Chiffrement au repos - AWS IAM Identity Center
Contexte de chiffrement IAM Identity CenterUtilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le clientSurveillance de vos clés de chiffrement pour IAM Identity CenterAWS stockage, chiffrement et suppression des attributs d'identité d'IAM Identity Center dans les applications gérées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos

Note

Les clés KMS gérées par le client pour AWS IAM Identity Center sont actuellement disponibles dans certaines AWS régions.

IAM Identity Center fournit un chiffrement pour protéger les données clients inactives à l'aide des types de clés suivants :

  • Clés détenues par AWS (type de clé par défaut) — IAM Identity Center utilise ces clés par défaut pour chiffrer automatiquement vos données. Vous ne pouvez pas consulter, gérer, auditer leur utilisation ou utiliser les clés AWS détenues à d'autres fins. IAM Identity Center gère entièrement la gestion des clés afin de garantir la sécurité de vos données, sans que vous ayez à prendre aucune mesure. Pour plus d’informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service .

  • Clés gérées par le client : dans les instances organisationnelles d'IAM Identity Center, vous pouvez choisir une clé symétrique gérée par le client pour le chiffrement du reste des données d'identité de votre personnel, telles que les attributs des utilisateurs et des groupes. Vous créez, détenez et gérez ces clés de chiffrement. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

    • Établir et maintenir des politiques clés afin de restreindre l'accès à la clé aux seuls responsables IAM qui en ont besoin, tels que IAM Identity Center et les applications AWS gérées par le même AWS Organizations centre, ainsi qu'à leurs administrateurs.

    • Établir et maintenir des politiques IAM pour l'accès à la clé, y compris l'accès entre comptes

    • Activation et désactivation des stratégies de clé

    • Rotation des matériaux de chiffrement de clé

    • Audit de l'accès à vos données nécessitant un accès par clé

    • Ajout de balises

    • Création d'alias de clé

    • Planification des clés pour la suppression

Pour savoir comment implémenter une clé KMS gérée par le client dans IAM Identity Center, consultezImplémentation de clés KMS gérées par le client dans AWS IAM Identity Center. Pour plus d'informations sur les clés gérées par le client, consultez la section clé gérée par le client dans le Guide du AWS Key Management Service développeur.

Note

IAM Identity Center active automatiquement le chiffrement au repos à l'aide de clés KMS AWS détenues afin de protéger gratuitement les données des clients. Toutefois, AWS KMS des frais s'appliquent lors de l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez les AWS Key Management Service tarifs.

Considérations relatives à la mise en œuvre de clés gérées par le client :

  • Exception pour les sessions existantes : le chiffrement au repos à l'aide d'une clé gérée par le client s'applique également aux données d'identité du personnel, telles que les attributs des utilisateurs et des groupes, stockées temporairement dans les sessions utilisateur. Lorsque vous configurez une clé gérée par le client dans IAM Identity Center, la clé gérée par le client est utilisée pour chiffrer les données d'identité du personnel lors des nouvelles sessions. Dans les sessions initiées avant le lancement de cette fonctionnalité, les données d'identité du personnel restent cryptées par défaut Clés détenues par AWS jusqu'à l'expiration de la session (90 jours maximum) ou jusqu'à la fin de la session, date à laquelle ces données sont automatiquement supprimées.

  • Clés dédiées : nous recommandons de créer une nouvelle clé KMS dédiée gérée par le client pour chaque instance d'IAM Identity Center plutôt que de réutiliser une clé existante. Cette approche permet une séparation plus claire des tâches, simplifie la gestion du contrôle d'accès et simplifie l'audit de sécurité. Le fait de disposer d'une clé dédiée réduit également les risques en limitant l'impact des modifications clés sur une seule instance d'IAM Identity Center.

Note

IAM Identity Center utilise le chiffrement d'enveloppe pour chiffrer les données d'identité de votre personnel. Votre clé KMS joue le rôle d'une clé d'encapsulation qui chiffre la clé de données réellement utilisée pour chiffrer les données.

Pour plus d'informations sur AWS KMS, voir Qu'est-ce que le service de gestion des AWS clés ?

Contexte de chiffrement IAM Identity Center

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur non secrètes qui contiennent des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande. Reportez-vous au guide du développeur KMS pour plus d'informations sur le contexte de chiffrement.

IAM Identity Center utilise les clés de contexte de chiffrement suivantes : aws:sso:instance-arn, aws:identitystore:identitystore-arn et. tenant-key-id Par exemple, le contexte de chiffrement suivant peut apparaître dans les opérations d' AWS KMS API invoquées par l'API IAM Identity Center. 


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

Le contexte de chiffrement suivant peut apparaître dans les opérations AWS KMS d'API invoquées par l'API Identity Store. 


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client

Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l'accès à votre clé symétrique gérée par le client. Certains des principaux modèles de politique Déclarations de politique clés avancées de KMS inclus incluent de telles conditions pour garantir que la clé est utilisée uniquement avec une instance IAM Identity Center spécifique.

Surveillance de vos clés de chiffrement pour IAM Identity Center

Lorsque vous utilisez une clé KMS gérée par le client avec votre instance IAM Identity Center, vous pouvez utiliser AWS CloudTrailAmazon CloudWatch Logs pour suivre les demandes auxquelles IAM Identity Center envoie. AWS KMS Les opérations d'API KMS appelées par IAM Identity Center sont répertoriées dansÉtape 2 : Préparation des déclarations de politique clés de KMS. CloudTrail les événements relatifs à ces opérations d'API contiennent le contexte de chiffrement, qui vous permet de surveiller les opérations d' AWS KMS API appelées par votre instance IAM Identity Center pour accéder aux données chiffrées par votre clé gérée par le client.

Exemple de contexte de chiffrement dans le CloudTrail cas d'une opération d' AWS KMS API : 


"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }

AWS stockage, chiffrement et suppression des attributs d'identité d'IAM Identity Center dans les applications gérées

Certaines applications AWS gérées que vous déployez AWS IAM Identity Center, telles que AWS Systems Manager et Amazon CodeCatalyst, stockent des attributs d'utilisateur et de groupe spécifiques provenant d'IAM Identity Center dans leur propre banque de données. Le chiffrement au repos avec une clé KMS gérée par le client dans IAM Identity Center ne s'étend pas aux attributs d'utilisateur et de groupe IAM Identity Center stockés dans les applications AWS gérées. AWS les applications gérées prennent en charge différentes méthodes de chiffrement pour les données qu'elles stockent. Enfin, lorsque vous supprimez des attributs d'utilisateur et de groupe dans IAM Identity Center, ces applications AWS gérées peuvent continuer à stocker ces informations après leur suppression dans IAM Identity Center. Reportez-vous au guide de l'utilisateur de vos applications AWS gérées pour connaître le chiffrement et la sécurité des données stockées dans les applications.