Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Declaraciones básicas de KMS y políticas de IAM
Las políticas básicas basadas en la identidad y las claves de KMS que se proporcionan aquí sirven de base para los requisitos comunes. También le recomendamos Declaraciones de política clave avanzadas de KMS que revise si proporcionan controles de acceso más detallados, como garantizar que solo una instancia específica del IAM Identity Center o AWS una aplicación gestionada puedan acceder a la clave KMS. Antes de utilizar las principales declaraciones de políticas avanzadas de KMS, revise lasConsideraciones a la hora de elegir las principales declaraciones de política de KMS básicas o avanzadas.
En las siguientes secciones se proporcionan las declaraciones de política básicas para cada caso de uso. Copie las principales declaraciones de política de KMS que coincidan con sus casos de uso y, a continuación, vuelva aPaso 2: Prepare las principales declaraciones de política de KMS.
Declaraciones de política clave básicas de KMS para el uso del IAM Identity Center (obligatorias)
Utilice la siguiente plantilla de declaración de política clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los administradores del Centro de Identidad de IAM, su almacén de identidades asociado y del Centro de identidades de IAM utilicen la clave de KMS.
-
En el elemento principal de las declaraciones de política del administrador, especifique los directores de las AWS cuentas de administración del Centro de Identidad de IAM, que son la cuenta de administración de la AWS organización y la cuenta de administración delegada, utilizando el formato «arn:aws:iam: :111122223333:root».
-
En el PrincipalArn elemento, sustituya el ejemplo por las funciones de IAM de los administradores del IAM Identity Center. ARNs
Puede especificar una de las siguientes opciones:
-
ARN de rol de IAM específico:
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678" -
Patrón comodín (recomendado):
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"
El uso del comodín (
*) evita la pérdida de acceso si el conjunto de permisos se elimina y se vuelve a crear, ya que Identity Center genera nuevos identificadores únicos para los conjuntos de permisos recreados. Para ver un ejemplo de implementación, consulte. Ejemplo de políticas de confianza personalizadas -
-
En el SourceAccount elemento, especifique el ID de cuenta del IAM Identity Center.
Identity Store tiene su propio director de servicio
identitystore.amazonaws.com, al que se le debe permitir usar la clave KMS.Estas declaraciones de política permiten que las instancias del centro de identidad de IAM de una AWS cuenta específica utilicen la clave KMS. Para restringir el acceso a una instancia específica del IAM Identity Center, consulte. Declaraciones de política clave avanzadas de KMS Solo puede tener una instancia del IAM Identity Center para cada AWS cuenta.
Declaraciones de política clave de KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] }, "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] }, "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*", "kms:ViaService": "identitystore.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] } } }, { "Sid": "AllowIAMIdentityCenterToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityStoreToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "identitystore.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey", "Effect": "Allow", "Principal": { "Service": [ "identitystore.amazonaws.com", "sso.amazonaws.com" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Utilice la siguiente plantilla de declaración de política de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que los administradores del Centro de Identidad de IAM utilicen la clave KMS.
-
Sustituya el ARN de clave de ejemplo del
Resourceelemento por el ARN de clave de KMS real. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios -
Estas declaraciones de política de IAM otorgan acceso a la clave de KMS al director de IAM, pero no restringen qué AWS servicio puede realizar la solicitud. La política de claves de KMS suele proporcionar estas restricciones de servicio. Sin embargo, puede añadir un contexto de cifrado a esta política de IAM para limitar el uso a una instancia específica de Identity Center. Consulte Declaraciones de política clave avanzadas de KMS para obtener más información.
Las declaraciones de política de IAM son obligatorias para los administradores delegados del Centro de Identidad de IAM
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" } ] }
Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones gestionadas AWS
nota
Algunas aplicaciones AWS administradas no se pueden usar con el centro de identidad de IAM configurado con una clave de KMS administrada por el cliente. Para obtener más información, consulte Aplicaciones AWS gestionadas que funcionan con el Centro de identidades de IAM.
Utilice la siguiente plantilla de declaración de política clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que tanto las aplicaciones AWS gestionadas como sus administradores utilicen la clave de KMS.
Introduzca su AWS Organizations ID en el PrincipalOrg ID y SourceOrgId las condiciones. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulteBusque los identificadores necesarios.
Estas declaraciones de política permiten a cualquiera de sus aplicaciones AWS gestionadas y a todos los responsables de IAM (administradores de aplicaciones) de la AWS organización utilizar kms: Decrypt mediante IAM Identity Center e Identity Store. Para restringir estas declaraciones de política a aplicaciones AWS gestionadas, cuentas o instancias específicas del IAM Identity Center, consulte. Declaraciones de política clave avanzadas de KMS
Puede restringir el acceso a administradores de aplicaciones específicos sustituyéndolos por directores
*de IAM específicos. Para protegerse de los cambios en el nombre de las funciones de IAM al volver a crear conjuntos de permisos, utilice el enfoque de. Ejemplo de políticas de confianza personalizadas Para obtener más información, consulte Consideraciones a la hora de elegir las principales declaraciones de política de KMS básicas o avanzadas.
Declaraciones de política clave de KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" } } }, { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } } ] }
Utilice la siguiente plantilla de declaración de política de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que los administradores de las aplicaciones AWS gestionadas utilicen la clave KMS de una cuenta de miembro.
Sustituya el ARN de ejemplo en el elemento Resource por el ARN de la clave KMS actual. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios
Algunas aplicaciones AWS gestionadas requieren que configure los permisos para el servicio IAM Identity Center. APIs Antes de configurar una clave gestionada por el cliente en el Centro de identidades de IAM, compruebe que estos permisos también permiten el uso de la clave KMS. Para conocer los requisitos específicos de permisos clave de KMS, consulte la documentación de cada aplicación AWS gestionada que haya implementado.
Declaraciones de política de IAM obligatorias para los administradores de aplicaciones AWS gestionadas:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Declaración clave básica de KMS para el uso de AWS Control Tower
Utilice las siguientes plantillas de declaraciones clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los administradores AWS de la Torre de Control usen la clave de KMS.
En el elemento principal, especifique los principios de IAM utilizados para acceder al servicio del Centro de identidad de IAM. APIs Para obtener más información sobre las entidades principales de IAM, consulte Especificar una entidad principal en la Guía del usuario de IAM.
Estas declaraciones de política permiten a los administradores de la Torre de AWS Control utilizar la clave KMS en cualquiera de sus instancias del IAM Identity Center. Sin embargo, AWS Control Tower restringe el acceso a la instancia organizativa de IAM Identity Center en la misma AWS organización. Debido a esta restricción, restringir aún más la clave KMS a una instancia específica del IAM Identity Center no tiene ningún beneficio práctico, como se describe en. Declaraciones de política clave avanzadas de KMS
Para evitar que se produzcan cambios en el nombre de las funciones de IAM cuando se vuelvan a crear conjuntos de permisos, utilice el enfoque descrito en la. Ejemplo de políticas de confianza personalizadas
Instrucción de la política de claves de KMS:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
AWS Control Tower no admite la administración delegada y, por lo tanto, no es necesario configurar una política de IAM para sus administradores.
Declaraciones básicas de política de IAM y clave de KMS para el uso del IAM Identity Center en las instancias Windows de Amazon Elastic Compute Cloud
Utilice la siguiente plantilla de declaración de política clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los usuarios de las instancias de inicio de sesión único (SSO) en Amazon EC2 Windows utilicen la clave de KMS en todas las cuentas.
Especifique los principales de IAM que se utilizan para acceder al Centro de identidades de IAM en el campo Principal. Para obtener más información sobre las entidades principales de IAM, consulte Especificar una entidad principal en la Guía del usuario de IAM.
Esta declaración de política permite que cualquiera de sus instancias del centro de identidad de IAM utilice la clave KMS. Para restringir el acceso a una instancia específica del IAM Identity Center, consulte. Declaraciones de política clave avanzadas de KMS
Para evitar que se produzcan cambios en el nombre de las funciones de IAM cuando se vuelvan a crear conjuntos de permisos, utilice el enfoque descrito en el ejemplo de política de confianza personalizada.
Instrucción de política de claves de KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Utilice la siguiente plantilla de declaración de políticas de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que el inicio de sesión único en las instancias de EC2 Windows utilice la clave KMS.
Adjunte la declaración de política de IAM al conjunto de permisos existente en el Centro de Identidad de IAM que está utilizando para permitir el acceso SSO a las instancias de Amazon EC2 Windows. Para ver ejemplos de políticas de IAM, consulte Conexiones del protocolo de escritorio remoto en la Guía del usuario de AWS Systems Manager.
Sustituya el ARN de ejemplo en el elemento Resource por el ARN de la clave KMS actual. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios
Política de IAM del conjunto de permisos:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Declaraciones básicas de política de IAM y clave de KMS para el uso de flujos de trabajo personalizados con el Centro de Identidad de IAM
Utilice las siguientes plantillas de declaraciones de políticas clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los flujos de trabajo personalizados, como las aplicaciones gestionadas por el cliente, en la cuenta de AWS Organizations administración o la cuenta de administración delegada utilicen la clave de KMS.
En el elemento principal, especifique los principios de IAM que se utilizan para acceder al servicio IAM Identity Center. APIs Para obtener más información sobre las entidades principales de IAM, consulte Especificar una entidad principal en la Guía del usuario de IAM.
Estas declaraciones de política permiten que su flujo de trabajo utilice la clave KMS en cualquiera de sus instancias del centro de identidad de IAM. Para restringir el acceso a una instancia específica del IAM Identity Center, consulte. Declaraciones de política clave avanzadas de KMS
Para evitar que se produzcan cambios en el nombre de las funciones de IAM cuando se vuelvan a crear conjuntos de permisos, utilice el enfoque descrito en la. Ejemplo de políticas de confianza personalizadas
Instrucción de la política de claves de KMS:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Utilice la siguiente plantilla de declaración de políticas de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que el director de IAM asociado al flujo de trabajo personalizado utilice la clave KMS en todas las cuentas. Añada la declaración de política de IAM al principio de IAM.
Sustituya el ARN de ejemplo en el elemento Resource por el ARN de la clave KMS actual. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios
Declaración de política de IAM (necesaria solo para el uso entre cuentas):
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
