Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans IAM Identity Center
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans AWS IAM Identity Center. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globale qui gère l'ensemble du AWS cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable de la configuration de la sécurité et des tâches de gestion des AWS services que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) relatives à la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour plus d’informations sur la protection des données en Europe, consultez l’article intitulé [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)AWS sur le blog sur la sécurité .
Nous vous recommandons de sécuriser vos données de la manière suivante :
+ Utilisez l'authentification multifactorielle (MFA) avec IAM Identity Center.
+ Utilisez le protocole TLS pour communiquer avec les AWS ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.
Nous vous recommandons vivement de ne jamais placer d'informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libres tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec ou avec AWS IAM Identity Center d'autres AWS services à l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans les balises ou les champs de texte libre utilisés pour les noms peuvent être utilisées pour les journaux de diagnostic.
## Chiffrement en transit
IAM Identity Center protège les données en transit, lorsqu'elles sont acheminées vers et depuis le service, en chiffrant automatiquement toutes les données interréseaux à l'aide du protocole de chiffrement TLS (Transport Layer Security) 1.2 ou TLS 1.3. Les demandes HTTPS directes authentifiées par IAM et envoyées à l'IAM Identity Center APIs, à l'API Identity Store ou à l'API OIDC sont signées à l'aide de l'[algorithme AWS Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) pour établir une connexion sécurisée.
## Confidentialité des données
Avec IAM Identity Center, vous gardez le contrôle des données de votre entreprise. Vos identités d'utilisateur et de groupe stockées dans IAM Identity Center ne sont partagées avec d'autres AWS services tels que les [applications AWS gérées](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html) que si vous les activez avec IAM Identity Center et si ces services en ont besoin.
Pour plus d'informations, consultez la [FAQ sur la confidentialitéAWS des données](https://aws.amazon.com/compliance/data-privacy-faq/).
## Conservation des données
IAM Identity Center stocke vos données, telles que les identités des utilisateurs et des groupes, ainsi que les métadonnées, jusqu'à ce que vous les supprimiez du service. Lorsque vous supprimez une instance d'IAM Identity Center, les données qu'elle contient sont également supprimées.
# Chiffrement au repos
IAM Identity Center fournit un chiffrement pour protéger les données clients inactives à l'aide des types de clés suivants :
+ **Clés détenues par AWS (type de clé par défaut)** — IAM Identity Center utilise ces clés par défaut pour chiffrer automatiquement vos données. Vous ne pouvez pas consulter, gérer, auditer leur utilisation ou utiliser les clés AWS détenues à d'autres fins. IAM Identity Center gère entièrement la gestion des clés afin de garantir la sécurité de vos données, sans que vous ayez à prendre aucune mesure. Pour plus d’informations, consultez [Clés détenues par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le [Guide du développeur *AWS Key Management Service *](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ **Clés gérées par le client** : dans les instances organisationnelles d'IAM Identity Center, vous pouvez choisir une clé symétrique gérée par le client pour le chiffrement du reste des données d'identité de votre personnel, telles que les attributs des utilisateurs et des groupes. Vous créez, détenez et gérez ces clés de chiffrement. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
+ Établir et maintenir des politiques clés pour restreindre l'accès à la clé aux seuls responsables IAM qui en ont besoin, tels que IAM Identity Center et [AWS applications gérées](awsapps.md) ses administrateurs AWS Organizations .
+ Établir et maintenir des politiques IAM pour l'accès à la clé, y compris l'accès entre comptes
+ Activation et désactivation des stratégies de clé
+ Rotation des matériaux de chiffrement de clé
+ Audit de l'accès à vos données nécessitant un accès par clé
+ Ajout de balises
+ Création d’alias de clé
+ Planification des clés pour la suppression
Pour savoir comment implémenter une clé KMS gérée par le client dans IAM Identity Center, consultez[Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center](identity-center-customer-managed-keys.md). Pour plus d'informations sur les clés gérées par le client, consultez la section [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du AWS Key Management Service développeur*.
**Note**
IAM Identity Center active automatiquement le chiffrement au repos à l'aide de clés KMS AWS détenues afin de protéger gratuitement les données des clients. Toutefois, AWS KMS des frais s'appliquent lors de l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez les [AWS Key Management Service tarifs](https://aws.amazon.com/kms/pricing/).
**Considérations relatives à la mise en œuvre de clés gérées par le client :**
+ **Clés dédiées** : nous recommandons de créer une nouvelle clé KMS dédiée gérée par le client pour chaque instance d'IAM Identity Center plutôt que de réutiliser une clé existante. Cette approche permet une séparation plus claire des tâches, simplifie la gestion du contrôle d'accès et simplifie l'audit de sécurité. Le fait de disposer d'une clé dédiée réduit également les risques en limitant l'impact des modifications clés sur une seule instance IAM Identity Center.
+ **Utilisation d'IAM Identity Center sur plusieurs** instances Régions AWS : si vous prévoyez de répliquer votre instance IAM Identity Center sur une instance supplémentaire Régions AWS, vous devrez utiliser une clé KMS gérée par le client pour le chiffrement au repos. Le type de clé KMS AWS détenue par défaut n'est pas pris en charge dans un centre d'identité IAM multirégional. Pour de plus amples informations, veuillez consulter [Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
**Note**
IAM Identity Center utilise le [chiffrement d'enveloppe](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption) pour chiffrer les données d'identité de votre personnel. Votre clé KMS joue le rôle d'une clé d'encapsulation qui chiffre la clé de données réellement utilisée pour chiffrer les données.
Pour plus d'informations sur AWS KMS, voir [Qu'est-ce que le service de gestion des AWS clés ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Contexte de chiffrement IAM Identity Center
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) est un ensemble facultatif de paires clé-valeur non secrètes qui contiennent des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande. Reportez-vous au [guide du AWS KMS développeur](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) pour plus d'informations sur le contexte de chiffrement.
IAM Identity Center utilise les clés de contexte de chiffrement suivantes : aws:sso:instance-arn, aws:identitystore:identitystore-arn et. tenant-key-id Par exemple, le contexte de chiffrement suivant peut apparaître dans les opérations d' AWS KMS API invoquées par l'[API IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html).
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Le contexte de chiffrement suivant peut apparaître dans les opérations AWS KMS d'API invoquées par [l'API Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html).
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## Contrôle de l’accès à votre clé gérée par le client à l’aide du contexte de chiffrement
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client. Certains des principaux modèles de politique [Déclarations de politique clés avancées de KMS](advanced-kms-policy.md) inclus incluent de telles conditions pour garantir que la clé est utilisée uniquement avec une instance IAM Identity Center spécifique.
## Surveillance de vos clés de chiffrement pour IAM Identity Center
Lorsque vous utilisez une clé KMS gérée par le client avec votre instance IAM Identity Center, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour suivre les demandes auxquelles IAM Identity Center envoie. AWS KMS Les opérations d'API KMS appelées par IAM Identity Center sont répertoriées dans[Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements). CloudTrail les événements relatifs à ces opérations d'API contiennent le contexte de chiffrement, qui vous permet de surveiller les opérations d' AWS KMS API appelées par votre instance IAM Identity Center pour accéder aux données chiffrées par votre clé gérée par le client.
Exemple de contexte de chiffrement dans le CloudTrail cas d'une opération d' AWS KMS API :
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS stockage, chiffrement et suppression des attributs d'identité d'IAM Identity Center dans les applications gérées
Certaines applications AWS gérées que vous déployez AWS IAM Identity Center, telles que AWS Systems Manager et Amazon CodeCatalyst, stockent des attributs d'utilisateur et de groupe spécifiques provenant d'IAM Identity Center dans leur propre banque de données. Le chiffrement au repos avec une clé KMS gérée par le client dans IAM Identity Center ne s'étend pas aux attributs d'utilisateur et de groupe IAM Identity Center stockés dans les applications AWS gérées. AWS les applications gérées prennent en charge différentes méthodes de chiffrement pour les données qu'elles stockent. Enfin, lorsque vous supprimez des attributs d'utilisateur et de groupe dans IAM Identity Center, ces applications AWS gérées peuvent continuer à stocker ces informations après leur suppression dans IAM Identity Center. Reportez-vous au guide de l'utilisateur de vos applications AWS gérées pour connaître le chiffrement et la sécurité des données stockées dans les applications.
# Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center
Les clés gérées par le client sont AWS des clés du service de gestion des clés que vous créez, détenez et gérez. Pour implémenter une clé KMS gérée par le client pour le chiffrement au repos dans AWS IAM Identity Center, procédez comme suit :
**Important**
Certaines applications AWS gérées ne peuvent pas être utilisées avec AWS IAM Identity Center configuré avec une clé KMS gérée par le client. Consultez [AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md).
1. [Étape 1 : Identifier les cas d'utilisation pour votre organisation](#identify-use-cases)- Pour définir les autorisations correctes pour l'utilisation de la clé KMS, vous devez identifier les cas d'utilisation pertinents au sein de votre organisation. Les autorisations clés KMS comprennent des déclarations de politique clés KMS et des politiques basées sur l'identité qui fonctionnent ensemble pour permettre aux principaux IAM appropriés d'utiliser la clé KMS pour leurs cas d'utilisation spécifiques.
1. [Étape 2 : Préparation des déclarations de politique clés de KMS](#choose-kms-key-policy-statements)- Choisissez des modèles de déclaration de politique clé KMS pertinents en fonction des cas d'utilisation identifiés à l'étape 1, et renseignez les identifiants requis et les noms principaux IAM. Commencez par les déclarations de politique clés KMS de base et, si vos politiques de sécurité l'exigent, affinez-les comme décrit dans la section Déclarations de politique clés KMS avancées.
1. [Étape 3 : Création d'une clé KMS gérée par le client](#create-customer-managed-kms-key)- Créez une clé KMS dans AWS KMS qui répond aux exigences du centre d'identité IAM, et ajoutez les déclarations de politique clé KMS préparées à l'étape 2 à la politique clé KMS.
1. [Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes](#configure-iam-policies-kms-key)- Choisissez des modèles de déclaration de politique IAM pertinents en fonction des cas d'utilisation identifiés à l'étape 1, et préparez-les en vue de leur utilisation en remplissant le code ARN. Autorisez ensuite les responsables IAM pour chaque cas d'utilisation spécifique à utiliser la clé KMS sur tous les comptes en ajoutant les déclarations de politique IAM préparées aux politiques IAM des principaux.
1. [Étape 5 : Configuration de la clé KMS dans IAM Identity Center](#configure-kms-key-in-iam-identity-center)- Activez la clé KMS gérée par le client dans votre instance IAM Identity Center afin de l'utiliser pour le chiffrement au repos.
## Étape 1 : Identifier les cas d'utilisation pour votre organisation
Avant de créer et de configurer votre clé KMS gérée par le client, identifiez vos cas d'utilisation et préparez les autorisations de clé KMS requises. Reportez-vous au [guide du développeur AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) pour plus d'informations sur la politique relative aux clés KMS.
Les principaux IAM qui appellent le service APIs IAM Identity Center ont besoin d'autorisations. Par exemple, un administrateur délégué peut être autorisé à les utiliser par le APIs biais d'une politique d'ensemble d'autorisations. Lorsque IAM Identity Center est configuré avec une clé gérée par le client, les principaux IAM doivent également être autorisés à utiliser l'API KMS via le service IAM Identity Center. APIs Vous définissez ces autorisations d'API KMS à deux endroits : dans la politique clé KMS et dans les politiques IAM associées aux principes IAM.
Les autorisations clés KMS sont les suivantes :
1. Déclarations de politique relatives aux clés KMS que vous spécifiez sur la clé KMS lors de sa création dans[Étape 3 : Création d'une clé KMS gérée par le client](#create-customer-managed-kms-key).
1. Déclarations de politique IAM pour les principes IAM que vous spécifiez [Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes](#configure-iam-policies-kms-key) après avoir créé la clé KMS.
Le tableau suivant indique les cas d'utilisation pertinents et les principes IAM qui nécessitent des autorisations pour utiliser votre clé KMS.
| Cas d’utilisation | Principaux IAM qui ont besoin d'autorisations pour utiliser la clé KMS | Obligatoire/facultatif |
| --- | --- | --- |
| Utilisation d' AWS IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Obligatoire |
| Utilisation d'applications AWS gérées avec IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facultatif |
| Utilisation de AWS Control Tower sur l'instance AWS IAM Identity Center qu'elle a activée | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facultatif |
| SSO vers les instances Amazon EC2 AWS avec IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facultatif |
| Tout autre cas d'utilisation faisant appel au service IAM Identity Center APIs avec des principes IAM, tels que des applications gérées par le client, des ensembles d'autorisations, des flux de travail de mise en service ou des fonctions AWS Lambda | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facultatif |
**Note**
Plusieurs principaux IAM répertoriés dans le tableau nécessitent des autorisations d'API AWS KMS. Toutefois, pour protéger les données de vos utilisateurs et de vos groupes dans IAM Identity Center, seuls les services IAM Identity Center et Identity Store appellent directement l'API AWS KMS.
## Étape 2 : Préparation des déclarations de politique clés de KMS
Après avoir identifié les cas d'utilisation pertinents pour votre organisation, vous pouvez préparer les déclarations de politique clés KMS correspondantes.
1. Choisissez les principales déclarations de politique KMS qui correspondent aux cas d'utilisation de votre organisation. Commencez par les modèles de politique de base. Si vous avez besoin de politiques plus spécifiques en fonction de vos exigences de sécurité, vous pouvez modifier les déclarations de politique à l'aide des exemples présentés dans[Déclarations de politique clés avancées de KMS](advanced-kms-policy.md). Pour obtenir des conseils sur cette décision, voir[Considérations relatives au choix des principales déclarations de politique KMS de référence par rapport aux déclarations de politique clés](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline). En outre, chaque section de référence [Déclarations de base relatives aux clés KMS et à la politique IAM](baseline-KMS-key-policy.md) inclut des considérations pertinentes.
1. Copiez les politiques pertinentes dans un éditeur et insérez les identifiants requis et les noms principaux IAM dans les déclarations de politique clés de KMS. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultez[Où trouver les identifiants requis](#find-the-required-identifiers).
Vous trouverez ci-dessous des modèles de politique de base pour chaque cas d'utilisation. Seul le premier ensemble d'autorisations pour AWS IAM Identity Center est requis pour utiliser une clé KMS. Nous vous recommandons de consulter les sous-sections applicables pour obtenir des informations supplémentaires spécifiques aux cas d'utilisation.
+ [Déclarations de politique clés de base de KMS pour l'utilisation d'IAM Identity Center (obligatoire)](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-iam-identity-center-mandatory)
+ [Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation des applications AWS gérées](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)
+ [Déclaration clé de référence du KMS pour l'utilisation de AWS Control Tower](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-specific-use-cases)
+ [Déclarations de base relatives à la clé KMS et à la politique IAM pour l'utilisation d'IAM Identity Center sur les instances Amazon EC2](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-sso-to-amazon-ec2-windows-instances)
+ [Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation de flux de travail personnalisés avec IAM Identity Center](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**Important**
Faites preuve de prudence lorsque vous modifiez les politiques relatives aux clés KMS pour les clés déjà utilisées par IAM Identity Center. Bien qu'IAM Identity Center valide les autorisations de chiffrement et de déchiffrement lors de la configuration initiale d'une clé KMS, il ne peut pas vérifier les modifications de politique ultérieures. La suppression par inadvertance des autorisations nécessaires peut perturber le fonctionnement normal de votre IAM Identity Center. Pour obtenir des conseils sur la résolution des erreurs courantes liées aux clés gérées par le client dans IAM Identity Center, reportez-vous à[Résoudre les problèmes liés aux clés gérées par le client dans AWS IAM Identity Center](cmk-related-errors.md).
**Note**
IAM Identity Center et son magasin d'identités associé nécessitent des autorisations de niveau de service pour utiliser votre clé KMS gérée par le client. Cette exigence s'étend aux applications AWS gérées qui appellent le service IAM Identity Center à l' APIs aide des informations d'identification du service. Pour les autres cas d'utilisation où le service APIs IAM Identity Center est appelé avec des [sessions d'accès direct](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), seul le principal IAM initiateur (tel qu'un administrateur) a besoin d'autorisations clés KMS. En particulier, les utilisateurs finaux utilisant le portail AWS d'accès et les applications AWS gérées n'ont pas besoin d'autorisations clés KMS directes, car elles sont accordées par le biais des services respectifs.
## Étape 3 : Création d'une clé KMS gérée par le client
Vous pouvez créer une clé gérée par le client à l'aide de la console AWS de gestion ou du AWS KMS APIs. Lors de la création de la clé, ajoutez les déclarations de politique clé KMS que vous avez préparées à l'étape 2 dans la politique clé KMS. Pour obtenir des instructions détaillées, notamment des conseils sur la politique de clé KMS par défaut, consultez le [Guide du développeur du service de gestion des AWS clés](https://docs.aws.amazon.com/kms/latest/developerguide/).
La clé doit répondre aux exigences suivantes :
+ La clé KMS doit se trouver dans la même AWS région que l'instance IAM Identity Center
+ Vous pouvez choisir une clé multirégionale ou une clé mono-régionale. Toutefois, si vous prévoyez d'utiliser IAM Identity Center en plusieurs exemplaires, Régions AWS vous devez créer une clé KMS multirégionale. Vous ne pouvez pas convertir une clé KMS à région unique en clé KMS multirégionale. Nous vous recommandons donc de commencer par une clé KMS multirégionale, sauf si vous avez des exigences spécifiques concernant l'utilisation d'une clé KMS à région unique.
+ La clé KMS doit être une clé symétrique configurée pour une utilisation « crypter et déchiffrer »
+ La clé KMS doit se trouver dans le même compte AWS Organizations de gestion que l'instance organisationnelle d'IAM Identity Center
**Note**
Si vous envisagez de répliquer cette clé KMS dans les régions dans lesquelles vous souhaitez répliquer votre centre d'identité IAM, nous vous recommandons de commencer par effectuer la configuration décrite dans cette section, puis de suivre les instructions de [Répliquer le centre d'identité IAM dans une région supplémentaire](replicate-to-additional-region.md)
## Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes
Tout principal IAM qui utilise le service IAM Identity Center à APIs partir d'un autre AWS compte, tel que les administrateurs délégués d'IAM Identity Center, doit également disposer d'une déclaration de politique IAM autorisant l'utilisation de la clé KMS par le biais de ce compte. APIs
Pour chaque cas d'utilisation identifié à l'étape 1 :
1. Recherchez les modèles de déclaration de politique IAM pertinents dans les déclarations de politique IAM et de clé KMS de base.
1. Copiez les modèles dans un éditeur et renseignez l'ARN de la clé, qui est désormais disponible après la création de la clé KMS à l'étape 3. Pour obtenir de l'aide pour trouver la valeur de l'ARN clé, consultez[Où trouver les identifiants requis](#find-the-required-identifiers).
1. Dans le AWS Management Console, recherchez la politique IAM du principal IAM associée au cas d'utilisation. L'emplacement de cette politique varie en fonction du cas d'utilisation et de la manière dont l'accès est accordé.
+ Pour l'accès accordé directement dans IAM, vous pouvez localiser les principaux IAM, tels que les rôles IAM dans la console IAM.
+ Pour l'accès accordé via IAM Identity Center, vous pouvez trouver l'ensemble d'autorisations pertinent dans la console IAM Identity Center.
1. Ajoutez les déclarations de politique IAM spécifiques au cas d'utilisation au rôle IAM et enregistrez la modification.
**Note**
Les politiques IAM décrites ici sont des politiques basées sur l'identité. Bien que ces politiques puissent être associées aux utilisateurs, aux groupes et aux rôles IAM, nous recommandons d'utiliser des rôles IAM dans la mesure du possible. Consultez le guide de l'utilisateur IAM pour plus d'informations sur les rôles IAM par rapport aux utilisateurs IAM.
### Configuration supplémentaire dans certaines applications AWS gérées
Certaines applications AWS gérées nécessitent que vous configuriez un rôle de service pour permettre aux applications d'utiliser le service APIs IAM Identity Center. Si votre organisation utilise des applications AWS gérées avec IAM Identity Center, procédez comme suit pour chaque application déployée :
1. Consultez le guide de l'utilisateur de l'application pour vérifier si les autorisations ont été mises à jour pour inclure les autorisations liées aux clés KMS pour l'utilisation de l'application avec IAM Identity Center.
1. Si tel est le cas, mettez à jour les autorisations conformément aux instructions du guide de l'utilisateur de l'application afin d'éviter toute interruption des opérations de l'application.
**Note**
Si vous ne savez pas si une application AWS gérée utilise ces autorisations, nous vous recommandons de consulter les guides d'utilisation de toutes les applications AWS gérées déployées. Vous ne devez effectuer cette configuration qu'une seule fois pour chaque application nécessitant cette configuration.
## Étape 5 : Configuration de la clé KMS dans IAM Identity Center
**Important**
Avant de procéder à cette étape :
Vérifiez que vos applications AWS gérées sont compatibles avec les clés KMS gérées par le client. Pour obtenir la liste des applications compatibles, consultez la section [Applications AWS gérées que vous pouvez utiliser avec IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html). Si vous avez des applications incompatibles, ne poursuivez pas.
Configurez les autorisations nécessaires pour utiliser la clé KMS. Sans autorisations appropriées, cette étape peut échouer ou perturber l'administration d'IAM Identity Center, l'utilisation d'applications AWS gérées et d'autres cas d'utilisation nécessitant des autorisations clés KMS. Pour de plus amples informations, veuillez consulter [Étape 1 : Identifier les cas d'utilisation pour votre organisation](#identify-use-cases).
Assurez-vous que les autorisations pour les applications AWS gérées et les applications gérées par le client qui appellent le service IAM Identity Center APIs avec des rôles IAM autorisent également l'utilisation de la clé KMS via le service IAM Identity Center. APIs Certaines applications AWS gérées nécessitent que vous configuriez des autorisations, telles qu'un rôle de service, pour pouvoir les utiliser APIs. Reportez-vous au guide de l'utilisateur de chaque application AWS gérée déployée pour vérifier si vous devez ajouter des autorisations clés KMS spécifiques.
### Spécifiez une clé KMS lors de l'activation d'une nouvelle instance organisationnelle d'IAM Identity Center
Lorsque vous activez une nouvelle instance d'organisation d'IAM Identity Center, vous pouvez spécifier une clé KMS gérée par le client lors de la configuration. Cela garantit que l'instance utilise votre clé pour le chiffrement au repos dès le début. Avant de commencer, reportez-vous à[Considérations relatives aux clés KMS gérées par le client et aux politiques avancées en matière de clés KMS](considerations-for-customer-managed-kms-keys-advanced.md).
1. Sur la page **Activer le centre d'identité IAM**, développez la section **Chiffrement au repos**.
1. Choisissez **Gérer le chiffrement**.
1. Choisissez **Clé gérée par le client**.
1. Pour la **clé KMS**, effectuez l'une des opérations suivantes :
1. Choisissez **Sélectionner parmi vos clés KMS** et sélectionnez la clé que vous avez créée dans la liste déroulante.
1. Choisissez **Enter KMS key ARN** et saisissez l'ARN complet de votre clé.
1. Choisissez **Enregistrer**.
1. Choisissez **Activer** pour terminer la configuration.
Pour plus d'informations, consultez la section [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html).
### Modifier la configuration clé d'une instance organisationnelle existante d'IAM Identity Center
Vous pouvez remplacer la clé KMS gérée par le client par une autre clé ou passer à une AWS clé que vous possédez à tout moment.
------
#### [ Console ]
**Pour modifier la configuration de votre clé KMS**
1. Ouvrez la console IAM Identity Center à [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)l'adresse.
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Choisissez l’onglet **Paramètres supplémentaires**.
1. Choisissez **Gérer le chiffrement**.
1. Sélectionnez l’une des méthodes suivantes :
1. **Clé gérée par le client** : sélectionnez une autre clé gérée par le client dans la liste déroulante ou saisissez un nouvel ARN de clé.
1. **AWS clé possédée** : passez à l'option de chiffrement par défaut.
1. Choisissez **Enregistrer**.
------
#### [ AWS CLI ]
**Pour modifier une instance organisationnelle existante d'IAM Identity Center afin d'utiliser la clé gérée par le client KMS**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration \
KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
**Pour modifier une instance organisationnelle existante d'IAM Identity Center afin qu'elle utilise une clé AWS détenue**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```
------
**Considérations clés gérées par le client**
+ La mise à jour de la configuration de la clé KMS pour le fonctionnement d'IAM Identity Center n'a aucun effet sur les sessions utilisateur actives dans votre IAM Identity Center. Vous pouvez continuer à utiliser le portail AWS d'accès, la console IAM Identity Center et le service IAM Identity Center APIs au cours de ce processus.
+ Lors du passage à une nouvelle clé KMS, IAM Identity Center confirme qu'il peut utiliser la clé avec succès pour le chiffrement et le déchiffrement. Si vous avez commis une erreur lors de la configuration de la politique clé ou de la politique IAM, la console affichera un message d'erreur explicatif et la clé KMS précédente restera utilisée.
+ La rotation annuelle des clés KMS par défaut aura lieu automatiquement. Vous pouvez consulter le [guide du AWS KMS développeur](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) pour obtenir des informations sur des sujets tels que la [rotation des clés, la](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) [surveillance des AWS KMS clés](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html) et le [contrôle de l'accès à la suppression des clés](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html).
**Important**
Si la clé KMS gérée par le client et utilisée par votre instance IAM Identity Center est supprimée, désactivée ou inaccessible en raison d'une politique de clé KMS incorrecte, les utilisateurs de votre personnel et les administrateurs d'IAM Identity Center ne pourront pas utiliser IAM Identity Center. La perte d'accès peut être temporaire (une politique de clé peut être corrigée) ou permanente (une clé supprimée ne peut pas être restaurée) selon les circonstances. Nous vous recommandons de [restreindre l'accès aux](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) opérations critiques, telles que la suppression ou la désactivation de la clé KMS. Nous recommandons également à votre organisation de mettre en place des [procédures d'accès AWS rapides](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) afin de garantir l'accès de vos utilisateurs privilégiés AWS en cas d'inaccessibilité d'IAM Identity Center.
## Où trouver les identifiants requis
Lorsque vous configurez les autorisations pour votre clé KMS gérée par le client, vous aurez besoin d'identifiants de AWS ressource spécifiques pour compléter les modèles de politique clé et de déclaration de politique IAM. Insérez les identifiants requis (par exemple, l'identifiant de l'organisation) et les noms principaux IAM dans les déclarations de politique clés de KMS.
Vous trouverez ci-dessous un guide pour localiser ces identifiants dans la console AWS de gestion.
**Nom de ressource Amazon (ARN) du centre d'identité IAM et ARN du magasin d'identités**
Une instance IAM Identity Center est une AWS ressource dotée de son propre ARN unique, tel que arn:aws:sso : :instance/ssoins-1234567890abcdef. L'ARN suit le modèle décrit dans la section sur les types de ressources IAM Identity Center de la référence d'autorisation de service.
Chaque instance d'IAM Identity Center possède un magasin d'identités associé qui stocke les identités des utilisateurs et des groupes. Un magasin d'identité possède un identifiant unique appelé Identity Store ID (par exemple, d-123456789a). L'ARN suit le modèle décrit dans la section des types de ressources Identity Store de la [référence d'autorisation de service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html).
Vous trouverez les valeurs ARN et Identity Store ID sur la page Paramètres de votre IAM Identity Center. L'ID du magasin d'identités se trouve dans l'onglet Source d'identité.
**AWS Organizations ID**
Si vous souhaitez spécifier un identifiant d'organisation (par exemple, o-exampleorg1) dans votre politique clé, vous pouvez trouver sa valeur sur la page Paramètres de vos consoles IAM Identity Center et Organizations. L'ARN suit le modèle décrit dans la section « Organizations resource types » du Service Authorization Reference.
**ARN de la clé KMS**
Vous pouvez trouver l'ARN d'une clé KMS dans la AWS KMS console. Choisissez Clés gérées par le client sur la gauche, cliquez sur la clé dont vous souhaitez rechercher l'ARN, et vous la verrez dans la section Configuration générale. L'ARN suit le modèle décrit dans la section sur les types de AWS KMS ressources de la référence d'autorisation de service.
Consultez le guide du AWS Key Management Service développeur pour plus d'informations sur les politiques clés relatives aux AWS KMS autorisations AWS KMS et leur résolution des problèmes. Pour plus d'informations sur les politiques IAM et leur représentation JSON, consultez le guide de l'utilisateur IAM.
# Déclarations de base relatives aux clés KMS et à la politique IAM
Les politiques de base basées sur les clés et les identités KMS fournies ici servent de base aux exigences communes. Nous vous recommandons également de passer en revue celles [Déclarations de politique clés avancées de KMS](advanced-kms-policy.md) qui fournissent des contrôles d'accès plus précis, par exemple en garantissant que la clé KMS n'est accessible qu'à une instance ou à une application AWS gérée IAM Identity Center spécifique. Avant d'utiliser les déclarations de politique clés avancées de KMS, consultez le[Considérations relatives au choix des principales déclarations de politique KMS de référence par rapport aux déclarations de politique clés](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
Les sections suivantes fournissent des déclarations de politique de base pour chaque cas d'utilisation. Développez les sections correspondant à vos cas d'utilisation et copiez les principales déclarations de politique de KMS. Ensuite, revenez à[Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements).
## Déclarations de politique clés de base de KMS pour l'utilisation d'IAM Identity Center (obligatoire)
Utilisez le modèle de déclaration de politique de clé KMS suivant [Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) pour permettre aux administrateurs d'IAM Identity Center, de son magasin d'identités associé et d'IAM Identity Center d'utiliser la clé KMS.
+ Dans l'élément principal pour les déclarations de politique de l'administrateur, spécifiez les AWS principaux comptes des comptes d'administration de l'IAM Identity Center, à savoir le compte de gestion de l' AWS organisation et le compte d'administration déléguée, en utilisant le format « arn:aws:iam : :111122223333:root ».
+ Dans l' PrincipalArn élément, remplacez l'exemple par les rôles IAM ARNs des administrateurs de l'IAM Identity Center.
Vous pouvez spécifier soit :
+ ARN du rôle IAM spécifique :
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678"`
+ Modèle Wildcard (recommandé) :
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"`
L'utilisation du caractère générique (`*`) empêche la perte d'accès si l'ensemble d'autorisations est supprimé et recréé, car Identity Center génère de nouveaux identifiants uniques pour les ensembles d'autorisations recréés. Pour un exemple de mise en œuvre, voir[Exemple de politique de confiance personnalisée](referencingpermissionsets.md#custom-trust-policy-example).
+ Dans l' SourceAccount élément, spécifiez l'ID de compte IAM Identity Center.
+ Identity Store possède son propre principal de service`identitystore.amazonaws.com`, qui doit être autorisé à utiliser la clé KMS.
+ Ces déclarations de politique permettent à vos instances IAM Identity Center d'un AWS compte spécifique d'utiliser la clé KMS. Pour restreindre l'accès à une instance IAM Identity Center spécifique, consultez[Déclarations de politique clés avancées de KMS](advanced-kms-policy.md). Vous ne pouvez avoir qu'une seule instance IAM Identity Center pour chaque AWS compte.
Déclarations de politique clés de KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
Utilisez le modèle de déclaration de politique IAM suivant [Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) pour permettre aux administrateurs du IAM Identity Center d'utiliser la clé KMS.
+ Remplacez l'exemple d'ARN de clé dans l'`Resource`élément par l'ARN de votre clé KMS réel. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultez[Où trouver les identifiants requis](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Ces déclarations de politique IAM accordent un accès par clé KMS au principal IAM mais ne limitent pas le AWS service autorisé à effectuer la demande. La politique des clés KMS prévoit généralement ces restrictions de service. Toutefois, vous pouvez ajouter un contexte de chiffrement à cette politique IAM pour limiter l'utilisation à une instance d'Identity Center spécifique. Pour plus d’informations, consultez [Déclarations de politique clés avancées de KMS](advanced-kms-policy.md).
Déclarations de politique IAM requises pour les administrateurs délégués d'IAM Identity Center
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
}
]
}
```
## Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation des applications AWS gérées
**Note**
Certaines applications AWS gérées ne peuvent pas être utilisées avec IAM Identity Center configuré avec une clé KMS gérée par le client. Pour plus d'informations, consultez la section [Applications AWS gérées qui fonctionnent avec IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Utilisez le modèle de déclaration de politique de clé KMS suivant [Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) pour autoriser les applications AWS gérées et leurs administrateurs à utiliser la clé KMS.
+ Insérez votre AWS Organizations identifiant dans l' PrincipalOrgidentifiant et SourceOrgId les conditions. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultez[Où trouver les identifiants requis](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Ces déclarations de politique permettent à toutes vos applications AWS gérées et à tous les principaux IAM (administrateurs d'applications) de l' AWS organisation d'utiliser kms: Decrypt à l'aide d'IAM Identity Center et d'Identity Store. Pour limiter ces déclarations de politique à des applications AWS gérées, à des comptes ou à des instances IAM Identity Center spécifiques, consultez[Déclarations de politique clés avancées de KMS](advanced-kms-policy.md).
Vous pouvez restreindre l'accès à des administrateurs d'applications spécifiques en les ` *` remplaçant par des principes IAM spécifiques. Pour vous protéger contre les changements de nom de rôle IAM lorsque des ensembles d'autorisations sont recréés, utilisez l'approche décrite dans le. [Exemple de politique de confiance personnalisée](referencingpermissionsets.md#custom-trust-policy-example) Pour de plus amples informations, veuillez consulter [Considérations relatives au choix des principales déclarations de politique KMS de référence par rapport aux déclarations de politique clés](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
Déclarations de politique clés de KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
Utilisez le modèle de déclaration de politique IAM suivant [Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) pour permettre aux administrateurs d'applications AWS gérées d'utiliser la clé KMS d'un compte membre.
+ Remplacez l'exemple d'ARN dans l'élément Resource par l'ARN de votre clé KMS réelle. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultez[Où trouver les identifiants requis](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Certaines applications AWS gérées nécessitent que vous configuriez des autorisations pour le service APIs IAM Identity Center. Avant de configurer une clé gérée par le client dans IAM Identity Center, vérifiez que ces autorisations autorisent également l'utilisation de la clé KMS. Pour connaître les exigences d'autorisation spécifiques relatives aux clés KMS, consultez la documentation de chaque application AWS gérée que vous avez déployée.
Déclarations de politique IAM requises pour les administrateurs d'applications AWS gérées :
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Déclaration clé de référence du KMS pour l'utilisation de AWS Control Tower
Utilisez les modèles de déclaration de clé KMS suivants [Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) pour permettre aux administrateurs de AWS Control Tower d'utiliser la clé KMS.
+ Dans l'élément Principal, spécifiez les principaux IAM utilisés pour accéder au service IAM Identity Center. APIs Pour plus d'informations sur les principaux IAM, consultez la section [Spécification d'un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le Guide de l'utilisateur *IAM*.
+ Ces déclarations de politique permettent aux administrateurs de AWS Control Tower d'utiliser la clé KMS via n'importe laquelle de vos instances IAM Identity Center. Cependant, AWS Control Tower restreint l'accès à l'instance organisationnelle d'IAM Identity Center au sein de la même AWS organisation. En raison de cette restriction, il n'y a aucun avantage pratique à restreindre davantage la clé KMS à une instance IAM Identity Center spécifique, comme décrit dans[Déclarations de politique clés avancées de KMS](advanced-kms-policy.md).
+ Pour vous protéger contre les changements de nom de rôle IAM lorsque des ensembles d'autorisations sont recréés, utilisez l'approche décrite dans le. [Exemple de politique de confiance personnalisée](referencingpermissionsets.md#custom-trust-policy-example)
Déclaration de politique de clé KMS :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
AWS Control Tower ne prend pas en charge l'administration déléguée et, par conséquent, il n'est pas nécessaire de configurer une politique IAM pour ses administrateurs.
**Important**
La déclaration de politique précédente couvre les opérations AWS Control Tower gérées par les services, telles que l'inscription automatique des comptes, où AWS Control Tower assume le `AWSControlTowerAdmin` rôle. Toutefois, pour les opérations initiées par le client, telles que l'approvisionnement de comptes via Account Factory ou les appels AWS Control Tower APIs directs, AWS Control Tower utilise des [sessions d'accès direct (FAS) et fonctionne sous le propre rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) IAM du client. Cela signifie que le rôle IAM que vous utilisez pour lancer ces opérations nécessite également des `kms:Decrypt` autorisations sur la clé KMS gérée par le client.
Ajoutez les déclarations de politique clés KMS suivantes à côté des `AWSControlTowerAdmin` déclarations ci-dessus. *MyControlTowerRole*Remplacez-le par l'ARN du rôle IAM avec lequel vous interagissez AWS Control Tower, tel qu'un rôle d'ensemble d'autorisations IAM Identity Center (par exemple,`AWSReservedSSO_PermissionSetName_*`), un rôle IAM personnalisé pour l'automatisation ou tout autre rôle utilisé pour appeler ou. AWS Control Tower AWS Service Catalog APIs
Déclaration de politique clé de KMS pour les opérations initiées par le client AWS Control Tower :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityCenterForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityStoreForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
## Déclarations de base relatives à la clé KMS et à la politique IAM pour l'utilisation d'IAM Identity Center sur les instances Amazon EC2
Utilisez le modèle de déclaration de politique clé KMS suivant [Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) pour permettre aux utilisateurs de l'authentification unique (SSO) des instances Amazon EC2 d'utiliser la clé KMS sur plusieurs comptes.
+ Spécifiez les principaux IAM utilisés pour accéder à IAM Identity Center dans le champ Principal. Pour plus d'informations sur les principaux IAM, consultez la section [Spécification d'un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le Guide de l'utilisateur *IAM*.
+ Cette déclaration de politique autorise n'importe laquelle de vos instances IAM Identity Center à utiliser la clé KMS. Pour restreindre l'accès à une instance IAM Identity Center spécifique, consultez[Déclarations de politique clés avancées de KMS](advanced-kms-policy.md).
+ Pour vous protéger contre les changements de nom de rôle IAM lorsque des ensembles d'autorisations sont recréés, utilisez l'approche décrite dans Exemple de politique de confiance personnalisée.
Déclaration de stratégie de clé KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Utilisez le modèle de déclaration de politique IAM suivant [Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) pour autoriser les instances SSO vers EC2 à utiliser la clé KMS.
Joignez la déclaration de politique IAM à l'ensemble d'autorisations existant dans IAM Identity Center que vous utilisez pour autoriser l'accès SSO aux instances Amazon EC2. Pour des exemples de politique IAM, consultez la section [Connexions au protocole Remote Desktop](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-iam-policy-examples) dans le *Guide de l'utilisateur de AWS Systems Manager*.
+ Remplacez l'exemple d'ARN dans l'élément Resource par l'ARN de votre clé KMS réelle. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultez[Où trouver les identifiants requis](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Politique IAM définie par les autorisations :
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation de flux de travail personnalisés avec IAM Identity Center
Utilisez les modèles de déclaration de politique clé KMS suivants [Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) pour autoriser les flux de travail personnalisés, tels que les applications gérées par le client, dans le compte de AWS Organizations gestion ou le compte d'administration déléguée à utiliser la clé KMS. Notez que la fédération SAML dans les applications gérées par le client ne nécessite pas d'autorisations clés KMS.
+ Dans l'élément Principal, spécifiez les principaux IAM utilisés pour accéder au service IAM Identity Center. APIs Pour plus d'informations sur les principaux IAM, consultez la section [Spécification d'un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le Guide de l'utilisateur *IAM*.
+ Ces déclarations de politique permettent à votre flux de travail d'utiliser la clé KMS via n'importe laquelle de vos instances IAM Identity Center. Pour restreindre l'accès à une instance IAM Identity Center spécifique, consultez[Déclarations de politique clés avancées de KMS](advanced-kms-policy.md).
+ Pour vous protéger contre les changements de nom de rôle IAM lorsque des ensembles d'autorisations sont recréés, utilisez l'approche décrite dans le. [Exemple de politique de confiance personnalisée](referencingpermissionsets.md#custom-trust-policy-example)
Déclaration de politique de clé KMS :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Utilisez le modèle de déclaration de politique IAM suivant [Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) pour permettre au principal IAM associé au flux de travail personnalisé d'utiliser la clé KMS sur tous les comptes. Ajoutez la déclaration de politique IAM au principal IAM.
+ Remplacez l'exemple d'ARN dans l'élément Resource par l'ARN de votre clé KMS réelle. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultez[Où trouver les identifiants requis](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Déclaration de politique IAM (requise uniquement pour une utilisation entre comptes) :
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Exemples de déclarations de politique clés de KMS pour les cas d'utilisation courants
### IAM Identity Center avec administrateurs délégués et applications AWS gérées
Cette section contient des exemples de déclarations de politique clés KMS que vous pouvez utiliser pour une instance IAM Identity Center dotée d'administrateurs délégués et d'applications AWS gérées.
**Important**
Les déclarations de politique clés KMS supposent que votre instance IAM Identity Center n'est utilisée dans aucun autre cas d'utilisation nécessitant des autorisations relatives aux clés KMS. Pour confirmer, vous pouvez passer en revue tous les [cas d'utilisation](identity-center-customer-managed-keys.md#identify-use-cases). En outre, pour vérifier si vos applications AWS gérées nécessitent une configuration supplémentaire, voir [Configuration supplémentaire dans certaines applications AWS gérées](identity-center-customer-managed-keys.md#additional-config-in-some-aws-apps)
Copiez les déclarations de politique clé KMS sous le tableau et ajoutez-les à votre politique de clé KMS. Cet exemple utilise les valeurs d'exemple suivantes :
+ `111122223333`- ID de compte de l'instance IAM Identity Center
+ `444455556666`- ID de compte d'administration déléguée
+ `o-a1b2c3d4e5`- identifiant AWS de l'organisation
+ ` arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*`- Un modèle générique représentant le rôle IAM d'un administrateur du IAM Identity Center fourni à partir de l'ensemble d'autorisations. *Admin* Un tel rôle contient le code de région de la région principale (us-east-1 dans cet exemple).
+ ` arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*`- Un modèle générique représentant le rôle IAM d'un administrateur délégué d'IAM Identity Center fourni à partir du jeu d'autorisations. *DelegatedAdmin* Un tel rôle contient le code de région de la région principale (us-east-1 dans cet exemple).
Si le rôle IAM n'a pas été généré à partir d'un ensemble d'autorisations, le rôle IAM ressemblera à un rôle normal tel que. `arn:aws:iam::111122223333:role/idcadmin`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
# Déclarations de politique clés avancées de KMS
Utilisez des déclarations de politique clés KMS avancées pour mettre en œuvre des contrôles d'accès plus précis pour votre clé KMS gérée par le client. Ces politiques s'appuient sur le [Déclarations de base relatives aux clés KMS et à la politique IAM](baseline-KMS-key-policy.md) en ajoutant des conditions de contexte de chiffrement et des restrictions spécifiques au service. Avant de décider d'utiliser ou non des déclarations de politique clés KMS avancées, assurez-vous de passer en revue les considérations pertinentes.
## Utilisation du contexte de chiffrement pour restreindre l'accès
Vous pouvez limiter l'utilisation des clés KMS à une instance IAM Identity Center spécifique en spécifiant une condition de contexte de chiffrement dans vos déclarations de politique clés. Les principales déclarations politiques de base incluent déjà ce contexte avec une valeur générique. Remplacez le caractère générique « \$1 » par un ARN d'instance Identity Center et un ARN Identity Store spécifiques pour garantir que la clé ne fonctionne qu'avec l'instance que vous souhaitez. Vous pouvez également ajouter les mêmes conditions de contexte de chiffrement à la politique IAM configurée pour l'utilisation de la clé KMS entre comptes.
Identity Center
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Identity Store
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
Si vous avez besoin d'aide pour trouver ces identifiants, consultez[Où trouver les identifiants requis](identity-center-customer-managed-keys.md#find-the-required-identifiers).
**Note**
Vous ne pouvez utiliser une clé KMS gérée par le client qu'avec une instance organisationnelle d'IAM Identity Center. La clé gérée par le client doit se trouver dans le compte de gestion de AWS l'organisation, ce qui permet de garantir que la clé est utilisée avec une seule instance d'IAM Identity Center. Cependant, le mécanisme de contexte de chiffrement fournit une protection technique indépendante de l'utilisation d'une instance unique. Vous pouvez également utiliser la clé de `aws:SourceArn` condition dans les déclarations de politique relatives aux clés KMS destinées aux responsables des services Identity Center et Identity Store.
### Considérations relatives à la mise en œuvre des conditions de contexte de
Avant d'implémenter les conditions de contexte de chiffrement, passez en revue les exigences suivantes :
+ **DescribeKey action.** Le contexte de chiffrement ne peut pas être appliqué à l'action « kms : DescribeKey », qui peut être utilisée par les administrateurs d'IAM Identity Center. Lorsque vous configurez votre politique de clé KMS, excluez le contexte de chiffrement pour cette action spécifique afin de garantir le bon fonctionnement de votre instance IAM Identity Center.
+ **Configuration de la nouvelle instance.** Si vous activez une nouvelle instance IAM Identity Center avec une clé KMS gérée par le client, consultez[Considérations relatives aux clés KMS gérées par le client et aux politiques avancées en matière de clés KMS](considerations-for-customer-managed-kms-keys-advanced.md).
+ **Changements de source d'identité.** Lorsque vous modifiez votre source d'identité vers ou depuis Active Directory, le contexte de chiffrement nécessite une attention particulière. Consultez [Considérations relatives à la modification de votre source d'identité](manage-your-identity-source-considerations.md).
## Modèles de politique
Choisissez parmi ces modèles de politiques avancés en fonction de vos exigences en matière de sécurité. Équilibrez les contrôles d'accès granulaires avec les frais administratifs qu'ils engendrent.
Sujets abordés ici :
+ [Déclarations de politique KMS pour l'utilisation en lecture seule d'une instance IAM Identity Center spécifique](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). Cette section explique l'utilisation du contexte de chiffrement pour l'accès en lecture seule à IAM Identity Center.
+ [Déclarations de politique clés KMS affinées pour l'utilisation des applications AWS gérées](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). Cette section explique comment affiner les politiques relatives aux clés KMS pour les applications AWS gérées à l'aide du contexte de chiffrement et des informations relatives à l'application, telles que le principal du service d'application, l'ARN de l'application et l'ID de AWS compte.
## Déclarations de politique KMS pour l'utilisation en lecture seule d'une instance IAM Identity Center spécifique
Cette politique permet [aux auditeurs de sécurité et aux](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) autres membres du personnel qui n'ont besoin que d'un accès en lecture à IAM Identity Center d'utiliser la clé KMS.
Pour utiliser cette politique, procédez comme suit :
1. Remplacez les exemples de principes IAM d'administrateur en lecture seule par vos principes d'administrateur IAM réels
1. Remplacez l'exemple d'ARN de l'instance IAM Identity Center par l'ARN de votre instance réelle
1. Remplacez l'exemple d'ARN d'Identity Store par votre véritable ARN d'Identity Store
1. Si vous utilisez l'[administration déléguée](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html), voir [Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)
Si vous avez besoin d'aide pour trouver les valeurs de ces identifiants, consultez[Où trouver les identifiants requis](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Une fois que vous avez mis à jour le modèle avec vos valeurs, revenez [Étape 2 : Préparation des déclarations de politique clés de KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) à pour préparer des déclarations de politique clés KMS supplémentaires, le cas échéant.
L'action kms: Déchiffrer à elle seule ne limite pas l'accès aux opérations en lecture seule. La politique IAM doit appliquer l'accès en lecture seule au service IAM Identity Center. APIs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## Déclarations de politique clés KMS affinées pour l'utilisation des applications AWS gérées
Ces modèles de politique fournissent un contrôle plus précis sur les applications AWS gérées qui peuvent utiliser votre clé KMS.
**Note**
Certaines applications AWS gérées ne peuvent pas être utilisées avec IAM Identity Center configuré avec une clé KMS gérée par le client. Découvrez les [applications AWS gérées que vous pouvez utiliser avec IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Ils [Déclarations de base relatives aux clés KMS et à la politique IAM pour l'utilisation des applications AWS gérées](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications) permettent AWS à n'importe quelle application gérée depuis n'importe quel compte de la même AWS organisation d'utiliser la clé KMS. Utilisez ces politiques affinées pour restreindre l'accès en :
+ Principal du service d'application
+ Instance d'application ARNs
+ AWS account IDs
+ Contexte de chiffrement pour des instances spécifiques d'IAM Identity Center
**Note**
Un principal de service est un identifiant unique pour un AWS service, généralement au format servicename.amazonaws.com (par exemple, elasticmapreduce.amazonaws.com pour Amazon EMR).
### Restreindre par compte
Ce modèle de déclaration de politique de clé KMS permet à une application AWS gérée dans des AWS comptes spécifiques d'utiliser la clé KMS à l'aide d'une instance IAM Identity Center spécifique.
Pour utiliser cette politique, procédez comme suit :
1. Remplacez l'exemple de principal de service par le principal de service de votre application réel
1. Remplacez le compte d'exemple IDs par le compte réel sur IDs lequel vos applications AWS gérées sont déployées
1. Remplacez l'exemple d'ARN d'Identity Store par votre véritable ARN d'Identity Store
1. Remplacez l'exemple d'ARN de l'instance IAM Identity Center par l'ARN de votre instance réelle
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### Restreindre par instance d'application
Ce modèle de déclaration de politique de clé KMS permet à une instance d'application AWS gérée spécifique d'utiliser la clé KMS à l'aide d'une instance IAM Identity Center spécifique.
Pour utiliser cette politique, procédez comme suit :
1. Remplacez l'exemple de principal de service par le principal de service de votre application réel
1. Remplacez l'exemple d'ARN d'application par l'ARN de votre instance d'application réelle
1. Remplacez l'exemple d'ARN d'Identity Store par votre véritable ARN d'Identity Store
1. Remplacez l'exemple d'ARN de l'instance IAM Identity Center par l'ARN de votre instance réelle
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# Considérations relatives aux clés KMS gérées par le client et aux politiques avancées en matière de clés KMS
Lorsque vous implémentez des clés KMS gérées par le client avec IAM Identity Center, tenez compte de ces facteurs qui affectent la configuration, la sécurité et la maintenance continue de votre configuration de chiffrement.
## Considérations relatives au choix des principales déclarations de politique KMS de référence par rapport aux déclarations de politique clés
Lorsque vous décidez de rendre les autorisations clés KMS plus spécifiques à l'utilisation[Déclarations de politique clés avancées de KMS](advanced-kms-policy.md), tenez compte des frais de gestion et des besoins de sécurité de votre organisation. Des déclarations de politique plus spécifiques permettent de mieux contrôler qui peut utiliser la clé et à quelles fins ; toutefois, elles nécessitent une maintenance continue au fur et à mesure de l'évolution de la configuration de votre IAM Identity Center. Par exemple, si vous limitez l'utilisation de la clé KMS à des déploiements d'applications AWS gérées spécifiques, vous devrez mettre à jour la politique de clé chaque fois que votre organisation souhaite déployer ou annuler le déploiement d'une application. Des politiques moins restrictives réduisent la charge administrative mais peuvent accorder des autorisations plus étendues que celles nécessaires pour répondre à vos exigences de sécurité.
## Considérations relatives à l'activation d'une nouvelle instance IAM Identity Center avec une clé KMS gérée par le client
Les considérations ici s'appliquent si vous utilisez le contexte de chiffrement tel que décrit dans [Déclarations de politique clés avancées de KMS](advanced-kms-policy.md) pour restreindre l'utilisation de la clé KMS à une instance IAM Identity Center spécifique.
Lorsque vous activez une nouvelle instance IAM Identity Center avec une clé KMS gérée par le client, le centre d'identité IAM et le magasin d'identités ne ARNs sont disponibles qu'après la configuration. Vous avez les options suivantes :
+ Utilisez temporairement des modèles d'ARN génériques, puis remplacez-les par full une ARNs fois l'instance activée. N'oubliez pas de passer StringEquals d'un StringLike opérateur à l'autre selon vos besoins.
+ Pour le SPN du centre d'identité IAM : « arn : \$1 \$1Partition\$1 :sso : :instance/\$1 ».
+ Pour le SPN d'Identity Store : « arn : \$1 \$1Partition\$1 :identitystore : :\$1 \$1Account\$1 :identitystore/\$1 ».
+ Utilisez temporairement « Purpose:KEY\$1CONFIGURATION » dans l'ARN. Cela ne fonctionne que pour l'activation des instances et doit être remplacé par l'ARN réel pour que votre instance IAM Identity Center fonctionne normalement. L'avantage de cette approche est que vous ne pouvez pas oublier de la remplacer une fois l'instance activée.
+ Pour le SPN d'IAM Identity Center, utilisez : « arn : \$1 \$1Partition\$1 :sso : :instance/purpose:KEY\$1CONFIGURATION »
+ Pour Identity Store SPN, utilisez : « arn : \$1 \$1Partition\$1 :identitystore : :\$1 \$1Account\$1 :identityStore/Purpose:KEY\$1CONFIGURATION »
**Important**
N'appliquez pas cette configuration à une clé KMS déjà utilisée dans une instance IAM Identity Center existante, car cela pourrait perturber son fonctionnement normal.
+ Omettez la condition de contexte de chiffrement de la politique de clé KMS jusqu'à ce que l'instance soit activée.