Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado en reposo
IAM Identity Center proporciona cifrado para proteger los datos en reposo de los clientes usando los siguientes tipos de claves:
-
Claves propiedad de AWS (tipo de clave predeterminado): el Centro de identidad de IAM utiliza estas claves de forma predeterminada para cifrar automáticamente los datos. No puede ver, gestionar, auditar su uso ni utilizar las claves AWS propias para otros fines. IAM Identity Center gestiona completamente la administración de claves para mantener sus datos seguros, sin que tenga que realizar ninguna acción. Para obtener más información, consulte AWS owned keys en la Guía para desarrolladores de AWS Key Management Service .
-
Claves administradas por el cliente: en las instancias de organización de IAM Identity Center, puede elegir una clave simétrica administrada por el cliente para cifrar el resto de los datos de identidad de su personal, como los atributos de usuario y grupo. Usted crea, posee y administra estas claves de cifrado. Como usted tiene el control total de esta capa de cifrado, puede realizar tareas como las siguientes:
-
Establecer y mantener políticas clave para restringir el acceso a la clave solo a los directores de IAM que necesiten acceder, como el IAM Identity Center, y AWS aplicaciones gestionadas al mismo tiempo AWS Organizations a sus administradores.
-
Establecer y mantener las políticas de IAM para el acceso a la clave, incluido el acceso entre cuentas
-
Habilitar y deshabilitar políticas de claves
-
Rotar el material criptográfico
-
Auditar el acceso a sus datos que requiere un acceso a la clave
-
Adición de etiquetas
-
Crear alias de clave
-
Programar la eliminación de claves
-
Para obtener información sobre cómo implementar una clave KMS administrada por el cliente en IAM Identity Center, consulte Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center. Para obtener más información acerca de las claves administradas por el cliente, consulte customer managed key en la Guía para desarrolladores de AWS Key Management Service .
nota
El Centro de Identidad de IAM permite automáticamente el cifrado en reposo mediante claves KMS AWS propias para proteger los datos de los clientes sin coste alguno. Sin embargo, se aplican AWS KMS cargos cuando se utiliza una clave gestionada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service
Consideraciones a la hora de implementar claves administradas por el cliente:
-
Claves dedicadas: recomendamos crear una nueva clave de KMS dedicada y administrada por el cliente para cada instancia del IAM Identity Center, en lugar de reutilizar una clave existente. Este enfoque proporciona una separación de funciones más clara, simplifica la gestión del control de acceso y facilita las auditorías de seguridad. Tener una clave dedicada también reduce el riesgo al limitar el impacto de los cambios clave a una sola instancia del IAM Identity Center.
-
Uso del Centro de Identidad de IAM en varias instancias Regiones de AWS: si planea replicar su instancia del Centro de Identidad de IAM en varias instancias Regiones de AWS, necesitará usar una clave KMS administrada por el cliente para el cifrado en reposo. El tipo de clave KMS de AWS propiedad predeterminada no se admite en un centro de identidad de IAM multirregional. Para obtener más información, consulte Uso del centro de identidad de IAM en varios Regiones de AWS.
nota
IAM Identity Center utiliza el cifrado de sobre para cifrar los datos de identidad de su personal. Su clave de KMS desempeña el rol de clave de empaquetado que cifra la clave de datos que realmente se utiliza para cifrar los datos.
Para obtener más información sobre AWS KMS, consulte ¿Qué es el servicio de administración de AWS claves?
Contexto de cifrado de IAM Identity Center
Un contexto de cifrado es un conjunto opcional de pares clave-valor no secretos que contienen información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud. Para obtener más información sobre el cifrado, consulte la Guía para desarrolladores de AWS KMS.
El Centro de identidades de IAM utiliza las siguientes claves de contexto de cifrado: aws:sso:instance-arn, aws:identitystore:identitystore-arn y. tenant-key-id Por ejemplo, el AWS KMS siguiente contexto de cifrado puede aparecer en las operaciones de API invocadas por la API de IAM Identity Center.
"encryptionContext": { "tenant-key-id": "ssoins-1234567890abcdef", "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }
El siguiente contexto de cifrado puede aparecer en las operaciones de AWS KMS API invocadas por la API Identity Store.
"encryptionContext": { "tenant-key-id": "12345678-1234-1234-1234-123456789012", "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890" }
Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Algunas de las plantillas de políticas de claves en Instrucciones de política de claves de KMS avanzadas incluyen estas condiciones para garantizar que la clave se utilice únicamente con una instancia específica de IAM Identity Center.
Supervisión de claves de cifrado para IAM Identity Center
Cuando utilizas una clave de KMS gestionada por el cliente con tu instancia del Centro de Identidad de IAM, puedes utilizar AWS CloudTrailAmazon CloudWatch Logs para realizar un seguimiento de las solicitudes que envía el Centro de Identidad de IAM. AWS KMS En ella se enumeran las operaciones de la API de KMS a las que llama el Centro de Identidad de IAM. Paso 2: prepare las instrucciones de política de claves de KMS CloudTrail los eventos de estas operaciones de API contienen el contexto de cifrado, que le permite supervisar las operaciones de la AWS KMS API a las que recurre su instancia del IAM Identity Center para acceder a los datos cifrados por la clave gestionada por el cliente.
Ejemplo de contexto de cifrado en el CloudTrail caso de una operación de AWS KMS API:
{ "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx", "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx" } } }
AWS el almacenamiento, el cifrado y la eliminación de los atributos de identidad del IAM Identity Center por parte de las aplicaciones gestionadas
Algunas aplicaciones AWS gestionadas con las que se despliega AWS IAM Identity Center, como AWS Systems Manager y Amazon CodeCatalyst, almacenan atributos específicos de usuarios y grupos del IAM Identity Center en su propio almacén de datos. El cifrado en reposo con una clave KMS gestionada por el cliente en el Centro de Identidad de IAM no se extiende a los atributos de usuario y grupo del Centro de Identidad de IAM almacenados en AWS las aplicaciones gestionadas. AWS las aplicaciones gestionadas admiten distintos métodos de cifrado para los datos que almacenan. Por último, al eliminar los atributos de usuario y grupo en el Centro de Identidad de IAM, estas aplicaciones AWS gestionadas pueden seguir almacenando esta información después de su eliminación en el Centro de Identidad de IAM. Consulte la guía del usuario de las aplicaciones AWS gestionadas para obtener información sobre el cifrado y la seguridad de los datos almacenados en las aplicaciones.
