Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Instrucciones básicas de KMS y políticas de IAM
Las políticas básicas basadas en la identidad y las claves de KMS que se proporcionan aquí sirven de base para los requisitos comunes. También le recomendamos que revise Instrucciones de política de claves de KMS avanzadas que proporciona controles de acceso más detallados, como garantizar que solo una instancia específica de IAM Identity Center o una aplicación administrada por AWS pueda acceder a la clave KMS. Antes de utilizar las instrucciones de políticas de claves de KMS avanzadas, revise las Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas.
En las secciones siguientes, se incluyen instrucciones de política de referencia para cada caso de uso. Copie las principales instrucciones de política de claves de KMS que coincidan con sus casos de uso y, a continuación, vuelva a Paso 2: prepare las instrucciones de política de claves de KMS.
Instrucciones de política de claves básicas de KMS para el uso de IAM Identity Center (obligatorias)
Utilice la siguiente plantilla de instrucción de políticas de claves de KMS en Paso 2: prepare las instrucciones de política de claves de KMS para permitir que IAM Identity Center, su almacén de identidades asociado y los administradores de IAM Identity Center utilicen la clave de KMS.
-
En el elemento Entidad principal de las instrucciones de política del administrador, especifique las entidades principales de la cuenta de AWS de las cuentas de administración de IAM Identity Center, que son la cuenta de administración de la organización de AWS y la cuenta de administración delegada, utilizando el formato «arn:aws:iam::111122223333:root».
-
En el elemento PrincipalARN, sustituya los ARN de ejemplo por los roles de IAM de los administradores de IAM Identity Center.
Puede especificar:
-
ARN de rol de IAM específico:
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678" -
Patrón comodín (recomendado):
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"
El uso del comodín (
*) evita la pérdida de acceso si el conjunto de permisos se elimina y se vuelve a crear, ya que Identity Center genera nuevos identificadores únicos para los conjuntos de permisos recreados. Para consultar un ejemplo de una implementación, consulte Ejemplo de políticas de confianza personalizadas . -
-
En el elemento SourceAccount, especifique el ID de cuenta de IAM Identity Center.
Identity Store tiene su propia entidad principal de servicio,
identitystore.amazonaws.com, a la que se le debe permitir usar la clave de KMS.Estas instrucciones de política permiten que las instancias de IAM Identity Center de una cuenta de AWS específica utilicen la clave de KMS. Para restringir el acceso a una instancia específica de IAM Identity Center, consulte Instrucciones de política de claves de KMS avanzadas. Solo puede tener una instancia de IAM Identity Center para cada cuenta de AWS.
Instrucciones de política de claves de KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] }, "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] }, "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*", "kms:ViaService": "identitystore.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] } } }, { "Sid": "AllowIAMIdentityCenterToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityStoreToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "identitystore.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey", "Effect": "Allow", "Principal": { "Service": [ "identitystore.amazonaws.com", "sso.amazonaws.com" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Utilice la siguiente plantilla de instrucción de políticas de IAM en Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS para permitir que los administradores de IAM Identity Center utilicen la clave de KMS.
-
Sustituya el ARN de clave de ejemplo del elemento
Resourcepor el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte Busque los identificadores necesarios. -
Estas instrucciones de política de IAM otorgan acceso a la clave de KMS a la entidad principal de IAM, pero no restringen qué servicio de AWS puede realizar la solicitud. La política de claves de KMS suele proporcionar estas restricciones de servicio. Sin embargo, puede añadir un contexto de cifrado a esta política de IAM para limitar el uso a una instancia específica de Identity Center. Consulte para obtener más información Instrucciones de política de claves de KMS avanzadas.
Las instrucciones de política de IAM son obligatorias para los administradores delegados de IAM Identity Center
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" } ] }
Instrucciones básicas de políticas de IAM y de claves de KMS para el uso de aplicaciones administradas por AWS
nota
Algunas aplicaciones administradas por AWS no se pueden usar con IAM Identity Center configurado con una clave de KMS administrada por el cliente. Para obtener más información, consulte AWS managed applications that work with IAM Identity Center.
Utilice la siguiente plantilla de instrucción de política de claves de KMS en Paso 2: prepare las instrucciones de política de claves de KMS para permitir que tanto las aplicaciones administradas por AWS como sus administradores utilicen la clave de KMS.
Introduzca su ID de AWS Organizations en las condiciones PrincipalOrgid y SourceOrgid. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte Busque los identificadores necesarios.
Estas instrucciones de política permiten a cualquiera de sus aplicaciones administradas por AWS y a todas las entidades principales de IAM (administradores de aplicaciones) de la organización de AWS utilizar KMS:Decrypt mediante IAM Identity Center e Identity Store. Para restringir estas instrucciones de política a aplicaciones administradas por AWS, cuentas o instancias del IAM Identity Center específicas, consulte Instrucciones de política de claves de KMS avanzadas.
Puede restringir el acceso a administradores de aplicaciones específicos sustituyendo
*por las entidades principales de IAM específicas. Para protegerse de los cambios en el nombre del rol de IAM al volver a crear conjuntos de permisos, utilice el enfoque de Ejemplo de políticas de confianza personalizadas . Para obtener más información, consulte Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas.
Instrucciones de política de claves de KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" } } }, { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } } ] }
Utilice la siguiente plantilla de instrucción de política de IAM en Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS para permitir que los administradores de las aplicaciones administradas por AWS utilicen la clave KMS de una cuenta de miembro.
Sustituya el ARN de ejemplo del elemento Recurso por el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte Busque los identificadores necesarios.
Algunas aplicaciones administradas por AWS requieren que configure los permisos para las API de servicio de IAM Identity Center. Antes de configurar una clave administrada por el cliente en IAM Identity Center, compruebe que estos permisos también permiten el uso de la clave de KMS. Para conocer los requisitos específicos de permisos clave de KMS, consulte la documentación de cada aplicación administrada por AWS que haya implementado.
Instrucciones de política de IAM obligatorias para los administradores de aplicaciones gestionadas por AWS:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Instrucción clave de KMS básica para el uso de AWS Control Tower
Utilice las siguientes plantillas de instrucción de clave de KMS en Paso 2: prepare las instrucciones de política de claves de KMS para permitir que los administradores de AWS Control Tower usen la clave de KMS.
En el elemento de la entidad principal, especifique las entidades principales de IAM que se utilizan para acceder a las API de servicio de IAM Identity Center. Para obtener más información sobre las entidades principales de IAM, consulte Cómo especificar una entidad principal en la Guía del usuario de IAM.
Estas instrucciones de política permiten a los administradores de AWS Control Tower utilizar la clave de KMS en cualquiera de sus instancias de IAM Identity Center. Sin embargo, AWS Control Tower restringe el acceso a la instancia de organización de IAM Identity Center en la misma organización de AWS. Debido a esta restricción, restringir aún más la clave de KMS a una instancia específica de IAM Identity Center no tiene ningún beneficio práctico, como se describe en Instrucciones de política de claves de KMS avanzadas.
Para ayudar a protegerse de los cambios en el nombre del rol de IAM al volver a crear conjuntos de permisos, utilice el enfoque descrito en Ejemplo de políticas de confianza personalizadas .
Instrucción de la política de claves de KMS:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
AWS Control Tower no admite la administración delegada y, por lo tanto, no es necesario configurar una política de IAM para sus administradores.
Instrucciones básicas de políticas de IAM y de claves de KMS para el uso del IAM Identity Center en las instancias de Windows de Amazon Elastic Compute Cloud
Utilice la siguiente plantilla de instrucciones de política de claves de KMS en Paso 2: prepare las instrucciones de política de claves de KMS para permitir que los usuarios de inicio de sesión único (SSO) en las instancias de Windows de Amazon EC2 utilicen la clave de KMS en todas las cuentas.
Especifique las entidades principales de IAM que se utilizan para acceder a IAM Identity Center en el campo Entidad principal. Para obtener más información sobre las entidades principales de IAM, consulte Cómo especificar una entidad principal en la Guía del usuario de IAM.
Esta instrucción de política permite que cualquiera de sus instancias de IAM Identity Center utilice la clave de KMS. Para restringir el acceso a una instancia específica de IAM Identity Center, consulte Instrucciones de política de claves de KMS avanzadas.
Para protegerse de los cambios en el nombre del rol de IAM al volver a crear conjuntos de permisos, utilice el enfoque descrito en el ejemplo de política de confianza personalizada.
Instrucción de política de claves de KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Utilice la siguiente plantilla de instrucción de política de IAM en Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS para permitir que el SSO de las instancias de Windows de EC2 utilice la clave de KMS.
Adjunte la instrucción de política de IAM al conjunto de permisos existente en IAM Identity Center que está utilizando para permitir el acceso SSO a las instancias de Windows de Amazon EC2. Para ver ejemplos de políticas de IAM, consulte Conexiones del protocolo de escritorio remoto en la Guía del usuario de AWS Systems Manager.
Sustituya el ARN de ejemplo del elemento Recurso por el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte Busque los identificadores necesarios.
Política de IAM del conjunto de permisos:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Instrucciones básicas de políticas de IAM y de claves de KMS para el uso de flujos de trabajo personalizados con IAM Identity Center
Utilice las siguientes plantillas de instrucción de política de claves de KMS en Paso 2: prepare las instrucciones de política de claves de KMS para permitir que los flujos de trabajo personalizados, como las aplicaciones gestionadas por el cliente, en la cuenta de administración de AWS Organizations o la cuenta de administración delegada utilicen la clave de KMS.
En el elemento Entidad principal, especifique las entidades principales de IAM que se utilizan para acceder a las API de servicio de IAM Identity Center. Para obtener más información sobre las entidades principales de IAM, consulte Cómo especificar una entidad principal en la Guía del usuario de IAM.
Estas instrucciones de política permiten que su flujo de trabajo utilice la clave de KMS en cualquiera de sus instancias de IAM Identity Center. Para restringir el acceso a una instancia específica de IAM Identity Center, consulte Instrucciones de política de claves de KMS avanzadas.
Para ayudar a protegerse de los cambios en el nombre del rol de IAM al volver a crear conjuntos de permisos, utilice el enfoque descrito en Ejemplo de políticas de confianza personalizadas .
Instrucción de la política de claves de KMS:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Utilice la siguiente plantilla de instrucción de políticas de IAM en Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS para permitir que la entidad principal de IAM asociada al flujo de trabajo personalizado utilice la clave de KMS en todas las cuentas. Añada la instrucción de política de IAM a la entidad principal de IAM.
Sustituya el ARN de ejemplo del elemento Recurso por el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte Busque los identificadores necesarios.
Instrucción de política de IAM (necesaria solo para el uso entre cuentas):
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
