Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center - AWS IAM Identity Center
Paso 1: identifique los casos de uso de su organizaciónPaso 2: prepare las instrucciones de política de claves de KMSPaso 3: cree una clave de KMSPaso 4: configure las políticas de IAMPaso 5: configure la clave de KMS en IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center

Las claves administradas por el cliente son claves de AWS Key Management Service que usted crea, posee y administra. Para implementar claves de KMS administradas por el cliente para el cifrado en reposo en AWS IAM Identity Center, complete los siguientes pasos:

importante

Algunas aplicaciones administradas por AWS no se pueden usar con AWS IAM Identity Center configurado con una clave de KMS administrada por el cliente. Consulte AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center.

  1. Paso 1: identifique los casos de uso de su organización: con el fin de definir los permisos correctos para el uso de la clave KMS, debe identificar los casos de uso relevantes en su organización. Los permisos clave de KMS consisten en instrucciones de política de claves de KMS y políticas basadas en la identidad que funcionan de forma conjunta para permitir que los responsables de IAM correspondientes utilicen la clave de KMS para sus casos de uso específicos.

  2. Paso 2: prepare las instrucciones de política de claves de KMS: elija las plantillas de instrucciones de políticas de claves de KMS pertinentes en función de los casos de uso identificados en el paso 1 y rellene los identificadores obligatorios y los nombres de las entidades principales de IAM. Comience con las instrucciones de política de claves de KMS básicas y, si sus políticas de seguridad lo requieren, perfecciónelas como se describe en las declaraciones de política de claves de KMS avanzadas.

  3. Paso 3: cree una clave de KMS administrada por el cliente : cree una clave de KMS en AWS KMS que cumpla con los requisitos de IAM Identity Center y añada las instrucciones de política de claves de KMS preparadas en el paso 2 a la política de claves de KMS.

  4. Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS: elija las plantillas de instrucciones de políticas de IAM pertinentes en función de los casos de uso identificados en el paso 1 y prepárelas para su uso rellenando el ARN de clave. A continuación, permita que los directores de IAM de cada caso de uso específico utilicen la clave de KMS en todas las cuentas añadiendo las instrucciones de política de IAM preparadas a las políticas de IAM de las entidades principales.

  5. Paso 5: configure la clave de KMS en IAM Identity Center: active la clave de KMS administrada por el cliente en su instancia de IAM Identity Center para usarla como cifrado en reposo.

    importante

    Antes de continuar con este paso, valide minuciosamente todos los permisos de clave de KMS configurados en los pasos anteriores. Una vez completado, IAM Identity Center empezará a utilizar la clave de KMS para el cifrado en reposo.

Paso 1: identifique los casos de uso de su organización

Antes de crear y configurar su clave de KMS administrada por el cliente, identifique sus casos de uso y prepare los permisos de clave de KMS necesarios. Consulte la Guía para desarrolladores de KMS de AWS para obtener más información sobre la política de claves de KMS.

Las entidades principales de IAM que utilizan las API del servicio del IAM Identity Center requieren permisos. Por ejemplo, se puede autorizar a un administrador delegado a utilizar estas API mediante una política de conjuntos de permisos. Cuando IAM Identity Center se configura con una clave administrada por el cliente, los directores de IAM también deben tener permisos para usar la API de KMS a través de las API de servicio de IAM Identity Center. Estos permisos de la API de KMS se definen en dos lugares: en la política de claves de KMS y en las políticas de IAM asociadas a las entidades principales de IAM.

Los permisos clave de KMS consisten en:

  1. Instrucciones de políticas de claves de KMS que se especifican en la clave de KMS durante su creación en Paso 3: cree una clave de KMS administrada por el cliente .

  2. Instrucciones de política de IAM para los directores de IAM que se especifican en Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS después de crear la clave de KMS.

En la siguiente tabla se especifican los casos de uso relevantes y las entidades principales de IAM que necesitan permisos para usar la clave de KMS.

Caso de uso Las entidades principales de IAM que necesitan permisos para usar la clave de KMS Obligatorio/opcional
Utilización de AWS IAM Identity Center

  • Administrador de IAM Identity Center de AWS

  • Servicio IAM Identity Center y servicio de almacén de identidades asociado

 Obligatorio
Uso de las aplicaciones administradas por AWS en IAM Identity Center

  • Administradores de aplicaciones administradas por AWS

  • Aplicaciones administradas por AWS

  • Roles de servicio que las aplicaciones administradas por AWS asumen al llamar a las API de servicio de IAM Identity Center

 Opcional
Uso de AWS Control Tower en la instancia de AWS IAM Identity Center que habilitó

  • AWS Control TowerAdministradores de

Opcional
SSO en instancias de Windows Amazon EC2 con AWS IAM Identity Center

  • Entidades principales de IAM autorizadas a realizar el inicio de sesión único en instancias de Windows de Amazon EC2

 Opcional
Cualquier otro caso de uso que realice llamadas a las API de servicio de IAM Identity Center con las entidades principales de IAM, como aplicaciones administradas por el cliente, conjuntos de permisos, flujos de trabajo de aprovisionamiento o funciones de AWS Lambda

  • Estos flujos de trabajo utilizan las entidades principales de IAM para llamar a las API de servicio de IAM Identity Center

 Opcional
nota

Las entidades principales de IAM que aparecen en la tabla requieren permisos de la API de AWS KMS. Sin embargo, para proteger los datos de sus usuarios y grupos en IAM Identity Center, solo los servicios de IAM Identity Center e Identity Store llaman directamente a la API de AWS KMS.

Paso 2: prepare las instrucciones de política de claves de KMS

Tras identificar los casos de uso relevantes para su organización, puede preparar las instrucciones de política de claves de KMS correspondientes.

  1. Elija las instrucciones de política de claves de KMS que coincidan con los casos de uso de su organización. Comience con las plantillas de políticas básicas. Si necesita políticas más específicas en función de sus requisitos de seguridad, puede modificar las instrucciones de políticas mediante los ejemplos que se muestran en Instrucciones de política de claves de KMS avanzadas. Para obtener orientación sobre esta decisión, consulte Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas. Además, cada sección de referencia en Instrucciones básicas de KMS y políticas de IAM incluye consideraciones relevantes.

  2. Copie las políticas relevantes y envíelas a un editor e inserte los identificadores necesarios y los nombres de las entidades principales de IAM en las instrucciones de política de claves de KMS. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte Busque los identificadores necesarios.

A continuación se presentan las plantillas de políticas de referencia para cada caso de uso. Para utilizar una clave de KMS, solo se necesita el primer conjunto de permisos de AWS IAM Identity Center. Le recomendamos que consulte las subsecciones correspondientes para obtener información adicional sobre casos de uso específicos.

importante

Tenga cuidado al modificar las políticas de claves de KMS para las claves que ya utiliza IAM Identity Center. Si bien IAM Identity Center valida los permisos de cifrado y descifrado al configurar inicialmente una clave de KMS, no puede verificar los cambios de política posteriores. La eliminación inadvertida de los permisos necesarios podría interrumpir el funcionamiento normal de IAM Identity Center. Para obtener instrucciones sobre la solución de errores comunes relacionados con las claves administradas por el cliente en IAM Identity Center, consulte Solucione los problemas de las claves administradas por el cliente en AWS IAM Identity Center.

nota

IAM Identity Center y su almacén de identidades asociado requieren permisos de nivel de servicio para utilizar la clave de KMS administrada por el cliente. Este requisito se extiende a las aplicaciones administradas por AWS que llaman a las API de servicio de IAM Identity Center mediante credenciales de servicio. Para otros casos de uso en los que se invoca a las API de servicio de IAM Identity Center con sesiones de acceso directo, solo la entidad principal de IAM que las inicia (por ejemplo, un administrador) necesita permisos clave de KMS. En particular, los usuarios finales que utilizan el portal de acceso de AWS y las aplicaciones administradas por AWS no necesitan permisos clave de KMS directos, ya que se conceden a través de los servicios correspondientes.

Paso 3: cree una clave de KMS administrada por el cliente

Puede crear una clave administrada por el cliente mediante la consola de administración de AWS o las API de AWS. Al crear la clave, añada las instrucciones de política de claves de KMS que preparó en el paso 2 a la política de claves de KMS. Para obtener instrucciones detalladas, incluida la orientación sobre la política de claves de KMS predeterminada, consulte AWS Key Management Service en la Guía para desarrolladores.

La clave debe cumplir los siguientes requisitos:

  • La clave de KMS debe existir en la misma región de AWS que la instancia de IAM Identity Center

  • Puede crear una clave de una región o multirregional. Para seguir siendo compatible con sus casos de uso futuros en varias regiones de AWS, le recomendamos que elija una clave multirregional

  • La clave de KMS debe ser una clave simétrica configurada para el uso de «cifrado y descifrado»

  • La clave de KMS debe existir en la misma cuenta de administración de AWS Organizations que la instancia de organización de IAM Identity Center

Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS

Cualquier entidad principal de IAM que utilice las API de servicio de IAM Identity Center de otra cuenta de AWS, como los administradores delegados de IAM Identity Center, también necesita una instrucción de política de IAM que permita el uso de la clave de KMS a través de estas API.

Para cada caso de uso identificado en el paso 1:

  1. Busque las plantillas de instrucciones de políticas de IAM pertinentes en Instrucciones básicas de políticas de IAM y de claves de KMS.

  2. Copie las plantillas en un editor y rellene la clave ARN, que ahora está disponible tras la creación de la clave de KMS en el paso 3. Para obtener ayuda para encontrar el ARN de clave, consulte Busque los identificadores necesarios.

  3. En Consola de administración de AWS, busque la política de IAM de la entidad principal de IAM que esté asociada al caso de uso. La ubicación de esta política varía según el caso de uso y la forma en que se concede el acceso.

    • Si el acceso se concede directamente en IAM, puede localizar las entidades principales de IAM, como los roles de IAM, en la consola de IAM.

    • Si el acceso se concedió en IAM Identity Center, puede localizar el conjunto de permisos correspondiente en la consola de IAM Identity Center.

  4. Añada las instrucciones de política de IAM específicas de cada caso de uso al rol de IAM y guarde el cambio.

nota

Las políticas de IAM descritas aquí son políticas basadas en identidades. Si bien estas políticas se pueden asociar a los usuarios, grupos y roles de IAM, recomendamos el uso de roles de IAM siempre que sea posible. Para obtener más información acerca de los roles de IAM, consulte Roles de IAM en la Guía del usuario de IAM.

Configuración adicional en algunas aplicaciones administradas por AWS

Algunas aplicaciones administradas por AWS requieren que configure un rol de servicio para permitir que las aplicaciones utilicen las API de servicio de IAM Identity Center. Si su organización utiliza aplicaciones administradas por AWS con IAM Identity Center, complete los siguientes pasos para cada aplicación implementada:

  1. Consulte la guía del usuario de la aplicación para confirmar si los permisos se han actualizado a fin de incluir los permisos relacionados con las claves del KMS para el uso de la aplicación con IAM Identity Center.

  2. Si es así, actualice los permisos tal y como se indica en la guía del usuario de la aplicación para evitar interrumpir las operaciones de la aplicación.

nota

Si no está seguro de si una aplicación administrada por AWS utiliza estos permisos, le recomendamos que consulte las guías de usuario de todas las aplicaciones administradas por AWS implementadas. Solo necesita realizar esta configuración una vez para cada aplicación que la requiera.

Paso 5: configure la clave de KMS en IAM Identity Center

importante

Antes de continuar con este paso:

  • Compruebe que las aplicaciones administradas por AWS sean compatibles con las claves de KMS administradas por el cliente. Para obtener una lista de aplicaciones compatibles, consulte AWS managed applications that you can use with IAM Identity Center. Si tiene aplicaciones incompatibles, no continúe.

  • Configure los permisos necesarios para usar la clave de KMS. Sin los permisos adecuados, este paso puede provocar errores o interrumpir la administración de IAM Identity Center, el uso de aplicaciones administradas por AWS y otros casos de uso que requieran permisos clave de KMS. Para obtener más información, consulte Paso 1: identifique los casos de uso de su organización.

  • Asegúrese de que los permisos para las aplicaciones administradas por AWS y las aplicaciones administradas por el cliente que utilizan las API de servicio de IAM Identity Center con roles de IAM también permitan el uso de la clave de KMS a través de las API de servicio de IAM Identity Center. Algunas aplicaciones administradas por AWS requieren que configure permisos, como un rol de servicio, para el uso de estas API. Consulte la guía del usuario de cada aplicación administrada por AWS implementada para confirmar si necesita agregar permisos de clave de KMS específicos.

Especificación de una clave de KMS al habilitar una nueva instancia de organización de IAM Identity Center

Al habilitar una nueva instancia de organización de IAM Identity Center, puede especificar una clave de KMS administrada por el cliente durante la configuración. Esto garantiza que la instancia utilice su clave de cifrado en reposo desde el principio. Antes de comenzar, consulte Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas.

  1. En la página Habilitar IAM Identity Center, amplíe la sección Cifrado en reposo.

  2. Elija Manage Encryption (Administrar cifrado).

  3. Elija Claves administradas por el cliente.

  4. Para Clave de KMS, realice una de las siguientes operaciones:

    1. Seleccione la opción Seleccionar una de sus claves de KMS y seleccione la clave que ha creado en la lista desplegable.

    2. Seleccione Introducir el ARN de la clave de KMS e introduzca el ARN completo de la clave.

  5. Seleccione Save.

  6. Seleccione Habilitar para completar la configuración.

Para más información, consulte Activar IAM Identity Center.

Cambio de la configuración de claves de una instancia de organización existente de IAM Identity Center

Puede cambiar la clave de KMS administrada por el cliente por otra clave o cambiar a una clave de propiedad de AWS en cualquier momento.

Console

Para cambiar su configuración de clave de KMS

  1. Abra la consola del Centro de identidades de IAM en https://console.aws.amazon.com/singlesignon/.

  2. En el panel de navegación, seleccione Configuración.

  3. Elija la pestaña Configuración adicional.

  4. Seleccione Administrar cifrado.

  5. Elija una de las opciones siguientes:

    1. Clave administrada por el cliente: seleccione una clave administrada por el cliente diferente en el menú desplegable o introduzca un ARN de clave nuevo.

    2. Clave de propiedad de AWS: cambie a la opción de cifrado predeterminada.

  6. Seleccione Save.

AWS CLI

Para cambiar una instancia de organización existente de IAM Identity Center para que utilice la clave administrada por el cliente de KMS

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration \
        KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab

Para cambiar una instancia de organización existente de IAM Identity Center para que utilice una clave de propiedad de AWS

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration KeyType=AWS_OWNED_KMS_KEY

Consideraciones clave administradas por el cliente

  • La actualización de la configuración de claves de KMS para el funcionamiento de IAM Identity Center no afecta a las sesiones de usuario activas en su IAM Identity Center. Puede seguir utilizando el portal de acceso de AWS, la consola de IAM Identity Center y las API de servicio de IAM Identity Center durante este proceso.

  • Al cambiar a una nueva clave de KMS, IAM Identity Center comprueba que puede utilizarla correctamente para el cifrado y el descifrado. Si cometió un error durante la configuración de la política de claves o la política de IAM, la consola mostrará un mensaje de error explicativo y la clave de KMS anterior seguirá utilizándose.

  • La rotación anual predeterminada de claves de KMS se realizará automáticamente. Puede consultar la Guía para desarrolladores de AWS KMS para obtener información sobre temas como la rotación de claves, la supervisión de las claves de AWS KMS y el control del acceso a la eliminación de claves.

importante

Si la clave de KMS gestionada por el cliente que utiliza su instancia de IAM Identity Center se elimina, deshabilita o no se puede acceder a ella debido a una política de claves de KMS incorrecta, los usuarios de su personal y los administradores de IAM Identity Center no podrán utilizar IAM Identity Center. La pérdida de acceso puede ser temporal (se puede corregir una política de claves) o permanente (no se puede restaurar una clave eliminada), según las circunstancias. Le recomendamos que restrinja el acceso a las operaciones críticas, como eliminar o deshabilitar la clave de KMS. Además, le recomendamos que su organización establezca procedimientos de acceso excepcional de AWS para garantizar que sus usuarios privilegiados puedan acceder a AWS en el improbable caso de que IAM Identity Center quede inaccesible.

Busque los identificadores necesarios

Al configurar los permisos para la clave de KMS administrada por el cliente, necesitará identificadores de recursos de AWS específicos para completar las plantillas de instrucciones de políticas de claves y de políticas de IAM. Inserte los identificadores necesarios (por ejemplo, el identificador de la organización) y los nombres de entidades principales de IAM en las instrucciones de política de claves de KMS.

A continuación, encontrará una guía para localizar estos identificadores en la consola de administración de AWS.

Nombre de recurso de Amazon (ARN) de IAM Identity Center y ARN de Identity Store

Una instancia de IAM Identity Center es un recurso de AWS con su propio ARN único, como arn:aws:sso:::instance/ssoins-1234567890abcdef. El ARN sigue el patrón documentado en la sección de tipos de recursos de IAM Identity Center de la Referencia de autorizaciones de servicios.

Cada instancia de IAM Identity Center tiene un almacén de identidades asociado que almacena las identidades de los usuarios y los grupos. Un almacén de identidades tiene un identificador único denominado ID de almacén de identidades (por ejemplo, d-123456789a). El ARN sigue el patrón documentado en la sección de tipos de recursos de Identity Store de la Referencia de autorizaciones de servicios.

Puede encontrar los valores del ARN y del ID de almacén de identidades en la página de configuración de su IAM Identity Center. El ID de almacén de identidades se encuentra en la pestaña Origen de identidad.

AWS Organizations ID de

Si desea especificar un ID de organización (por ejemplo, o-exampleorg1) en su política de claves, puede encontrar su valor en la página de configuración de las consolas de IAM Identity Center y Organizations. El ARN sigue el patrón documentado en la sección de tipos de recursos de Organizations de la Referencia de autorizaciones de servicios.

ARN de clave de KMS

Puede encontrar el ARN de una clave de KMS en la consola de AWS KMS. Elija Claves administradas por el cliente a la izquierda, haga clic en la clave cuyo ARN desee buscar y la verá en la sección Configuración general. El ARN sigue el patrón documentado en la sección de tipos de recursos de AWS KMS de la Referencia de autorizaciones de servicios.

Consulte la Guía para desarrolladores de AWS Key Management Service para obtener más información sobre cómo las políticas de claves en AWS KMS y solucionar problemas de permisos de AWS KMS. Para obtener más información acerca de las políticas de IAM y su representación en JSON, consulte la Guía del usuario de IAM.