Declaraciones básicas de KMS y políticas de IAM - AWS IAM Identity Center
Declaraciones de política clave de KMS de referencia para el uso del Centro de identidades de IAM (obligatorias)Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones gestionadas AWSDeclaración clave básica de KMS para el uso de AWS Control TowerDeclaraciones básicas de política de IAM y clave de KMS para el uso del IAM Identity Center en las instancias Windows de Amazon Elastic Compute CloudDeclaraciones básicas de política de IAM y clave de KMS para el uso de flujos de trabajo personalizados con el Centro de Identidad de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Declaraciones básicas de KMS y políticas de IAM

nota

Las claves KMS gestionadas por el cliente AWS IAM Identity Center están disponibles actualmente en determinadas AWS regiones.

Las políticas básicas basadas en claves e identidades de KMS que se proporcionan aquí sirven de base para los requisitos comunes. También le recomendamos Declaraciones de política clave avanzadas de KMS que revise si proporcionan controles de acceso más detallados, como garantizar que solo una instancia específica del IAM Identity Center o AWS una aplicación gestionada puedan acceder a la clave KMS. Antes de utilizar las principales declaraciones de políticas avanzadas de KMS, revise lasConsideraciones a la hora de elegir las principales declaraciones de política de KMS básicas o avanzadas.

En las siguientes secciones se proporcionan las declaraciones de política básicas para cada caso de uso. Copie las principales declaraciones de política de KMS que coincidan con sus casos de uso y, a continuación, vuelva aPaso 2: Prepare las principales declaraciones de política de KMS.

Declaraciones de política clave de KMS de referencia para el uso del Centro de identidades de IAM (obligatorias)

Utilice la siguiente plantilla de declaración de política clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los administradores del Centro de Identidad de IAM, su almacén de identidades asociado y del Centro de identidades de IAM utilicen la clave de KMS.

  • Especifique los principios de IAM de los administradores del IAM Identity Center en el elemento Principal. Para obtener más información sobre los principios de IAM, consulte Especificar un director en la Guía del usuario de IAM.

  • Identity Store tiene su propio director de servicioidentitystore.amazonaws.com, al que se le debe permitir usar la clave KMS.

  • Estas declaraciones de política permiten que cualquiera de sus instancias del centro de identidad de IAM utilice la clave KMS. Para restringir el acceso a una instancia específica del IAM Identity Center, consulte. Declaraciones de política clave avanzadas de KMS

Declaraciones de política clave de KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*",
          "kms:ViaService": "identitystore.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityStoreToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "identitystore.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    }
  ]
}

Utilice la siguiente plantilla de declaración de política de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que los administradores del Centro de Identidad de IAM utilicen la clave KMS.

  • Sustituya el ARN clave de ejemplo en el elemento Resource por el ARN de clave KMS real. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios

Las declaraciones de política de IAM son obligatorias para los administradores delegados del Centro de Identidad de IAM

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}

Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones gestionadas AWS

nota

Algunas aplicaciones AWS administradas no se pueden usar con el centro de identidad de IAM configurado con una clave de KMS administrada por el cliente. Para obtener más información, consulte Aplicaciones AWS gestionadas que funcionan con el Centro de identidades de IAM.

Utilice la siguiente plantilla de declaración de política clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que tanto las aplicaciones AWS gestionadas como sus administradores utilicen la clave de KMS.

  • Introduzca su AWS Organizations ID en la condición PrincipalOrg ID. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulteBusque los identificadores necesarios.

  • Estas declaraciones de política permiten que cualquiera de sus aplicaciones AWS administradas en la misma AWS Organizations utilice la clave KMS. Para restringir estas declaraciones de política a aplicaciones AWS gestionadas, cuentas o instancias del IAM Identity Center específicas, consulteDeclaraciones de política clave avanzadas de KMS.

Declaraciones de política clave de KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Utilice la siguiente plantilla de declaración de política de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que los administradores de las aplicaciones AWS gestionadas utilicen la clave KMS de una cuenta de miembro.

  • Sustituya el ARN de ejemplo en el elemento Resource por el ARN de la clave KMS actual. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios

  • Algunas aplicaciones AWS gestionadas requieren que configure los permisos para el IAM Identity Center y el Identity Store. APIs Antes de configurar una clave gestionada por el cliente en su centro de identidad de IAM, asegúrese de que estos permisos también permitan el uso de la clave KMS. Para conocer los requisitos específicos de permisos clave de KMS, consulte la documentación de cada aplicación AWS gestionada que haya implementado.

Declaraciones de política de IAM obligatorias para los administradores de aplicaciones AWS gestionadas:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Declaración clave básica de KMS para el uso de AWS Control Tower

Utilice las siguientes plantillas de declaraciones clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los administradores AWS de la Torre de Control usen la clave de KMS.

  • Especifique los principios de IAM utilizados para acceder al Centro de identidad APIs de IAM en el campo Principal. Para obtener más información sobre las entidades principales de IAM, consulte Especificar una entidad principal en la Guía del usuario de IAM.

  • Estas declaraciones de política permiten a los administradores de la Torre de AWS Control utilizar la clave KMS en cualquiera de sus instancias del IAM Identity Center. Sin embargo, AWS Control Tower restringe el acceso a la instancia organizativa de IAM Identity Center en la misma AWS organización. Debido a esta restricción, restringir aún más la clave KMS a una instancia específica del IAM Identity Center no tiene ningún beneficio práctico, como se describe en. Declaraciones de política clave avanzadas de KMS

Instrucción de la política de claves de KMS:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

AWS Control Tower no admite la administración delegada y, por lo tanto, no es necesario configurar una política de IAM para sus administradores.

Declaraciones básicas de política de IAM y clave de KMS para el uso del IAM Identity Center en las instancias Windows de Amazon Elastic Compute Cloud

Utilice la siguiente plantilla de declaración de política clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los usuarios de las instancias de inicio de sesión único (SSO) en Amazon EC2 Windows utilicen la clave de KMS en todas las cuentas.

  • Especifique los principales de IAM que se utilizan para acceder al Centro de identidades de IAM en el campo Principal. Para obtener más información sobre las entidades principales de IAM, consulte Especificar una entidad principal en la Guía del usuario de IAM.

  • Esta declaración de política permite que cualquiera de sus instancias del centro de identidad de IAM utilice la clave KMS. Para restringir el acceso a una instancia específica del IAM Identity Center, consulte. Plantillas de política de

Instrucción de política de claves de KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Utilice la siguiente plantilla de declaración de políticas de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que el SSO de las instancias de EC2 Windows utilice la clave KMS.

Adjunte la declaración de política de IAM al conjunto de permisos existente en el Centro de Identidad de IAM que está utilizando para permitir el acceso SSO a las instancias de Amazon EC2 Windows. Para ver ejemplos de políticas de IAM, consulte Conexiones del protocolo de escritorio remoto en la Guía del usuario de AWS Systems Manager.

  • Sustituya el ARN de ejemplo en el elemento Resource por el ARN de la clave KMS actual. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios

Política de IAM del conjunto de permisos:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Declaraciones básicas de política de IAM y clave de KMS para el uso de flujos de trabajo personalizados con el Centro de Identidad de IAM

Utilice las siguientes plantillas de declaraciones de políticas clave de KMS Paso 2: Prepare las principales declaraciones de política de KMS para permitir que los flujos de trabajo personalizados en la AWS cuenta de administración de Organizations o en la cuenta de administración delegada utilicen la clave de KMS.

  • Especifique los elementos principales de IAM que se utilizan para acceder al Centro de identidad de IAM APIs en el elemento principal. Para obtener más información sobre las entidades principales de IAM, consulte Especificar una entidad principal en la Guía del usuario de IAM.

  • Estas declaraciones de política permiten que su flujo de trabajo utilice la clave KMS en cualquiera de sus instancias del centro de identidad de IAM. Para restringir el acceso a una instancia específica del IAM Identity Center, consulte. Plantillas de política de

Instrucción de la política de claves de KMS:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Utilice la siguiente plantilla de declaración de políticas de IAM Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas para permitir que la entidad principal de IAM asociada al flujo de trabajo personalizado utilice la clave KMS en todas las cuentas. Añada la declaración de política de IAM al principio de IAM.

  • Sustituya el ARN de ejemplo en el elemento Resource por el ARN de la clave KMS actual. Para obtener ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios

Declaración de política de IAM (necesaria solo para el uso entre cuentas):

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}