Déclarations de base relatives aux clés KMS et à la politique IAM - AWS IAM Identity Center
Déclarations de politique clés de base de KMS pour l'utilisation d'IAM Identity Center (obligatoire)Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation des applications AWS géréesDéclaration clé de référence du KMS pour l'utilisation de AWS Control TowerDéclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation d'IAM Identity Center sur les instances Windows Amazon Elastic Compute CloudDéclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation de flux de travail personnalisés avec IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déclarations de base relatives aux clés KMS et à la politique IAM

Note

Les clés KMS gérées par le client pour AWS IAM Identity Center sont actuellement disponibles dans certaines AWS régions.

Les politiques de base basées sur les clés et les identités KMS fournies ici servent de base aux exigences communes. Nous vous recommandons également de passer en revue celles Déclarations de politique clés avancées de KMS qui fournissent des contrôles d'accès plus précis, par exemple en garantissant que la clé KMS n'est accessible qu'à une instance ou à une application AWS gérée IAM Identity Center spécifique. Avant d'utiliser les déclarations de politique clés avancées de KMS, consultez leConsidérations relatives au choix des déclarations de politique clés KMS de référence ou avancées.

Les sections suivantes fournissent des déclarations de politique de base pour chaque cas d'utilisation. Copiez les principales déclarations de politique KMS correspondant à vos cas d'utilisation, puis revenez àÉtape 2 : Préparation des déclarations de politique clés de KMS.

Déclarations de politique clés de base de KMS pour l'utilisation d'IAM Identity Center (obligatoire)

Utilisez le modèle de déclaration de politique de clé KMS suivant Étape 2 : Préparation des déclarations de politique clés de KMS pour permettre aux administrateurs d'IAM Identity Center, de son magasin d'identités associé et d'IAM Identity Center d'utiliser la clé KMS.

  • Spécifiez les principes IAM des administrateurs de votre IAM Identity Center dans l'élément Principal. Pour plus d'informations sur les principaux IAM, consultez la section Spécification d'un principal dans le Guide de l'utilisateur IAM.

  • Identity Store possède son propre principal de serviceidentitystore.amazonaws.com, qui doit être autorisé à utiliser la clé KMS.

  • Ces déclarations de politique autorisent n'importe laquelle de vos instances IAM Identity Center à utiliser la clé KMS. Pour restreindre l'accès à une instance IAM Identity Center spécifique, consultezDéclarations de politique clés avancées de KMS.

Déclarations de politique clés de KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*",
          "kms:ViaService": "identitystore.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityStoreToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "identitystore.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    }
  ]
}

Utilisez le modèle de déclaration de politique IAM suivant Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes pour permettre aux administrateurs du IAM Identity Center d'utiliser la clé KMS.

  • Remplacez l'exemple d'ARN de clé dans l'élément Resource par l'ARN de votre clé KMS réel. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultezTrouvez les identifiants requis.

Déclarations de politique IAM requises pour les administrateurs délégués d'IAM Identity Center

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}

Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation des applications AWS gérées

Note

Certaines applications AWS gérées ne peuvent pas être utilisées avec IAM Identity Center configuré avec une clé KMS gérée par le client. Pour plus d'informations, consultez la section Applications AWS gérées qui fonctionnent avec IAM Identity Center.

Utilisez le modèle de déclaration de politique de clé KMS suivant Étape 2 : Préparation des déclarations de politique clés de KMS pour autoriser les applications AWS gérées et leurs administrateurs à utiliser la clé KMS.

  • Insérez votre AWS Organizations identifiant dans la condition PrincipalOrg d'identification. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultezTrouvez les identifiants requis.

  • Ces déclarations de politique permettent à n'importe laquelle de vos applications AWS gérées AWS Organizations d'utiliser la clé KMS. Pour limiter ces déclarations de politique à des applications AWS gérées, à des comptes ou à des instances d'IAM Identity Center spécifiques, consultezDéclarations de politique clés avancées de KMS.

Déclarations de politique clés de KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Utilisez le modèle de déclaration de politique IAM suivant Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes pour permettre aux administrateurs d'applications AWS gérées d'utiliser la clé KMS d'un compte membre.

  • Remplacez l'exemple d'ARN dans l'élément Resource par l'ARN de votre clé KMS réelle. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultezTrouvez les identifiants requis.

  • Certaines applications AWS gérées nécessitent que vous configuriez des autorisations pour IAM Identity Center et Identity Store APIs. Avant de configurer une clé gérée par le client dans votre IAM Identity Center, assurez-vous que ces autorisations autorisent également l'utilisation de la clé KMS. Pour connaître les exigences d'autorisation spécifiques relatives aux clés KMS, consultez la documentation de chaque application AWS gérée que vous avez déployée.

Déclarations de politique IAM requises pour les administrateurs d'applications AWS gérées :

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Déclaration clé de référence du KMS pour l'utilisation de AWS Control Tower

Utilisez les modèles de déclaration de clé KMS suivants Étape 2 : Préparation des déclarations de politique clés de KMS pour permettre aux administrateurs de AWS Control Tower d'utiliser la clé KMS.

  • Spécifiez les principaux IAM utilisés pour accéder au centre APIs d'identité IAM dans le champ Principal. Pour plus d'informations sur les principaux IAM, consultez la section Spécification d'un principal dans le Guide de l'utilisateur IAM.

  • Ces déclarations de politique permettent aux administrateurs de AWS Control Tower d'utiliser la clé KMS via n'importe laquelle de vos instances IAM Identity Center. Cependant, AWS Control Tower restreint l'accès à l'instance organisationnelle d'IAM Identity Center au sein de la même AWS organisation. En raison de cette restriction, il n'y a aucun avantage pratique à restreindre davantage la clé KMS à une instance IAM Identity Center spécifique, comme décrit dansDéclarations de politique clés avancées de KMS.

Déclaration de politique de clé KMS :

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

AWS Control Tower ne prend pas en charge l'administration déléguée et, par conséquent, il n'est pas nécessaire de configurer une politique IAM pour ses administrateurs.

Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation d'IAM Identity Center sur les instances Windows Amazon Elastic Compute Cloud

Utilisez le modèle de déclaration de politique clé KMS suivant Étape 2 : Préparation des déclarations de politique clés de KMS pour permettre aux utilisateurs de l'authentification unique (SSO) sur les instances Amazon EC2 Windows d'utiliser la clé KMS sur plusieurs comptes.

  • Spécifiez les principaux IAM utilisés pour accéder à IAM Identity Center dans le champ Principal. Pour plus d'informations sur les principaux IAM, consultez la section Spécification d'un principal dans le Guide de l'utilisateur IAM.

  • Cette déclaration de politique autorise n'importe laquelle de vos instances IAM Identity Center à utiliser la clé KMS. Pour restreindre l'accès à une instance IAM Identity Center spécifique, consultezModèles de politique .

Déclaration de politique clé de KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Utilisez le modèle de déclaration de politique IAM suivant Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes pour autoriser les instances SSO vers EC2 Windows à utiliser la clé KMS.

Joignez la déclaration de politique IAM à l'ensemble d'autorisations existant dans IAM Identity Center que vous utilisez pour autoriser l'accès SSO aux instances Amazon EC2 Windows. Pour des exemples de politique IAM, consultez la section Connexions au protocole Remote Desktop dans le Guide de l'utilisateur de AWS Systems Manager.

  • Remplacez l'exemple d'ARN dans l'élément Resource par l'ARN de votre clé KMS réelle. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultezTrouvez les identifiants requis.

Politique IAM définie par les autorisations :

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation de flux de travail personnalisés avec IAM Identity Center

Utilisez les modèles de déclaration de politique clé KMS suivants Étape 2 : Préparation des déclarations de politique clés de KMS pour autoriser les flux de travail personnalisés du compte de gestion des AWS Organisations ou du compte d'administration déléguée à utiliser la clé KMS.

  • Spécifiez les principaux IAM utilisés pour accéder à IAM Identity Center APIs dans l'élément Principal. Pour plus d'informations sur les principaux IAM, consultez la section Spécification d'un principal dans le Guide de l'utilisateur IAM.

  • Ces déclarations de politique permettent à votre flux de travail d'utiliser la clé KMS via n'importe laquelle de vos instances IAM Identity Center. Pour restreindre l'accès à une instance IAM Identity Center spécifique, consultezModèles de politique .

Déclaration de politique de clé KMS :

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Utilisez le modèle de déclaration de politique IAM suivant Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes pour permettre au principal IAM associé au flux de travail personnalisé d'utiliser la clé KMS sur tous les comptes. Ajoutez la déclaration de politique IAM au principal IAM.

  • Remplacez l'exemple d'ARN dans l'élément Resource par l'ARN de votre clé KMS réelle. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultezTrouvez les identifiants requis.

Déclaration de politique IAM (requise uniquement pour une utilisation entre comptes) :

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}