Cifrado en reposo - AWS IAM Identity Center
Contexto de cifrado del IAM Identity CenterUtilizar el contexto de cifrado para controlar el acceso a la clave administrada por el clienteSupervisión de las claves de cifrado del IAM Identity CenterAWS el almacenamiento, el cifrado y la eliminación de los atributos de identidad del IAM Identity Center por parte de las aplicaciones gestionadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo

nota

Las claves KMS gestionadas por el cliente AWS IAM Identity Center están disponibles actualmente en determinadas AWS regiones.

El centro de identidad de IAM proporciona cifrado para proteger los datos inactivos de los clientes mediante los siguientes tipos de claves:

  • Claves propiedad de AWS (tipo de clave predeterminado): el Centro de identidad de IAM utiliza estas claves de forma predeterminada para cifrar automáticamente los datos. No puede ver, gestionar, auditar su uso ni utilizar las claves AWS propias para otros fines. IAM Identity Center se encarga exclusivamente de la gestión de las claves para mantener sus datos seguros, sin que tenga que realizar ninguna acción. Para obtener más información, consulte las claves propiedad de AWS en la Guía para desarrolladores de AWS Key Management Service .

  • Claves gestionadas por el cliente: en las instancias organizativas de IAM Identity Center, puede elegir una clave simétrica gestionada por el cliente para cifrar el resto de los datos de identidad de sus empleados, como los atributos de usuario y grupo. Usted crea, posee y administra estas claves de cifrado. Como usted tiene el control total de esta capa de cifrado, puede realizar tareas como las siguientes:

    • Establecer y mantener políticas clave para restringir el acceso a la clave solo a los directores de IAM que necesiten acceder, como el Centro de Identidad de IAM y las aplicaciones AWS gestionadas del mismo AWS Organizations y sus administradores.

    • Establecer y mantener políticas de IAM para el acceso a la clave, incluido el acceso entre cuentas

    • Habilitar y deshabilitar políticas de claves

    • Rotar el material criptográfico

    • Auditar el acceso a sus datos que requiere un acceso clave

    • Agregar etiquetas.

    • Crear alias de clave

    • Programar la eliminación de claves

Para obtener información sobre cómo implementar una clave KMS gestionada por el cliente en el Centro de Identidad de IAM, consulteImplementación de claves KMS administradas por el cliente en AWS IAM Identity Center. Para obtener más información sobre las claves administradas por el cliente, consulte la clave administrada por el cliente en la Guía para AWS Key Management Service desarrolladores.

nota

El Centro de Identidad de IAM habilita automáticamente el cifrado en reposo mediante claves KMS AWS propias para proteger los datos de los clientes sin coste alguno. Sin embargo, se aplican AWS KMS cargos cuando se utiliza una clave gestionada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Consideraciones a la hora de implementar claves administradas por el cliente:

  • Excepción para las sesiones existentes: el cifrado en reposo con una clave gestionada por el cliente también se aplica a los datos de identidad de los empleados, como los atributos de los usuarios y los grupos, almacenados temporalmente en las sesiones de los usuarios. Al configurar una clave gestionada por el cliente en el Centro de identidades de IAM, la clave gestionada por el cliente se utiliza para cifrar los datos de identidad del personal en las sesiones nuevas. En las sesiones iniciadas antes del lanzamiento de esta función, los datos de identidad de los empleados permanecen cifrados de forma predeterminada Claves propiedad de AWS hasta que la sesión caduque (máximo 90 días) o finalice, momento en el que estos datos se eliminan automáticamente.

  • Claves dedicadas: recomendamos crear una nueva clave KMS dedicada y gestionada por el cliente para cada instancia del IAM Identity Center, en lugar de reutilizar una clave existente. Este enfoque proporciona una separación de funciones más clara, simplifica la gestión del control de acceso y facilita las auditorías de seguridad. Tener una clave dedicada también reduce el riesgo al limitar el impacto de los cambios clave a una sola instancia del IAM Identity Center.

nota

El Centro de Identidad de IAM utiliza el cifrado de sobres para cifrar los datos de identidad de sus empleados. Su clave KMS desempeña la función de clave de empaquetado que cifra la clave de datos que realmente se utiliza para cifrar los datos.

Para obtener más información sobre AWS KMS, consulte ¿Qué es el servicio de administración de AWS claves?

Contexto de cifrado del IAM Identity Center

Un contexto de cifrado es un conjunto opcional de pares clave-valor no secretos que contienen información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud. Consulte la Guía para desarrolladores de KMS para obtener más información sobre el contexto de cifrado.

El Centro de identidades de IAM utiliza las siguientes claves de contexto de cifrado: aws:sso:instance-arn, aws:identitystore:identitystore-arn y. tenant-key-id Por ejemplo, el AWS KMS siguiente contexto de cifrado puede aparecer en las operaciones de API invocadas por la API de IAM Identity Center. 


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

El siguiente contexto de cifrado puede aparecer en las operaciones de AWS KMS API invocadas por la API Identity Store. 


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente

Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Algunas de las plantillas de políticas clave incluidas Declaraciones de política clave avanzadas de KMS incluyen estas condiciones para garantizar que la clave se utilice únicamente con una instancia específica del IAM Identity Center.

Supervisión de las claves de cifrado del IAM Identity Center

Cuando utilizas una clave de KMS gestionada por el cliente con tu instancia del Centro de Identidad de IAM, puedes utilizar AWS CloudTrailAmazon CloudWatch Logs para realizar un seguimiento de las solicitudes que envía el Centro de Identidad de IAM. AWS KMS En ella se enumeran las operaciones de la API de KMS a las que llama el Centro de Identidad de IAM. Paso 2: Prepare las principales declaraciones de política de KMS CloudTrail los eventos de estas operaciones de API contienen el contexto de cifrado, que le permite supervisar las operaciones de la AWS KMS API a las que recurre su instancia del IAM Identity Center para acceder a los datos cifrados por la clave gestionada por el cliente.

Ejemplo de contexto de cifrado en el CloudTrail caso de una operación de AWS KMS API: 


"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }

AWS el almacenamiento, el cifrado y la eliminación de los atributos de identidad del IAM Identity Center por parte de las aplicaciones gestionadas

Algunas aplicaciones AWS gestionadas con las que se despliega AWS IAM Identity Center, como AWS Systems Manager y Amazon CodeCatalyst, almacenan atributos específicos de usuarios y grupos del IAM Identity Center en su propio almacén de datos. El cifrado en reposo con una clave KMS gestionada por el cliente en el Centro de Identidad de IAM no se extiende a los atributos de usuario y grupo del Centro de Identidad de IAM almacenados en AWS las aplicaciones gestionadas. AWS las aplicaciones gestionadas admiten distintos métodos de cifrado para los datos que almacenan. Por último, al eliminar los atributos de usuario y grupo en el Centro de Identidad de IAM, estas aplicaciones AWS gestionadas pueden seguir almacenando esta información después de su eliminación en el Centro de Identidad de IAM. Consulte la guía del usuario de las aplicaciones AWS gestionadas para obtener información sobre el cifrado y la seguridad de los datos almacenados en las aplicaciones.