Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas
Al implementar claves de KMS administradas por el cliente con IAM Identity Center, tenga en cuenta estos factores que afectan a la configuración, la seguridad y el mantenimiento continuo de la configuración de cifrado.
Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas
Al decidir si desea hacer que los permisos de clave de KMS sean más específicos usando Instrucciones de política de claves de KMS avanzadas, tenga en cuenta la sobrecarga de administración y las necesidades de seguridad de su organización. Las instrucciones de políticas más específicas proporcionan un control más detallado sobre quién puede usar la clave y con qué fines; sin embargo, requieren un mantenimiento continuo a medida que evoluciona la configuración de IAM Identity Center. Por ejemplo, si restringe el uso de la clave de KMS a implementaciones de aplicaciones administradas por AWS específicas, tendrá que actualizar la política de claves siempre que su organización desee implementar o anular la implementación de una aplicación. Las políticas menos restrictivas reducen la carga administrativa, pero pueden conceder permisos más amplios de los necesarios para cumplir sus requisitos de seguridad.
Consideraciones para habilitar una nueva instancia de IAM Identity Center con una clave de KMS administrada por el cliente
Estas consideraciones se aplican si utiliza el contexto de cifrado, tal como se describe en Instrucciones de política de claves de KMS avanzadas para restringir el uso de la clave de KMS a una instancia específica de IAM Identity Center.
Al habilitar una nueva instancia de IAM Identity Center con una clave de KMS administrada por el cliente, los ARN de IAM Identity Center y de Identity Store no están disponibles hasta después de la configuración. Dispone de las opciones siguientes:
-
Use patrones de ARN genéricos de forma temporal y, a continuación, sustitúyalos por ARN completos una vez que la instancia esté habilitada. Recuerde cambiar entre los operadores StringEquals y StringLike según sea necesario.
-
Para IAM Identity Center SPN: «arn:${Partition}:sso:::instance/*».
-
Para Identity Store SPN: «arn:${Partition}:identitystore::${Account}:identitystore/*».
-
-
Utilice «purpose:KEY_CONFIGURATION» en el ARN temporalmente. Esto solo funciona para la habilitación de instancias, por ejemplo, y debe sustituirse por el ARN real para que la instancia de IAM Identity Center funcione normalmente. La ventaja de este enfoque es que no puede olvidar reemplazarlo una vez habilitada la instancia.
-
Para el SPN de IAM Identity Center, utilice: «arn:${Partition}:sso:::instance/purpose:KEY_CONFIGURATION»
-
Para el SPN de Identity Store, utilice: «arn:${Partition}:identitystore::${Account}:identitystore/purpose:KEY_CONFIGURATION».
importante
No aplique esta configuración a una clave de KMS que ya esté en uso en una instancia de IAM Identity Center existente, ya que podría interrumpir su funcionamiento normal.
-
-
Omita la condición del contexto de cifrado de la política de claves de KMS hasta que la instancia esté habilitada.
