Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center - AWS IAM Identity Center
Paso 1: Identifique los casos de uso para su organizaciónPaso 2: Preparar las declaraciones de política clave de KMSPaso 3: Crear una clave KMSPaso 4: Configurar las políticas de IAMPaso 5: Configurar la clave KMS en el Centro de identidades de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center

nota

Las claves KMS gestionadas por el cliente AWS IAM Identity Center están disponibles actualmente en determinadas AWS regiones.

Las claves administradas por el cliente son AWS claves del servicio de administración de claves que usted crea, posee y administra. Para implementar una clave KMS gestionada por el cliente para el cifrado en reposo en el Centro de Identidad de AWS IAM, siga estos pasos:

importante

Algunas aplicaciones AWS gestionadas no se pueden utilizar con el centro de identidad de AWS IAM configurado con una clave KMS gestionada por el cliente. Consulte AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center.

  1. Paso 1: Identifique los casos de uso para su organización- Para definir los permisos correctos para el uso de la clave KMS, debe identificar los casos de uso relevantes en su organización. Los permisos clave de KMS consisten en declaraciones de política clave de KMS y políticas basadas en la identidad que funcionan de forma conjunta para permitir que los responsables de IAM correspondientes utilicen la clave de KMS para sus casos de uso específicos.

  2. Paso 2: Prepare las principales declaraciones de política de KMS- Elija las plantillas de declaraciones de políticas clave de KMS pertinentes en función de los casos de uso identificados en el paso 1 y rellene los identificadores obligatorios y los nombres principales de la IAM. Comience con las declaraciones de política clave de KMS básicas y, si sus políticas de seguridad lo requieren, redúzcalas como se describe en las declaraciones de política clave de KMS avanzado.

  3. Paso 3: Crear una clave KMS gestionada por el cliente- Cree una clave de KMS en AWS KMS que cumpla con los requisitos del centro de identidad de IAM y añada las declaraciones de política clave de KMS preparadas en el paso 2 a la política clave de KMS.

  4. Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas- Elija las plantillas de declaraciones de políticas de IAM pertinentes en función de los casos de uso identificados en el paso 1 y prepárelas para su uso rellenando el ARN clave. A continuación, permita que los directores de IAM de cada caso de uso específico utilicen la clave KMS en todas las cuentas añadiendo las declaraciones de política de IAM preparadas a las políticas de IAM de los directores.

  5. Paso 5: Configure la clave KMS en el Centro de identidades de IAM- IMPORTANTE: Antes de continuar con este paso, valide minuciosamente todos los permisos clave de KMS configurados en los pasos anteriores. Una vez completado, el IAM Identity Center empezará a utilizar la clave KMS para el cifrado en reposo.

Paso 1: Identifique los casos de uso para su organización

Antes de crear y configurar su clave de KMS administrada por el cliente, identifique sus casos de uso y prepare los permisos de clave de KMS necesarios. Consulte la Guía para desarrolladores de AWS KMS para obtener más información sobre la política de claves de KMS.

Los directores de IAM que accedan al Centro de identidades y al almacén APIs de identidades de IAM necesitan permisos. Por ejemplo, se puede autorizar a un administrador delegado a utilizarlos APIs mediante una política de conjuntos de permisos. Cuando el Centro de Identidad de IAM se configura con una clave gestionada por el cliente, los directores de IAM también deben tener permisos para usar la API de KMS a través del Centro de Identidad de IAM y del Identity Store. APIs Estos permisos de la API de KMS se definen en dos lugares: en la política de claves de KMS y en las políticas de IAM asociadas a las entidades principales de IAM.

Los permisos clave de KMS consisten en:

  1. Declaraciones de política clave de KMS que se especifican en la clave de KMS durante su creación enPaso 3: Crear una clave KMS gestionada por el cliente.

  2. Declaraciones de política de IAM para los directores de IAM que se especifican Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas después de crear la clave de KMS.

En la siguiente tabla se especifican los casos de uso relevantes y los principios de IAM que necesitan permisos para usar la clave de KMS.

Caso de uso Directores de IAM que necesitan permisos para usar la clave de KMS Obligatorio/opcional
Uso del centro de identidad de AWS IAM

  • Administradores del centro de AWS identidad de IAM

  • El servicio IAM Identity Center y el servicio Identity Store asociado

 Obligatorio
Uso de aplicaciones AWS gestionadas con IAM Identity Center

  • Administradores de aplicaciones AWS gestionadas

  • AWS aplicaciones gestionadas

  • Funciones de servicio que las aplicaciones AWS gestionadas asumen al denominar IAM Identity Center e Identity Store APIs

 Opcional
Se utiliza AWS Control Tower en la instancia del AWS IAM Identity Center que habilitó

  • AWS Control Tower administradores

 Opcional
SSO en instancias de Amazon EC2 Windows con AWS IAM Identity Center

  • Los directores de IAM están autorizados a realizar el SSO en las instancias de Amazon Windows EC2

Opcional
Cualquier otro caso de uso que realice llamadas a la API Identity Center de IAM o a la API Identity Store, como conjuntos de permisos, flujos de trabajo o funciones de aprovisionamiento AWS Lambda

  • Estos flujos de trabajo utilizan los principios de IAM para llamar a la API de IAM Identity Center y a la API Identity Store

 Opcional
nota

Los principales de IAM que aparecen en la tabla requieren permisos de la API de KMS. AWS Sin embargo, para proteger los datos de sus usuarios y grupos en el Centro de identidades de IAM, solo los servicios de IAM Identity Center e Identity Store llaman directamente a la API de KMS. AWS

Paso 2: Prepare las principales declaraciones de política de KMS

Tras identificar los casos de uso relevantes para su organización, puede preparar las declaraciones de política clave de KMS correspondientes.

  1. Elija las declaraciones de política clave de KMS que coincidan con los casos de uso de su organización. Comience con las plantillas de políticas básicas. Si necesita políticas más específicas en función de sus requisitos de seguridad, puede modificar las declaraciones de políticas mediante los ejemplos que se muestran enDeclaraciones de política clave avanzadas de KMS. Para obtener orientación sobre esta decisión, consulteConsideraciones a la hora de elegir las principales declaraciones de política de KMS básicas o avanzadas. Además, cada sección de referencia Declaraciones básicas de KMS y políticas de IAM incluye consideraciones relevantes.

  2. Copie las políticas pertinentes y envíelas a un editor e inserte los identificadores necesarios y los nombres principales de IAM en las principales declaraciones de políticas del KMS. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte. Busque los identificadores necesarios

A continuación se presentan las plantillas de políticas de referencia para cada caso de uso. Para utilizar una clave KMS, solo se necesita el primer conjunto de permisos del Centro de Identidad de AWS IAM. Le recomendamos que consulte las subsecciones correspondientes para obtener información adicional sobre casos de uso específicos.

importante

Tenga cuidado al modificar las políticas clave de KMS para las claves que ya utiliza el Centro de Identidad de IAM. Si bien el Centro de Identidad de IAM valida los permisos de cifrado y descifrado al configurar inicialmente una clave de KMS, no puede verificar los cambios de política posteriores. La eliminación inadvertida de los permisos necesarios podría interrumpir el funcionamiento normal del Centro de Identidad de IAM. Para obtener orientación sobre la solución de errores comunes relacionados con las claves administradas por el cliente en el Centro de identidades de IAM, consulte. Solucione los problemas de las claves administradas por el cliente en AWS IAM Identity Center

nota

El Centro de identidades de IAM y su almacén de identidades asociado requieren permisos de nivel de servicio para utilizar la clave KMS gestionada por el cliente. Este requisito se extiende a las aplicaciones AWS gestionadas que llaman a los centros de identidad de IAM mediante credenciales de APIs servicio. Para otros casos de uso en los que APIs se llama a los centros de identidad de IAM con sesiones de acceso directo, solo el responsable de IAM que lo inicia (por ejemplo, un administrador) necesita permisos clave de KMS. En particular, los usuarios finales que utilizan el portal de AWS acceso y las aplicaciones AWS gestionadas no necesitan permisos clave de KMS directos, ya que se conceden a través de los servicios correspondientes.

Paso 3: Crear una clave KMS gestionada por el cliente

Puede crear una clave gestionada por el cliente mediante la consola AWS de gestión o el AWS KMS APIs. Al crear la clave, añada las declaraciones de política clave de KMS que preparó en el paso 2 a la política clave de KMS. Para obtener instrucciones detalladas, incluida la orientación sobre la política de claves de KMS predeterminada, consulte la Guía para desarrolladores del servicio de administración de AWS claves.

La clave debe cumplir los siguientes requisitos:

  • La clave KMS debe estar en la misma AWS región que la instancia del IAM Identity Center

  • Puede elegir una clave multirregional o una de una sola región. Para seguir siendo compatible con sus casos de uso futuros en varias AWS regiones, le recomendamos que elija una clave multirregional

  • La clave KMS debe ser una clave simétrica configurada para el uso de «cifrar y descifrar»

  • La clave KMS debe estar en la misma cuenta de AWS Organizations administración que la instancia de la organización del IAM Identity Center

Paso 4: Configure las políticas de IAM para el uso de la clave KMS entre cuentas

Cualquier entidad de IAM que utilice el Centro de Identidad de IAM y el Almacén de identidades APIs desde otra AWS cuenta, como los administradores delegados del Centro de Identidad de IAM, también necesita una declaración de política de IAM que permita utilizar la clave KMS a través de estas cuentas. APIs

Para cada caso de uso identificado en el paso 1:

  1. Busque las plantillas de declaraciones de políticas de IAM pertinentes en las declaraciones de políticas clave y de IAM de Baseline KMS.

  2. Copie las plantillas en un editor y rellene la clave ARN, que ahora está disponible tras la creación de la clave KMS en el paso 3. Para obtener ayuda para encontrar el valor del ARN clave, consulte. Busque los identificadores necesarios

  3. En AWS Management Console, busque la política de IAM del principal de IAM que está asociada al caso de uso. La ubicación de esta política varía según el caso de uso y la forma en que se concede el acceso.

    • Si el acceso se concede directamente en IAM, puede localizar los elementos principales de IAM, como las funciones de IAM, en la consola de IAM.

    • Para el acceso otorgado a través del Centro de Identidad de IAM, puede localizar el conjunto de permisos correspondiente en la consola del Centro de Identidad de IAM.

  4. Añada las declaraciones de política de IAM específicas de cada caso de uso a la función de IAM y guarde el cambio.

nota

Las políticas de IAM que se describen aquí son políticas basadas en la identidad. Si bien estas políticas se pueden asociar a los usuarios, grupos y roles de IAM, recomendamos el uso de roles de IAM siempre que sea posible. Consulte la guía del usuario de IAM para obtener más información sobre las funciones de IAM en comparación con los usuarios de IAM.

Configuración adicional en algunas aplicaciones gestionadas AWS

Algunas aplicaciones AWS administradas requieren que configure un rol de servicio para permitir que las aplicaciones usen el Centro de identidades y el almacén APIs de identidades de IAM. Si su organización usa aplicaciones AWS administradas con el Centro de identidades de IAM, complete los siguientes pasos para cada aplicación implementada:

  1. Consulte la guía del usuario de la aplicación para confirmar si los permisos se han actualizado para incluir los permisos relacionados con las claves del KMS para el uso de la aplicación con el IAM Identity Center.

  2. Si es así, actualice los permisos tal y como se indica en la guía del usuario de la aplicación para evitar interrumpir las operaciones de la aplicación.

nota

Si no está seguro de si una aplicación AWS gestionada utiliza estos permisos, le recomendamos que consulte las guías de usuario de todas las aplicaciones AWS gestionadas implementadas. Solo necesita realizar esta configuración una vez para cada aplicación que la requiera.

Paso 5: Configure la clave KMS en el Centro de identidades de IAM

importante

Antes de continuar con este paso:

  • Compruebe que las aplicaciones AWS administradas sean compatibles con las claves de KMS administradas por el cliente. Para obtener una lista de aplicaciones compatibles, consulte las aplicaciones AWS administradas que puede usar con IAM Identity Center. Si tiene aplicaciones incompatibles, no continúe.

  • Configure los permisos necesarios para usar la clave KMS. Sin los permisos adecuados, este paso puede producir errores o interrumpir la administración y las aplicaciones AWS gestionadas del IAM Identity Center. Para obtener más información, consulte Paso 1: Identifique los casos de uso para su organización.

  • Asegúrese de que los permisos para las aplicaciones AWS gestionadas también permitan el uso de la clave KMS a través del IAM Identity Center y del Identity Store. APIs Algunas aplicaciones AWS administradas requieren que configure permisos, como un rol de servicio, para su uso. APIs Consulte la guía del usuario de cada aplicación AWS administrada implementada para confirmar si necesita agregar permisos clave de KMS específicos.

Console

Para especificar una clave de KMS al habilitar una nueva instancia de organización del IAM Identity Center

Al habilitar una nueva instancia de organización del IAM Identity Center, puede especificar una clave KMS administrada por el cliente durante la configuración. Esto garantiza que la instancia utilice su clave de cifrado en reposo desde el principio. Antes de empezar, consulteConsideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas.

  1. En la página Habilitar el centro de identidad de IAM, amplíe la sección Cifrado en reposo.

  2. Elija Manage Encryption (Administrar cifrado).

  3. Elija la clave gestionada por el cliente.

  4. Para la clave KMS, realice una de las siguientes acciones:

    1. Selecciona una de tus claves de KMS y selecciona la clave que creaste en la lista desplegable.

    2. Elija Introducir el ARN de la clave KMS e introduzca el ARN completo de la clave.

  5. Seleccione Save.

  6. Seleccione Activar para completar la configuración.

Para más información, consulte Activar IAM Identity Center.

Para especificar una clave KMS para una instancia organizativa existente del IAM Identity Center

  1. Abra la consola del IAM Identity Center en. https://console.aws.amazon.com/singlesignon/

  2. En el panel de navegación, seleccione Configuración.

  3. En la página de configuración, en la sección de cifrado, seleccione Editar.

  4. Para el tipo de cifrado, selecciona Clave gestionada por el cliente.

  5. Para la clave KMS, realice una de las siguientes acciones:

    1. Selecciona una de tus claves de KMS y selecciona la clave que creaste en la lista desplegable.

      nota

      Tenga en cuenta que la lista desplegable solo mostrará las claves KMS a las que tiene acceso en la misma cuenta. AWS Por lo tanto, si lo hace en la cuenta de administración delegada, tendrá que especificar el ARN de la clave de AWS Organizations su cuenta de administración.

    2. Elija Introducir el ARN de la clave KMS e introduzca el ARN completo de la clave.

  6. Seleccione Save changes (Guardar cambios).

AWS CLI
aws ssoadmin update-instance \
  --configuration KeyType=string,KmsKeyArn=string \
  --instance-arn string \
  --name string

Cambie la configuración de la clave KMS

Puede cambiar la clave de KMS gestionada por el cliente por otra clave o cambiar a una AWS clave propia en cualquier momento.

Para cambiar la configuración de la clave KMS

  1. Abra la consola de IAM Identity Center.

  2. En el panel de navegación, seleccione Configuración.

  3. Elija la pestaña Configuración adicional.

  4. Elija Administrar el cifrado.

  5. Seleccione una de las siguientes opciones:

    1. Clave gestionada por el cliente: seleccione una clave gestionada por el cliente diferente en el menú desplegable o introduzca un ARN de clave nuevo.

    2. AWS clave propia: cambie a la opción de cifrado predeterminada.

  6. Seleccione Save.

Consideraciones clave gestionadas por el cliente

  • La actualización de la configuración de claves de KMS para el funcionamiento del Centro de Identidad de IAM no afecta a las sesiones de usuario activas en su Centro de Identidad de IAM. Puede seguir utilizando el portal de AWS acceso, la consola del IAM Identity Center y el IAM Identity Center APIs durante este proceso.

  • Al cambiar a una nueva clave de KMS, el Centro de Identidad de IAM comprueba que puede utilizarla correctamente para el cifrado y el descifrado. Si cometió un error durante la configuración de la política de claves o la política de IAM, la consola mostrará un mensaje de error explicativo y la clave KMS anterior seguirá utilizándose.

  • La rotación anual predeterminada de claves de KMS se realizará automáticamente. Puede consultar la Guía para AWS KMS desarrolladores para obtener información sobre temas como la rotación de claves, la supervisión de AWS KMS las claves y el control del acceso a la eliminación de claves.

importante

Si la clave de KMS gestionada por el cliente que utiliza su instancia del Centro de Identidad de IAM se elimina, deshabilita o no se puede acceder a ella debido a una política de claves de KMS incorrecta, los usuarios de su plantilla y los administradores del Centro de Identidad de IAM no podrán utilizar el Centro de Identidad de IAM. La pérdida de acceso puede ser temporal (se puede corregir una política clave) o permanente (no se puede restaurar una clave eliminada), según las circunstancias. Le recomendamos que restrinja el acceso a las operaciones críticas, como eliminar o deshabilitar la clave KMS. Además, le recomendamos que su organización establezca procedimientos de acceso AWS innovadores para garantizar que sus usuarios privilegiados puedan acceder AWS en el improbable caso de que IAM Identity Center quede inaccesible.

Busque los identificadores necesarios

Al configurar los permisos para la clave de KMS gestionada por el cliente, necesitará identificadores de AWS recursos específicos para completar las plantillas de políticas clave y de declaración de políticas de IAM. Inserta los identificadores necesarios (por ejemplo, el identificador de la organización) y los nombres principales de IAM en las declaraciones de política clave del KMS.

A continuación, encontrará una guía para localizar estos identificadores en la AWS consola de administración.

IAM Identity Center, Amazon Resource Name (ARN) y Identity Store ARN

Una instancia de IAM Identity Center es un AWS recurso con su propio ARN único, como arn:aws:sso: ::instance/ssoins-1234567890abcdef. El ARN sigue el patrón documentado en la sección de tipos de recursos del IAM Identity Center de la Referencia de autorización de servicios.

Cada instancia del IAM Identity Center tiene un almacén de identidades asociado que almacena las identidades de los usuarios y los grupos. Un almacén de identidades tiene un identificador único denominado ID de almacén de identidades (por ejemplo, d-123456789a). El ARN sigue el patrón documentado en la sección de tipos de recursos del almacén de identidades de la Referencia de autorización de servicios.

Puede encontrar los valores del ARN y del ID del almacén de identidades en la página de configuración de su centro de identidad de IAM. Tenga en cuenta que el ID del almacén de identidades se encuentra en la pestaña Origen de la identidad.

AWS Organizations ID

Si desea especificar un ID de organización (por ejemplo, o-exampleorg1) en su política clave, puede encontrar su valor en la página de configuración de las consolas de IAM Identity Center y Organizations. El ARN sigue el patrón documentado en la sección de tipos de recursos de Organizations de la Referencia de autorización de servicios.

ARN de clave KMS

Puede encontrar el ARN de una clave KMS en la AWS KMS consola. Elija Claves administradas por el cliente a la izquierda, haga clic en la clave cuyo ARN desee buscar y la verá en la sección Configuración general. El ARN sigue el patrón documentado en la sección de tipos de AWS KMS recursos de la Referencia de autorización de servicio.

Consulte la Guía para desarrolladores AWS Key Management Service de servicios para obtener más información sobre las políticas clave AWS KMS y la solución de problemas relacionados con AWS KMS los permisos. Para obtener más información sobre las políticas de IAM y su representación en JSON, consulte la Guía del usuario de IAM.