus declaraciones de política de claves. Esta condición utiliza el ARN de la instancia del IAM Identity Center y el ARN del almacén de identidades para garantizar que la clave solo funcione con la instancia deseada. Añada esta condición a cualquiera de las declaraciones de política básicas:

Centro de identidades


"StringLike": {
    "kms:EncryptionContext:aws:sso:instance-arn": "${identity_center_arn}"
}

Almacén de identidades 


"StringLike": {
    "kms:EncryptionContext:aws:identitystore:identitystore-arn": "${identity_store_arn}"
}

Sustituya ARNs el ejemplo por sus valores de ARN reales. Si necesita ayuda para encontrar estos identificadores, consulte. Busque los identificadores necesarios

Consideraciones para implementar las condiciones del contexto de cifrado

Antes de implementar las condiciones del contexto de cifrado, revise estos requisitos:

  • DescribeKey acción. El contexto de cifrado no se puede aplicar a la acción «kms:DescribeKey», que pueden utilizar los administradores del Centro de Identidad de IAM. Al configurar su política de claves de KMS, excluya el contexto de cifrado para esta acción específica a fin de garantizar el correcto funcionamiento de su instancia del IAM Identity Center.

  • Configuración de la nueva instancia. Si va a habilitar una nueva instancia del IAM Identity Center con una clave KMS gestionada por el cliente, consulteConsideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas.

  • Cambios en la fuente de identidad. Al cambiar la fuente de identidad a Active Directory o desde Active Directory, se debe prestar especial atención al contexto de cifrado. Consulte Consideraciones para cambiar la fuente de identidad.

Plantillas de política de

Elija entre estas plantillas de políticas avanzadas en función de sus requisitos de seguridad. Equilibre los controles de acceso detallados con la sobrecarga administrativa que suponen.

Los temas que se tratan aquí:

Declaraciones de política clave de KMS para el uso de una instancia específica del IAM Identity Center

Estas declaraciones de política permiten a los administradores de una instancia específica del IAM Identity Center utilizar la clave KMS y, al mismo tiempo, restringir el acceso únicamente a esa instancia.

nota

Actualmente, solo puede utilizar una clave de KMS gestionada por el cliente con una instancia de organización del IAM Identity Center. La clave administrada por el cliente debe estar ubicada en la cuenta de administración de la AWS organización, lo que ayuda a garantizar que la clave se utilice con una única instancia de IAM Identity Center. Sin embargo, el mecanismo de contexto de cifrado proporciona una protección técnica independiente contra el uso de una sola instancia.

Política de acceso de administrador

La siguiente plantilla de declaración de política permite a los administradores de una instancia específica del IAM Identity Center y su almacén de identidades asociado utilizar la clave KMS.

Para usar esta política:

  1. Sustituya los directores de IAM del administrador del ejemplo por los directores de IAM actuales

  2. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

  3. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

Si necesita ayuda para encontrar los valores de estos identificadores, consulte. Busque los identificadores necesarios

Una vez que haya actualizado la plantilla con sus valores, vuelva Paso 2: Prepare las principales declaraciones de política de KMS a preparar más declaraciones de política clave de KMS, según sea necesario.

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowSpecificIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "${identity_center_arn}",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowSpecificIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "${identity_store_arn}",
          "kms:ViaService": "identitystore.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    }
  ]
}

Política de acceso al servicio

La siguiente plantilla de declaración de política permite que una instancia específica del Centro de Identidad de IAM y su almacén de identidades asociado utilicen la clave KMS.

Para usar esta política:

  1. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

  2. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

Si necesita ayuda para encontrar los valores de estos identificadores, consulte. Busque los identificadores necesarios

Una vez que haya actualizado la plantilla con sus valores, vuelva Paso 2: Prepare las principales declaraciones de política de KMS a preparar más declaraciones de política clave de KMS, según sea necesario.

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowSpecificIAMIdentityCenterToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "${identity_center_arn}"
        }
      }
    },
    {
      "Sid": "AllowSpecificIAMIdentityStoreToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "identitystore.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "${identity_store_arn}"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    }
  ]
}

Declaraciones de política de KMS para el uso de solo lectura de una instancia específica del IAM Identity Center

Esta política permite a los auditores de seguridad y al resto del personal que solo necesita acceso de lectura al Centro de Identidad de IAM utilizar la clave KMS.

Para usar esta política:

  1. Sustituya los directores de IAM de administrador de solo lectura del ejemplo por los directores de IAM de administrador actuales

  2. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

  3. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

  4. Si utiliza la administración delegada, consulte Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas

Si necesita ayuda para encontrar los valores de estos identificadores, consulte. Busque los identificadores necesarios

Una vez que haya actualizado la plantilla con sus valores, vuelva Paso 2: Prepare las principales declaraciones de política de KMS a preparar más declaraciones de política clave de KMS, según sea necesario.

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "${identity_center_arn}",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "${identity_store_arn}"
        }
      }
    }
  ]
}

Se han perfeccionado las principales declaraciones de política de KMS para el uso de aplicaciones AWS administradas

Estas plantillas de políticas proporcionan un control más detallado sobre qué aplicaciones AWS administradas pueden usar su clave de KMS.

nota

Algunas aplicaciones AWS administradas no se pueden usar con el Centro de identidad de IAM configurado con una clave de KMS administrada por el cliente. Consulte las aplicaciones AWS gestionadas que puede utilizar con el Centro de identidades de IAM.

Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones gestionadas AWSPermiten que cualquier aplicación AWS gestionada desde cualquier cuenta de la misma AWS organización utilice la clave KMS. Utilice estas políticas refinadas para restringir el acceso de la siguiente manera:

  • Director del servicio de aplicaciones

  • Instancia de aplicación ARNs

  • AWS account IDs

  • Contexto de cifrado para instancias específicas del IAM Identity Center

nota

Un principal de servicio es un identificador único de un AWS servicio, normalmente con el formato servicename.amazonaws.com (por ejemplo, elasticmapreduce.amazonaws.com para Amazon EMR).

Restringir por cuenta

Esta plantilla de declaración de política clave de KMS permite que una aplicación AWS gestionada en AWS cuentas específicas utilice la clave de KMS mediante una instancia específica del IAM Identity Center.

Para usar esta política:

  1. Sustituya el principal de servicio de ejemplo por el principal de servicio de la aplicación actual

  2. Sustituya la cuenta IDs de ejemplo por su cuenta real IDs

  3. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

  4. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "Service": "${app_SPN_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:sourceAccount": [
            "${account_id_1}",
            "${account_id_2}"
          ]
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "${identity_center_arn}"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "Service": "${app_SPN_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:sourceAccount": [
            "${account_id_1}",
            "${account_id_2}"
          ]
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "${identity_store_arn}"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Restrinja por instancia de aplicación

Esta plantilla de declaración de política clave de KMS permite que una instancia de aplicación AWS gestionada específica utilice la clave de KMS mediante una instancia específica del IAM Identity Center.

Para usar esta política:

  1. Sustituya el principal de servicio de ejemplo por el principal de servicio de la aplicación actual

  2. Sustituya el ARN de la aplicación de ejemplo por el ARN de la instancia de aplicación real

  3. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store

  4. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "Service": "${app_SPN_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceARN": "${app_arn}"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "${identity_center_arn}"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "Service": "${app_SPN_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceARN": "${app_arn}"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "${identity_store_arn}"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}