Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de datos en IAM Identity Center
El [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS IAM Identity Center. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la AWS nube. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También es responsable de las tareas de configuración y administración de la seguridad de AWS los servicios que utiliza. Para obtener más información sobre la privacidad de datos, consulte [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación del blog [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *Blog de seguridad de AWS *.
Recomendamos que proteja sus datos de las siguientes formas:
+ Utilice la autenticación multifactor (MFA) con IAM Identity Center.
+ Use TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con AWS IAM Identity Center u otros AWS servicios que utilizan la consola, la API o AWS SDKs. AWS CLI Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de diagnóstico.
## Cifrado en tránsito
IAM Identity Center protege los datos en tránsito, a medida que viajan hacia y desde el servicio, cifrando automáticamente todos los datos entre redes mediante el protocolo de cifrado seguridad de la capa de transporte (TLS) 1.2 o TLS 1.3. Las solicitudes HTTPS directas autenticadas con IAM y enviadas al Centro de Identidad de IAM APIs, a la API Identity Store o a la API de OIDC se firman mediante el [algoritmo AWS Signature versión 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) para establecer una conexión segura.
## Privacidad de datos
Con IAM Identity Center, mantendrá el control de los datos de su organización. Las identidades de usuario y grupo almacenadas en el Centro de Identidad de IAM se comparten con otros AWS servicios, como [las aplicaciones AWS gestionadas](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html), solo si las habilita con el Centro de Identidad de IAM y si dichos servicios las necesitan.
Para obtener información adicional, consulte las [preguntas frecuentes sobre la privacidad de los datos de AWS](https://aws.amazon.com/compliance/data-privacy-faq/).
## Retención de datos
IAM Identity Center almacena sus datos, como las identidades de usuarios y grupos, y los metadatos hasta que los elimine del servicio. Al eliminar una instancia de IAM Identity Center, también se eliminan los datos que contiene.
# Cifrado en reposo
IAM Identity Center proporciona cifrado para proteger los datos en reposo de los clientes usando los siguientes tipos de claves:
+ **Claves propiedad de AWS (tipo de clave predeterminado)**: el Centro de identidad de IAM utiliza estas claves de forma predeterminada para cifrar automáticamente los datos. No puede ver, gestionar, auditar su uso ni utilizar las claves AWS propias para otros fines. IAM Identity Center gestiona completamente la administración de claves para mantener sus datos seguros, sin que tenga que realizar ninguna acción. Para obtener más información, consulte [AWS owned keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la [https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ **Claves administradas por el cliente**: en las instancias de organización de IAM Identity Center, puede elegir una clave simétrica administrada por el cliente para cifrar el resto de los datos de identidad de su personal, como los atributos de usuario y grupo. Usted crea, posee y administra estas claves de cifrado. Como usted tiene el control total de esta capa de cifrado, puede realizar tareas como las siguientes:
+ Establecer y mantener políticas clave para restringir el acceso a la clave solo a los directores de IAM que necesiten acceder, como el IAM Identity Center, y [AWS aplicaciones gestionadas](awsapps.md) al mismo tiempo AWS Organizations a sus administradores.
+ Establecer y mantener las políticas de IAM para el acceso a la clave, incluido el acceso entre cuentas
+ Habilitar y deshabilitar políticas de claves
+ Rotar el material criptográfico
+ Auditar el acceso a sus datos que requiere un acceso a la clave
+ Adición de etiquetas de
+ Crear alias de clave
+ Programar la eliminación de claves
Para obtener información sobre cómo implementar una clave KMS administrada por el cliente en IAM Identity Center, consulte [Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center](identity-center-customer-managed-keys.md). Para obtener más información acerca de las claves administradas por el cliente, consulte [customer managed key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la *Guía para desarrolladores de AWS Key Management Service *.
**nota**
El Centro de Identidad de IAM permite automáticamente el cifrado en reposo mediante claves KMS AWS propias para proteger los datos de los clientes sin coste alguno. Sin embargo, se aplican AWS KMS cargos cuando se utiliza una clave gestionada por el cliente. Para obtener más información acerca de los precios, consulte [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Consideraciones a la hora de implementar claves administradas por el cliente:**
+ **Claves dedicadas**: recomendamos crear una nueva clave de KMS dedicada y administrada por el cliente para cada instancia del IAM Identity Center, en lugar de reutilizar una clave existente. Este enfoque proporciona una separación de funciones más clara, simplifica la gestión del control de acceso y facilita las auditorías de seguridad. Tener una clave dedicada también reduce el riesgo al limitar el impacto de los cambios clave a una sola instancia del IAM Identity Center.
+ **Uso del Centro de Identidad de IAM en varias instancias Regiones de AWS**: si planea replicar su instancia del Centro de Identidad de IAM en varias instancias Regiones de AWS, necesitará usar una clave KMS administrada por el cliente para el cifrado en reposo. El tipo de clave KMS de AWS propiedad predeterminada no se admite en un centro de identidad de IAM multirregional. Para obtener más información, consulte [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md).
**nota**
IAM Identity Center utiliza el [cifrado de sobre](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption) para cifrar los datos de identidad de su personal. Su clave de KMS desempeña el rol de clave de empaquetado que cifra la clave de datos que realmente se utiliza para cifrar los datos.
Para obtener más información sobre AWS KMS, consulte [¿Qué es el servicio de administración de AWS claves?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Contexto de cifrado de IAM Identity Center
Un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) es un conjunto opcional de pares clave-valor no secretos que contienen información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud. Para obtener más información sobre el cifrado, consulte la [Guía para desarrolladores de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html).
El Centro de identidades de IAM utiliza las siguientes claves de contexto de cifrado: aws:sso:instance-arn, aws:identitystore:identitystore-arn y. tenant-key-id [Por ejemplo, el AWS KMS siguiente contexto de cifrado puede aparecer en las operaciones de API invocadas por la API de IAM Identity Center.](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
El siguiente contexto de cifrado puede aparecer en las operaciones de AWS KMS API invocadas por la [API Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html).
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Algunas de las plantillas de políticas de claves en [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md) incluyen estas condiciones para garantizar que la clave se utilice únicamente con una instancia específica de IAM Identity Center.
## Supervisión de claves de cifrado para IAM Identity Center
Cuando utilizas una clave de KMS gestionada por el cliente con tu instancia del Centro de Identidad de IAM, puedes utilizar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para realizar un seguimiento de las solicitudes que envía el Centro de Identidad de IAM. AWS KMS En ella se enumeran las operaciones de la API de KMS a las que llama el Centro de Identidad de IAM. [Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) CloudTrail los eventos de estas operaciones de API contienen el contexto de cifrado, que le permite supervisar las operaciones de la AWS KMS API a las que recurre su instancia del IAM Identity Center para acceder a los datos cifrados por la clave gestionada por el cliente.
Ejemplo de contexto de cifrado en el CloudTrail caso de una operación de AWS KMS API:
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS el almacenamiento, el cifrado y la eliminación de los atributos de identidad del IAM Identity Center por parte de las aplicaciones gestionadas
Algunas aplicaciones AWS gestionadas con las que se despliega AWS IAM Identity Center, como AWS Systems Manager y Amazon CodeCatalyst, almacenan atributos específicos de usuarios y grupos del IAM Identity Center en su propio almacén de datos. El cifrado en reposo con una clave KMS gestionada por el cliente en el Centro de Identidad de IAM no se extiende a los atributos de usuario y grupo del Centro de Identidad de IAM almacenados en AWS las aplicaciones gestionadas. AWS las aplicaciones gestionadas admiten distintos métodos de cifrado para los datos que almacenan. Por último, al eliminar los atributos de usuario y grupo en el Centro de Identidad de IAM, estas aplicaciones AWS gestionadas pueden seguir almacenando esta información después de su eliminación en el Centro de Identidad de IAM. Consulte la guía del usuario de las aplicaciones AWS gestionadas para obtener información sobre el cifrado y la seguridad de los datos almacenados en las aplicaciones.
# Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center
Las claves administradas por el cliente son AWS claves del Servicio de administración de claves que usted crea, posee y administra. Para implementar una clave KMS gestionada por el cliente para el cifrado en reposo en el Centro de Identidad de AWS IAM, siga estos pasos:
**importante**
Algunas aplicaciones AWS gestionadas no se pueden utilizar con el centro de identidad de AWS IAM configurado con una clave KMS gestionada por el cliente. Consulte [AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center](awsapps-that-work-with-identity-center.md).
1. [Paso 1: identifique los casos de uso de su organización](#identify-use-cases): con el fin de definir los permisos correctos para el uso de la clave KMS, debe identificar los casos de uso relevantes en su organización. Los permisos clave de KMS consisten en instrucciones de política de claves de KMS y políticas basadas en la identidad que funcionan de forma conjunta para permitir que los responsables de IAM correspondientes utilicen la clave de KMS para sus casos de uso específicos.
1. [Paso 2: prepare las instrucciones de política de claves de KMS](#choose-kms-key-policy-statements): elija las plantillas de instrucciones de políticas de claves de KMS pertinentes en función de los casos de uso identificados en el paso 1 y rellene los identificadores obligatorios y los nombres de las entidades principales de IAM. Comience con las instrucciones de política de claves de KMS básicas y, si sus políticas de seguridad lo requieren, perfecciónelas como se describe en las declaraciones de política de claves de KMS avanzadas.
1. [Paso 3: cree una clave de KMS administrada por el cliente](#create-customer-managed-kms-key)- Cree una clave de KMS en AWS KMS que cumpla con los requisitos del centro de identidad de IAM y añada a la política clave de KMS las declaraciones de política clave de KMS preparadas en el paso 2.
1. [Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS](#configure-iam-policies-kms-key): elija las plantillas de instrucciones de políticas de IAM pertinentes en función de los casos de uso identificados en el paso 1 y prepárelas para su uso rellenando el ARN de clave. A continuación, permita que los directores de IAM de cada caso de uso específico utilicen la clave de KMS en todas las cuentas añadiendo las instrucciones de política de IAM preparadas a las políticas de IAM de las entidades principales.
1. [Paso 5: configure la clave de KMS en IAM Identity Center](#configure-kms-key-in-iam-identity-center): active la clave de KMS administrada por el cliente en su instancia de IAM Identity Center para usarla como cifrado en reposo.
## Paso 1: identifique los casos de uso de su organización
Antes de crear y configurar su clave de KMS administrada por el cliente, identifique sus casos de uso y prepare los permisos de clave de KMS necesarios. Consulte la [Guía para desarrolladores de KMS de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) para obtener más información sobre la política de claves de KMS.
Los directores de IAM que llamen al servicio del Centro de Identidad de IAM necesitan permisos. APIs Por ejemplo, se puede autorizar a un administrador delegado a utilizarlos APIs mediante una política de conjuntos de permisos. Cuando el Centro de Identidad de IAM se configura con una clave gestionada por el cliente, los directores de IAM también deben tener permisos para usar la API de KMS a través del servicio del Centro de Identidad de IAM. APIs Estos permisos de la API de KMS se definen en dos lugares: en la política de claves de KMS y en las políticas de IAM asociadas a las entidades principales de IAM.
Los permisos clave de KMS consisten en:
1. Instrucciones de políticas de claves de KMS que se especifican en la clave de KMS durante su creación en [Paso 3: cree una clave de KMS administrada por el cliente](#create-customer-managed-kms-key).
1. Instrucciones de política de IAM para los directores de IAM que se especifican en [Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS](#configure-iam-policies-kms-key) después de crear la clave de KMS.
En la siguiente tabla se especifican los casos de uso relevantes y las entidades principales de IAM que necesitan permisos para usar la clave de KMS.
| Caso de uso | Las entidades principales de IAM que necesitan permisos para usar la clave de KMS | Obligatorio/opcional |
| --- | --- | --- |
| Uso del Centro de Identidad de IAM AWS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Obligatorio |
| Uso de aplicaciones AWS gestionadas con IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
| Se utiliza AWS Control Tower en la instancia del AWS IAM Identity Center que habilitó | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
| SSO en instancias de Amazon EC2 AWS con IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
| Cualquier otro caso de uso que realice llamadas al servicio del Centro de Identidad de IAM APIs con los principios de IAM, como aplicaciones administradas por el cliente, conjuntos de permisos, flujos de trabajo de aprovisionamiento o funciones AWS Lambda | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
**nota**
Los principales de IAM que figuran en la tabla requieren permisos de la API de KMS. AWS Sin embargo, para proteger los datos de sus usuarios y grupos en el Centro de identidades de IAM, solo los servicios de IAM Identity Center e Identity Store llaman directamente a la API de KMS. AWS
## Paso 2: prepare las instrucciones de política de claves de KMS
Tras identificar los casos de uso relevantes para su organización, puede preparar las instrucciones de política de claves de KMS correspondientes.
1. Elija las instrucciones de política de claves de KMS que coincidan con los casos de uso de su organización. Comience con las plantillas de políticas básicas. Si necesita políticas más específicas en función de sus requisitos de seguridad, puede modificar las instrucciones de políticas mediante los ejemplos que se muestran en [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md). Para obtener orientación sobre esta decisión, consulte [Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline). Además, cada sección de referencia en [Instrucciones básicas de KMS y políticas de IAM](baseline-KMS-key-policy.md) incluye consideraciones relevantes.
1. Copie las políticas relevantes y envíelas a un editor e inserte los identificadores necesarios y los nombres de las entidades principales de IAM en las instrucciones de política de claves de KMS. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte [¿Dónde encontrar los identificadores necesarios](#find-the-required-identifiers).
A continuación se presentan las plantillas de políticas de referencia para cada caso de uso. Para utilizar una clave KMS, solo se necesita el primer conjunto de permisos del Centro de Identidad de AWS IAM. Le recomendamos que consulte las subsecciones correspondientes para obtener información adicional sobre casos de uso específicos.
+ [Instrucciones de política de claves básicas de KMS para el uso de IAM Identity Center (obligatorias)](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-iam-identity-center-mandatory)
+ [Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones administradas AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)
+ [Declaración clave básica de KMS para el uso de AWS Control Tower](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-specific-use-cases)
+ [Declaraciones básicas de política de IAM y clave de KMS para el uso del IAM Identity Center en las instancias de Amazon EC2](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-sso-to-amazon-ec2-windows-instances)
+ [Instrucciones básicas de políticas de IAM y de claves de KMS para el uso de flujos de trabajo personalizados con IAM Identity Center](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**importante**
Tenga cuidado al modificar las políticas de claves de KMS para las claves que ya utiliza IAM Identity Center. Si bien IAM Identity Center valida los permisos de cifrado y descifrado al configurar inicialmente una clave de KMS, no puede verificar los cambios de política posteriores. La eliminación inadvertida de los permisos necesarios podría interrumpir el funcionamiento normal de IAM Identity Center. Para obtener instrucciones sobre la solución de errores comunes relacionados con las claves administradas por el cliente en IAM Identity Center, consulte [Solucione los problemas de las claves administradas por el cliente en AWS IAM Identity Center](cmk-related-errors.md).
**nota**
IAM Identity Center y su almacén de identidades asociado requieren permisos de nivel de servicio para utilizar la clave de KMS administrada por el cliente. Este requisito se extiende a las aplicaciones AWS gestionadas que llaman al servicio del Centro de Identidad de IAM APIs mediante credenciales de servicio. Para otros casos de uso en los que APIs se llama al servicio del Centro de Identidad de IAM con [sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), solo el responsable de IAM que lo inicia (por ejemplo, un administrador) necesita permisos clave de KMS. En particular, los usuarios finales que utilizan el portal de AWS acceso y las aplicaciones AWS gestionadas no necesitan permisos clave de KMS directos, ya que se conceden a través de los servicios correspondientes.
## Paso 3: cree una clave de KMS administrada por el cliente
Puede crear una clave gestionada por el cliente mediante la consola AWS de gestión o el AWS KMS APIs. Al crear la clave, añada las instrucciones de política de claves de KMS que preparó en el paso 2 a la política de claves de KMS. Para obtener instrucciones detalladas, incluida la orientación sobre la política de claves de KMS predeterminada, consulte [AWS Key Management Service en la Guía para desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/).
La clave debe cumplir los siguientes requisitos:
+ La clave KMS debe estar en la misma AWS región que la instancia del IAM Identity Center
+ Puede crear una clave de una región o multirregional. Sin embargo, si piensa utilizar el Centro de identidad de IAM en varias ocasiones, Regiones de AWS debe crear una clave KMS multirregional. No puede convertir una clave KMS de una sola región en una de varias regiones, por lo que le recomendamos empezar con una clave de KMS de varias regiones, a menos que tenga requisitos específicos para utilizar una clave de KMS de una sola región.
+ La clave de KMS debe ser una clave simétrica configurada para el uso de «cifrado y descifrado»
+ La clave KMS debe estar en la misma cuenta de AWS Organizations administración que la instancia de la organización del IAM Identity Center
**nota**
Si tiene previsto replicar esta clave de KMS en las regiones en las que desee replicar su centro de identidad de IAM, le recomendamos que primero complete la configuración de esta sección y, a continuación, siga las instrucciones de [Replique el centro de identidad de IAM en una región adicional](replicate-to-additional-region.md)
## Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS
Cualquier administrador de IAM que utilice el servicio del Centro de Identidad de IAM APIs desde otra AWS cuenta, como los administradores delegados del Centro de Identidad de IAM, también necesita una declaración de política de IAM que permita utilizar la clave KMS a través de estas cuentas. APIs
Para cada caso de uso identificado en el paso 1:
1. Busque las plantillas de instrucciones de políticas de IAM pertinentes en Instrucciones básicas de políticas de IAM y de claves de KMS.
1. Copie las plantillas en un editor y rellene la clave ARN, que ahora está disponible tras la creación de la clave de KMS en el paso 3. Para obtener ayuda para encontrar el ARN de clave, consulte [¿Dónde encontrar los identificadores necesarios](#find-the-required-identifiers).
1. En el Consola de administración de AWS, busque la política de IAM del principal de IAM asociado al caso de uso. La ubicación de esta política varía según el caso de uso y la forma en que se concede el acceso.
+ Si el acceso se concede directamente en IAM, puede localizar las entidades principales de IAM, como los roles de IAM, en la consola de IAM.
+ Si el acceso se concedió en IAM Identity Center, puede localizar el conjunto de permisos correspondiente en la consola de IAM Identity Center.
1. Añada las instrucciones de política de IAM específicas de cada caso de uso al rol de IAM y guarde el cambio.
**nota**
Las políticas de IAM descritas aquí son políticas basadas en identidades. Si bien estas políticas se pueden asociar a los usuarios, grupos y roles de IAM, recomendamos el uso de roles de IAM siempre que sea posible. Para obtener más información acerca de los roles de IAM, consulte Roles de IAM en la Guía del usuario de IAM.
### Configuración adicional en algunas aplicaciones gestionadas AWS
Algunas aplicaciones AWS gestionadas requieren que configure un rol de servicio para permitir que las aplicaciones utilicen el servicio APIs IAM Identity Center. Si su organización utiliza aplicaciones AWS gestionadas con el Centro de identidades de IAM, complete los siguientes pasos para cada aplicación implementada:
1. Consulte la guía del usuario de la aplicación para confirmar si los permisos se han actualizado a fin de incluir los permisos relacionados con las claves del KMS para el uso de la aplicación con IAM Identity Center.
1. Si es así, actualice los permisos tal y como se indica en la guía del usuario de la aplicación para evitar interrumpir las operaciones de la aplicación.
**nota**
Si no está seguro de si una aplicación AWS gestionada utiliza estos permisos, le recomendamos que consulte las guías de usuario de todas las aplicaciones AWS gestionadas implementadas. Solo necesita realizar esta configuración una vez para cada aplicación que la requiera.
## Paso 5: configure la clave de KMS en IAM Identity Center
**importante**
Antes de continuar con este paso:
Compruebe que las aplicaciones AWS administradas sean compatibles con las claves de KMS administradas por el cliente. Para obtener una lista de aplicaciones compatibles, consulte [AWS managed applications that you can use with IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html). Si tiene aplicaciones incompatibles, no continúe.
Configure los permisos necesarios para usar la clave de KMS. Sin los permisos adecuados, este paso puede provocar errores o interrumpir la administración de IAM Identity Center, el uso de aplicaciones administradas por AWS y otros casos de uso que requieran permisos clave de KMS. Para obtener más información, consulte [Paso 1: identifique los casos de uso de su organización](#identify-use-cases).
Asegúrese de que los permisos para las aplicaciones AWS administradas y las aplicaciones administradas por el cliente que utilizan el servicio IAM Identity Center APIs con funciones de IAM también permitan el uso de la clave KMS a través del servicio IAM Identity Center. APIs Algunas aplicaciones AWS gestionadas requieren la configuración de permisos, como un rol de servicio, para su uso. APIs Consulte la guía del usuario de cada aplicación AWS administrada implementada para confirmar si necesita agregar permisos clave de KMS específicos.
### Especificación de una clave de KMS al habilitar una nueva instancia de organización de IAM Identity Center
Al habilitar una nueva instancia de organización de IAM Identity Center, puede especificar una clave de KMS administrada por el cliente durante la configuración. Esto garantiza que la instancia utilice su clave de cifrado en reposo desde el principio. Antes de comenzar, consulte [Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas](considerations-for-customer-managed-kms-keys-advanced.md).
1. En la página **Habilitar IAM Identity Center**, amplíe la sección **Cifrado en reposo**.
1. Elija **Manage Encryption (Administrar cifrado)**.
1. Elija **Claves administradas por el cliente**.
1. Para **Clave de KMS**, realice una de las siguientes operaciones:
1. Seleccione la opción **Seleccionar una de sus claves de KMS** y seleccione la clave que ha creado en la lista desplegable.
1. Seleccione **Introducir el ARN de la clave de KMS** e introduzca el ARN completo de la clave.
1. Seleccione **Save**.
1. Seleccione **Habilitar** para completar la configuración.
Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html).
### Cambio de la configuración de claves de una instancia de organización existente de IAM Identity Center
Puede cambiar la clave de KMS administrada por el cliente por otra clave o cambiar a una clave de propiedad de AWS en cualquier momento.
------
#### [ Console ]
**Para cambiar su configuración de clave de KMS**
1. Abra la consola del IAM Identity Center en [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. En el panel de navegación, seleccione **Configuración**.
1. Elija la pestaña **Configuración adicional**.
1. Seleccione **Administrar cifrado**.
1. Seleccione una de las siguientes opciones:
1. **Clave administrada por el cliente**: seleccione una clave administrada por el cliente diferente en el menú desplegable o introduzca un ARN de clave nuevo.
1. **AWS clave propia**: cambie a la opción de cifrado predeterminada.
1. Seleccione **Save**.
------
#### [ AWS CLI ]
**Para cambiar una instancia de organización existente de IAM Identity Center para que utilice la clave administrada por el cliente de KMS**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration \
KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
**Para cambiar una instancia de organización existente de IAM Identity Center para que utilice una clave de propiedad de AWS **
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```
------
**Consideraciones clave administradas por el cliente**
+ La actualización de la configuración de claves de KMS para el funcionamiento de IAM Identity Center no afecta a las sesiones de usuario activas en su IAM Identity Center. Puede seguir utilizando el portal de AWS acceso, la consola del IAM Identity Center y el servicio IAM Identity Center APIs durante este proceso.
+ Al cambiar a una nueva clave de KMS, IAM Identity Center comprueba que puede utilizarla correctamente para el cifrado y el descifrado. Si cometió un error durante la configuración de la política de claves o la política de IAM, la consola mostrará un mensaje de error explicativo y la clave de KMS anterior seguirá utilizándose.
+ La rotación anual predeterminada de claves de KMS se realizará automáticamente. Puede consultar la [Guía para desarrolladores de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) para obtener información sobre temas como la [rotación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), la [supervisión de las claves de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html) y el [control del acceso a la eliminación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html).
**importante**
Si la clave de KMS gestionada por el cliente que utiliza su instancia de IAM Identity Center se elimina, deshabilita o no se puede acceder a ella debido a una política de claves de KMS incorrecta, los usuarios de su personal y los administradores de IAM Identity Center no podrán utilizar IAM Identity Center. La pérdida de acceso puede ser temporal (se puede corregir una política de claves) o permanente (no se puede restaurar una clave eliminada), según las circunstancias. Le recomendamos que [restrinja el acceso](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) a las operaciones críticas, como eliminar o deshabilitar la clave de KMS. Además, recomendamos que su organización establezca [AWS procedimientos de acceso innovadores para garantizar que sus usuarios privilegiados puedan acceder](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) AWS en caso de que el IAM Identity Center no esté accesible.
## ¿Dónde encontrar los identificadores necesarios
Al configurar los permisos para la clave de KMS administrada por el cliente, necesitará identificadores de recursos de AWS específicos para completar las plantillas de instrucciones de políticas de claves y de políticas de IAM. Inserte los identificadores necesarios (por ejemplo, el identificador de la organización) y los nombres de entidades principales de IAM en las instrucciones de política de claves de KMS.
A continuación, encontrará una guía para localizar estos identificadores en la consola de AWS administración.
**Nombre de recurso de Amazon (ARN) de IAM Identity Center y ARN de Identity Store**
Una instancia de IAM Identity Center es un AWS recurso con su propio ARN único, como arn:aws:sso: ::instance/ssoins-1234567890abcdef. El ARN sigue el patrón documentado en la sección de tipos de recursos de IAM Identity Center de la Referencia de autorizaciones de servicios.
Cada instancia de IAM Identity Center tiene un almacén de identidades asociado que almacena las identidades de los usuarios y los grupos. Un almacén de identidades tiene un identificador único denominado ID de almacén de identidades (por ejemplo, d-123456789a). El ARN sigue el patrón documentado en la sección de tipos de recursos de Identity Store de la [Referencia de autorizaciones de servicios](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html).
Puede encontrar los valores del ARN y del ID de almacén de identidades en la página de configuración de su IAM Identity Center. El ID de almacén de identidades se encuentra en la pestaña Origen de identidad.
**AWS Organizations ID**
Si desea especificar un ID de organización (por ejemplo, o-exampleorg1) en su política de claves, puede encontrar su valor en la página de configuración de las consolas de IAM Identity Center y Organizations. El ARN sigue el patrón documentado en la sección de tipos de recursos de Organizations de la Referencia de autorizaciones de servicios.
**ARN de clave de KMS**
Puede encontrar el ARN de una clave KMS en la AWS KMS consola. Elija Claves administradas por el cliente a la izquierda, haga clic en la clave cuyo ARN desee buscar y la verá en la sección Configuración general. El ARN sigue el patrón documentado en la sección de tipos de AWS KMS recursos de la Referencia de autorización de servicio.
Consulte la Guía para AWS Key Management Service desarrolladores para obtener más información sobre las políticas clave AWS KMS y la solución de problemas relacionados con AWS KMS los permisos. Para obtener más información acerca de las políticas de IAM y su representación en JSON, consulte la Guía del usuario de IAM.
# Instrucciones básicas de KMS y políticas de IAM
Las políticas básicas basadas en la identidad y las claves de KMS que se proporcionan aquí sirven de base para los requisitos comunes. También le recomendamos que revise [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md) que proporciona controles de acceso más detallados, como garantizar que solo una instancia específica de IAM Identity Center o una aplicación administrada por AWS pueda acceder a la clave KMS. Antes de utilizar las instrucciones de políticas de claves de KMS avanzadas, revise las [Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
En las secciones siguientes, se incluyen instrucciones de política de referencia para cada caso de uso. Amplíe las secciones que se adapten a sus casos de uso y copie las principales declaraciones de políticas de KMS. A continuación, vuelva a[Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements).
## Instrucciones de política de claves básicas de KMS para el uso de IAM Identity Center (obligatorias)
Utilice la siguiente plantilla de instrucción de políticas de claves de KMS en [Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que IAM Identity Center, su almacén de identidades asociado y los administradores de IAM Identity Center utilicen la clave de KMS.
+ En el elemento principal de las declaraciones de política del administrador, especifique los principales de las AWS cuentas de administración del Centro de Identidad de IAM, que son la cuenta de administración de la AWS organización y la cuenta de administración delegada, utilizando el formato «arn:aws:iam: :111122223333:root».
+ En el PrincipalArn elemento, sustituya el ejemplo por las funciones de IAM de los administradores del IAM Identity Center. ARNs
Puede especificar:
+ ARN de rol de IAM específico:
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678"`
+ Patrón comodín (recomendado):
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"`
El uso del comodín (`*`) evita la pérdida de acceso si el conjunto de permisos se elimina y se vuelve a crear, ya que Identity Center genera nuevos identificadores únicos para los conjuntos de permisos recreados. Para ver un ejemplo de implementación, consulte. [Ejemplo de políticas de confianza personalizadas](referencingpermissionsets.md#custom-trust-policy-example)
+ En el SourceAccount elemento, especifique el ID de cuenta del IAM Identity Center.
+ Identity Store tiene su propia entidad principal de servicio, `identitystore.amazonaws.com`, a la que se le debe permitir usar la clave de KMS.
+ Estas declaraciones de política permiten que las instancias del Centro de Identidad de IAM de una AWS cuenta específica utilicen la clave KMS. Para restringir el acceso a una instancia específica de IAM Identity Center, consulte [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md). Solo puede tener una instancia del IAM Identity Center para cada AWS cuenta.
Instrucciones de política de claves de KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
Utilice la siguiente plantilla de instrucción de políticas de IAM en [Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que los administradores de IAM Identity Center utilicen la clave de KMS.
+ Sustituya el ARN de clave de ejemplo del elemento `Resource` por el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte [¿Dónde encontrar los identificadores necesarios](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Estas declaraciones de política de IAM conceden acceso a la clave de KMS al director de IAM, pero no restringen el AWS servicio que puede realizar la solicitud. La política de claves de KMS suele proporcionar estas restricciones de servicio. Sin embargo, puede añadir un contexto de cifrado a esta política de IAM para limitar el uso a una instancia específica de Identity Center. Consulte [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md) para obtener más información.
Las instrucciones de política de IAM son obligatorias para los administradores delegados de IAM Identity Center
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
}
]
}
```
## Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones administradas AWS
**nota**
Algunas aplicaciones AWS administradas no se pueden usar con el centro de identidad de IAM configurado con una clave de KMS administrada por el cliente. Para obtener más información, consulte [AWS managed applications that work with IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Utilice la siguiente plantilla de declaración de política clave de KMS [Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que tanto las aplicaciones AWS gestionadas como sus administradores utilicen la clave de KMS.
+ Introduzca su AWS Organizations ID en el PrincipalOrg ID y SourceOrgId las condiciones. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte [¿Dónde encontrar los identificadores necesarios](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Estas declaraciones de política permiten a cualquiera de sus aplicaciones AWS gestionadas y a todos los responsables de IAM (administradores de aplicaciones) de la AWS organización utilizar kms: Decrypt mediante IAM Identity Center e Identity Store. Para restringir estas instrucciones de política a aplicaciones administradas por AWS , cuentas o instancias del IAM Identity Center específicas, consulte [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md).
Puede restringir el acceso a administradores de aplicaciones específicos sustituyendo ` *` por las entidades principales de IAM específicas. Para protegerse de los cambios en el nombre del rol de IAM al volver a crear conjuntos de permisos, utilice el enfoque de [Ejemplo de políticas de confianza personalizadas](referencingpermissionsets.md#custom-trust-policy-example). Para obtener más información, consulte [Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
Instrucciones de política de claves de KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
Utilice la siguiente plantilla de instrucción de política de IAM en [Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que los administradores de las aplicaciones administradas por AWS utilicen la clave KMS de una cuenta de miembro.
+ Sustituya el ARN de ejemplo del elemento Recurso por el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte [¿Dónde encontrar los identificadores necesarios](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Algunas aplicaciones AWS gestionadas requieren que configure los permisos para el servicio IAM Identity Center. APIs Antes de configurar una clave administrada por el cliente en IAM Identity Center, compruebe que estos permisos también permiten el uso de la clave de KMS. Para conocer los requisitos específicos de permisos clave de KMS, consulte la documentación de cada aplicación administrada por AWS que haya implementado.
Declaraciones de política de IAM obligatorias para los administradores de aplicaciones AWS gestionadas:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Declaración clave básica de KMS para el uso de AWS Control Tower
Utilice las siguientes plantillas de declaraciones clave de KMS [Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que los administradores AWS de la Torre de Control usen la clave de KMS.
+ En el elemento principal, especifique los principios de IAM utilizados para acceder al servicio del Centro de identidad de IAM. APIs Para obtener más información sobre las entidades principales de IAM, consulte [Cómo especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en la *Guía del usuario de IAM*.
+ Estas declaraciones de política permiten a los administradores de la Torre de AWS Control utilizar la clave KMS en cualquiera de sus instancias del IAM Identity Center. Sin embargo, AWS Control Tower restringe el acceso a la instancia organizativa de IAM Identity Center en la misma AWS organización. Debido a esta restricción, restringir aún más la clave KMS a una instancia específica del IAM Identity Center no tiene ningún beneficio práctico, como se describe en. [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md)
+ Para evitar que se produzcan cambios en el nombre de las funciones de IAM cuando se vuelvan a crear conjuntos de permisos, utilice el enfoque descrito en la. [Ejemplo de políticas de confianza personalizadas](referencingpermissionsets.md#custom-trust-policy-example)
Instrucción de la política de claves de KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
AWS Control Tower no admite la administración delegada y, por lo tanto, no es necesario configurar una política de IAM para sus administradores.
**importante**
La declaración de política anterior abarca las operaciones AWS Control Tower gestionadas por el servicio, como la inscripción automática de cuentas, en las que AWS Control Tower asume la función. `AWSControlTowerAdmin` Sin embargo, para las operaciones iniciadas por el cliente, como el aprovisionamiento de cuentas a través de Account Factory o las llamadas AWS Control Tower APIs directas, AWS Control Tower utiliza [sesiones de acceso directo (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) y opera bajo la propia función de IAM del cliente. Esto significa que la función de IAM que utilizas para iniciar estas operaciones también necesita `kms:Decrypt` permisos en la clave de KMS administrada por el cliente.
Agregue las siguientes declaraciones de política clave de KMS junto con las `AWSControlTowerAdmin` declaraciones anteriores. *MyControlTowerRole*Sustitúyalo por el ARN del rol de IAM con el que utilizas para interactuar AWS Control Tower, como un rol de conjunto de permisos del Centro de Identidad de IAM (por ejemplo,`AWSReservedSSO_PermissionSetName_*`), un rol de IAM personalizado para la automatización o cualquier otro rol que se utilice para llamar o. AWS Control Tower AWS Service Catalog APIs
Declaración de política clave de KMS para las operaciones iniciadas por el cliente: AWS Control Tower
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityCenterForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityStoreForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
## Declaraciones básicas de política de IAM y clave de KMS para el uso del IAM Identity Center en las instancias de Amazon EC2
Utilice la siguiente plantilla de declaración de política clave de KMS [Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir a los usuarios de inicio de sesión único (SSO) en las instancias de Amazon EC2 utilizar la clave de KMS en todas las cuentas.
+ Especifique las entidades principales de IAM que se utilizan para acceder a IAM Identity Center en el campo Entidad principal. Para obtener más información sobre las entidades principales de IAM, consulte [Cómo especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en la *Guía del usuario de IAM*.
+ Esta instrucción de política permite que cualquiera de sus instancias de IAM Identity Center utilice la clave de KMS. Para restringir el acceso a una instancia específica de IAM Identity Center, consulte [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md).
+ Para protegerse de los cambios en el nombre del rol de IAM al volver a crear conjuntos de permisos, utilice el enfoque descrito en el ejemplo de política de confianza personalizada.
Instrucción de política de claves de KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Utilice la siguiente plantilla de declaración de política de IAM [Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que el SSO de las instancias EC2 utilice la clave de KMS.
Adjunte la declaración de política de IAM al conjunto de permisos existente en el Centro de identidades de IAM que está utilizando para permitir el acceso SSO a las instancias de Amazon EC2. Para ver ejemplos de políticas de IAM, consulte [Conexiones del protocolo de escritorio remoto](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-iam-policy-examples) en la *Guía del usuario de AWS Systems Manager*.
+ Sustituya el ARN de ejemplo del elemento Recurso por el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte [¿Dónde encontrar los identificadores necesarios](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Política de IAM del conjunto de permisos:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Instrucciones básicas de políticas de IAM y de claves de KMS para el uso de flujos de trabajo personalizados con IAM Identity Center
Utilice las siguientes plantillas de declaraciones de políticas clave de KMS [Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que los flujos de trabajo personalizados, como las aplicaciones administradas por el cliente, en la cuenta de administración o la AWS Organizations cuenta de administración delegada utilicen la clave de KMS. Tenga en cuenta que la federación de SAML en las aplicaciones administradas por el cliente no requiere permisos clave de KMS.
+ En el elemento principal, especifique los principios de IAM que se utilizan para acceder al servicio del Centro de identidad de IAM. APIs Para obtener más información sobre las entidades principales de IAM, consulte [Cómo especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en la *Guía del usuario de IAM*.
+ Estas instrucciones de política permiten que su flujo de trabajo utilice la clave de KMS en cualquiera de sus instancias de IAM Identity Center. Para restringir el acceso a una instancia específica de IAM Identity Center, consulte [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md).
+ Para protegerse de los cambios en el nombre de las funciones de IAM cuando se recrean los conjuntos de permisos, utilice el enfoque descrito en el. [Ejemplo de políticas de confianza personalizadas](referencingpermissionsets.md#custom-trust-policy-example)
Instrucción de la política de claves de KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Utilice la siguiente plantilla de instrucción de políticas de IAM en [Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que la entidad principal de IAM asociada al flujo de trabajo personalizado utilice la clave de KMS en todas las cuentas. Añada la instrucción de política de IAM a la entidad principal de IAM.
+ Sustituya el ARN de ejemplo del elemento Recurso por el ARN de clave de KMS real. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte [¿Dónde encontrar los identificadores necesarios](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Instrucción de política de IAM (necesaria solo para el uso entre cuentas):
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Ejemplos de declaraciones de políticas clave de KMS para casos de uso comunes
### Centro de identidad de IAM con administradores delegados y AWS aplicaciones gestionadas
Esta sección contiene ejemplos de las principales declaraciones de política del KMS que puede utilizar para una instancia del IAM Identity Center que tenga administradores delegados y aplicaciones gestionadas. AWS
**importante**
En las declaraciones de política clave de KMS se parte del supuesto de que su instancia del Centro de Identidad de IAM no se utilizará en ningún otro caso de uso que requiera permisos de clave de KMS. Para confirmarlo, puedes revisar todos los [casos de uso](identity-center-customer-managed-keys.md#identify-use-cases). Además, para confirmar si las aplicaciones AWS gestionadas requieren una configuración adicional, consulte [Configuración adicional en algunas aplicaciones gestionadas AWS](identity-center-customer-managed-keys.md#additional-config-in-some-aws-apps)
Copie las declaraciones de política clave de KMS que aparecen debajo de la tabla y agréguelas a su política de clave de KMS. En este ejemplo se utilizan los siguientes valores de ejemplo:
+ `111122223333`- ID de cuenta de la instancia del IAM Identity Center
+ `444455556666`- ID de cuenta de administración delegada
+ `o-a1b2c3d4e5`- ID de AWS organización
+ ` arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*`- Un patrón comodín de la función de IAM de un administrador del Centro de Identidad de IAM proporcionada a partir del conjunto de permisos. *Admin* Este rol contiene el código de región de la región principal (us-east-1 en este ejemplo).
+ ` arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*`- Un patrón comodín de una función de IAM de un administrador delegado del Centro de Identidad de IAM proporcionada a partir del conjunto de permisos. *DelegatedAdmin* Este rol contiene el código de región de la región principal (us-east-1 en este ejemplo).
Si la función de IAM no se generó a partir de un conjunto de permisos, la función de IAM tendrá el aspecto de una función normal, por ejemplo. `arn:aws:iam::111122223333:role/idcadmin`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
# Instrucciones de política de claves de KMS avanzadas
Utilice las instrucciones de política de claves de KMS avanzadas para implementar controles de acceso más detallados para su clave de KMS administrada por el cliente. Estas políticas se basan en [Instrucciones básicas de KMS y políticas de IAM](baseline-KMS-key-policy.md) al agregar condiciones de contexto de cifrado y restricciones específicas del servicio. Antes de decidir si va a utilizar las instrucciones de política de claves de KMS avanzadas, asegúrese de revisar las consideraciones pertinentes.
## Uso del contexto de cifrado para restringir el acceso
Puede restringir el uso de claves de KMS a una instancia específica de IAM Identity Center especificando una condición de contexto de cifrado en sus instrucciones de política de claves. Las instrucciones de políticas de claves de referencia ya incluyen este contexto con un valor genérico. Sustituya el comodín «\$1» por un ARN de instancia de Identity Center y un ARN de Identity Store específicos para garantizar que la clave solo funcione con la instancia deseada. También puede añadir las mismas condiciones de contexto de cifrado a la política de IAM configurada para el uso de la clave de KMS entre cuentas.
Centro de identidades
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Almacén de identidades
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
Si necesita ayuda para encontrar estos identificadores, consulte. [¿Dónde encontrar los identificadores necesarios](identity-center-customer-managed-keys.md#find-the-required-identifiers)
**nota**
Solo puede usar una clave de KMS administrada por el cliente con una instancia de organización de IAM Identity Center. La clave administrada por el cliente debe estar ubicada en la cuenta de administración de la AWS organización, lo que ayuda a garantizar que la clave se utilice con una única instancia de IAM Identity Center. Sin embargo, el mecanismo de contexto de cifrado proporciona una protección técnica independiente contra el uso de una sola instancia. También puede usar la clave de condición `aws:SourceArn` en las instrucciones de política de claves de KMS destinadas a las entidades principales de servicio de Identity Center e Identity Store.
### Consideraciones para implementar las condiciones del contexto de cifrado
Antes de implementar las condiciones del contexto de cifrado, revise estos requisitos:
+ **DescribeKey acción.** El contexto de cifrado no se puede aplicar a la acción «kms:DescribeKey», que pueden utilizar los administradores del IAM Identity Center. Al configurar su política de claves de KMS, excluya el contexto de cifrado para esta acción específica a fin de garantizar el correcto funcionamiento de su instancia de IAM Identity Center.
+ **Configuración de una instancia nueva.** Si habilita una nueva instancia de IAM Identity Center con una clave de KMS administrada por el cliente, consulte [Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas](considerations-for-customer-managed-kms-keys-advanced.md).
+ **Cambios en el origen de identidad.** Al cambiar el origen de identidad a Active Directory o desde Active Directory, se debe prestar especial atención al contexto de cifrado. Consulte [Consideraciones para cambiar la fuente de identidad](manage-your-identity-source-considerations.md).
## Plantillas de política de
Seleccione entre estas plantillas de políticas avanzadas en función de sus requisitos de seguridad. Equilibre los controles de acceso detallados con la sobrecarga administrativa que suponen.
Los temas que se tratan aquí:
+ [Instrucciones de política de KMS para el uso de solo lectura de una instancia específica de IAM Identity Center](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). En esta sección se muestra el uso del contexto de cifrado para el acceso de solo lectura a IAM Identity Center.
+ [Se han perfeccionado las principales declaraciones de política de KMS para el uso de aplicaciones gestionadas AWS](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). En esta sección se muestra cómo refinar las políticas de claves de KMS para las aplicaciones AWS administradas mediante el contexto de cifrado y la información de la aplicación, como el principal del servicio de la aplicación, el ARN de la aplicación y el ID de AWS cuenta.
## Instrucciones de política de KMS para el uso de solo lectura de una instancia específica de IAM Identity Center
Esta política permite a los [auditores de seguridad](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) y al resto del personal que solo necesita acceso de lectura a IAM Identity Center utilizar la clave de KMS.
Para usar esta política:
1. Sustituya las entidades principales de IAM de administrador de solo lectura del ejemplo por las entidades principales de IAM de administrador actuales
1. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real
1. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store
1. Si se utiliza la [administración delegada](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html), consulte [Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)
Si necesita ayuda para encontrar los valores de estos identificadores, consulte. [¿Dónde encontrar los identificadores necesarios](identity-center-customer-managed-keys.md#find-the-required-identifiers)
Una vez que haya actualizado la plantilla con sus valores, vuelva a [Paso 2: prepare las instrucciones de política de claves de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para preparar otras instrucciones de política de claves de KMS, según sea necesario.
La acción de kms: descifrar por sí sola no restringe el acceso a las operaciones de solo lectura. La política de IAM debe imponer el acceso de solo lectura al servicio del Centro de identidad de IAM. APIs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## Se han perfeccionado las principales declaraciones de política de KMS para el uso de aplicaciones gestionadas AWS
Estas plantillas de políticas proporcionan un control más detallado sobre qué aplicaciones AWS administradas pueden usar su clave de KMS.
**nota**
Algunas aplicaciones AWS administradas no se pueden usar con el Centro de identidad de IAM configurado con una clave de KMS administrada por el cliente. Consulte [Aplicaciones administradas por AWS que puede utilizar con IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
[Declaraciones básicas de política de IAM y clave de KMS para el uso de aplicaciones administradas AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)Permiten que cualquier aplicación AWS gestionada de cualquier cuenta de la misma AWS organización utilice la clave KMS. Utilice estas políticas refinadas para restringir el acceso de la siguiente manera:
+ Entidad principal del servicio de aplicaciones
+ Instancia de aplicación ARNs
+ AWS account IDs
+ Contexto de cifrado para instancias específicas de IAM Identity Center
**nota**
Un principal de servicio es un identificador único de un AWS servicio, normalmente con el formato servicename.amazonaws.com (por ejemplo, elasticmapreduce.amazonaws.com para Amazon EMR).
### Restricción por cuenta
Esta plantilla de declaración de política clave de KMS permite que una aplicación AWS gestionada en cuentas específicas utilice la clave de KMS mediante una instancia específica del IAM Identity Center. AWS
Para usar esta política:
1. Sustituya la entidad principal de servicio de ejemplo por la entidad principal de servicio de la aplicación actual
1. Sustituya la cuenta IDs de ejemplo por la cuenta real en la IDs que se AWS implementan las aplicaciones gestionadas
1. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store
1. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### Restricción por instancia de aplicación
Esta plantilla de declaración de política clave de KMS permite que una instancia de aplicación AWS gestionada específica utilice la clave de KMS mediante una instancia específica del IAM Identity Center.
Para usar esta política:
1. Sustituya la entidad principal de servicio de ejemplo por la entidad principal de servicio de la aplicación actual
1. Sustituya el ARN de la aplicación de ejemplo por el ARN de la instancia de aplicación real
1. Sustituya el ARN de Identity Store de ejemplo por el ARN actual de Identity Store
1. Sustituya el ARN de la instancia de IAM Identity Center de ejemplo por el ARN de la instancia real
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas
Al implementar claves de KMS administradas por el cliente con IAM Identity Center, tenga en cuenta estos factores que afectan a la configuración, la seguridad y el mantenimiento continuo de la configuración de cifrado.
## Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas
Al decidir si desea hacer que los permisos de clave de KMS sean más específicos usando [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md), tenga en cuenta la sobrecarga de administración y las necesidades de seguridad de su organización. Las instrucciones de políticas más específicas proporcionan un control más detallado sobre quién puede usar la clave y con qué fines; sin embargo, requieren un mantenimiento continuo a medida que evoluciona la configuración de IAM Identity Center. Por ejemplo, si restringe el uso de la clave KMS a implementaciones de aplicaciones AWS gestionadas específicas, tendrá que actualizar la política clave siempre que su organización desee implementar o anular el despliegue de una aplicación. Las políticas menos restrictivas reducen la carga administrativa, pero pueden conceder permisos más amplios de los necesarios para cumplir sus requisitos de seguridad.
## Consideraciones para habilitar una nueva instancia de IAM Identity Center con una clave de KMS administrada por el cliente
Estas consideraciones se aplican si utiliza el contexto de cifrado, tal como se describe en [Instrucciones de política de claves de KMS avanzadas](advanced-kms-policy.md) para restringir el uso de la clave de KMS a una instancia específica de IAM Identity Center.
Al habilitar una nueva instancia del Centro de Identidad de IAM con una clave de KMS administrada por el cliente, el Centro de Identidad de IAM y el Almacén de identidades no estarán disponibles hasta ARNs después de la configuración. Dispone de las opciones siguientes:
+ Usa patrones de ARN genéricos de forma temporal y, a continuación, sustitúyelos por completos una ARNs vez que la instancia esté habilitada. Recuerde cambiar de operador a StringEquals StringLike operador según sea necesario.
+ Para IAM Identity Center SPN: «arn:\$1\$1Partition\$1:sso:::instance/\$1».
+ Para Identity Store SPN: «arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/\$1».
+ Utilice «purpose:KEY\$1CONFIGURATION» en el ARN temporalmente. Esto solo funciona para la habilitación de instancias, por ejemplo, y debe sustituirse por el ARN real para que la instancia de IAM Identity Center funcione normalmente. La ventaja de este enfoque es que no puede olvidar reemplazarlo una vez habilitada la instancia.
+ Para el SPN de IAM Identity Center, utilice: «arn:\$1\$1Partition\$1:sso:::instance/purpose:KEY\$1CONFIGURATION»
+ Para el SPN de Identity Store, utilice: «arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/purpose:KEY\$1CONFIGURATION».
**importante**
No aplique esta configuración a una clave de KMS que ya esté en uso en una instancia de IAM Identity Center existente, ya que podría interrumpir su funcionamiento normal.
+ Omita la condición del contexto de cifrado de la política de claves de KMS hasta que la instancia esté habilitada.