Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center - AWS IAM Identity Center
Étape 1 : Identifier les cas d'utilisation pour votre organisationÉtape 2 : Préparation des déclarations de politique clés de KMSÉtape 3 : Création d'une clé KMSÉtape 4 : Configuration des politiques IAMÉtape 5 : Configuration de la clé KMS dans IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center

Note

Les clés KMS gérées par le client pour AWS IAM Identity Center sont actuellement disponibles dans certaines AWS régions.

Les clés gérées par le client sont AWS des clés du service de gestion des clés que vous créez, détenez et gérez. Pour implémenter une clé KMS gérée par le client pour le chiffrement au repos dans AWS IAM Identity Center, procédez comme suit :

Important

Certaines applications AWS gérées ne peuvent pas être utilisées avec AWS IAM Identity Center configuré avec une clé KMS gérée par le client. Consultez AWS applications gérées que vous pouvez utiliser avec IAM Identity Center.

  1. Étape 1 : Identifier les cas d'utilisation pour votre organisation- Pour définir les autorisations correctes pour l'utilisation de la clé KMS, vous devez identifier les cas d'utilisation pertinents au sein de votre organisation. Les autorisations clés KMS consistent en des déclarations de politique clés KMS et des politiques basées sur l'identité qui fonctionnent ensemble pour permettre aux principaux IAM appropriés d'utiliser la clé KMS pour leurs cas d'utilisation spécifiques.

  2. Étape 2 : Préparation des déclarations de politique clés de KMS- Choisissez des modèles de déclaration de politique clé KMS pertinents en fonction des cas d'utilisation identifiés à l'étape 1, et renseignez les identifiants requis et les noms principaux IAM. Commencez par les déclarations de politique clés KMS de base et, si vos politiques de sécurité l'exigent, affinez-les comme décrit dans la section Déclarations de politique clés KMS avancées.

  3. Étape 3 : Création d'une clé KMS gérée par le client- Créez une clé KMS dans AWS KMS qui répond aux exigences du centre d'identité IAM, et ajoutez les déclarations de politique clé KMS préparées à l'étape 2 à la politique clé KMS.

  4. Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes- Choisissez des modèles de déclaration de politique IAM pertinents en fonction des cas d'utilisation identifiés à l'étape 1, et préparez-les en vue de leur utilisation en remplissant le code ARN. Autorisez ensuite les responsables IAM pour chaque cas d'utilisation spécifique à utiliser la clé KMS sur tous les comptes en ajoutant les déclarations de politique IAM préparées aux politiques IAM des principaux.

  5. Étape 5 : Configuration de la clé KMS dans IAM Identity Center- IMPORTANT : Avant de procéder à cette étape, validez soigneusement toutes les autorisations clés KMS configurées lors des étapes précédentes. Une fois terminé, IAM Identity Center commencera à utiliser la clé KMS pour le chiffrement au repos.

Étape 1 : Identifier les cas d'utilisation pour votre organisation

Avant de créer et de configurer votre clé KMS gérée par le client, identifiez vos cas d'utilisation et préparez les autorisations de clé KMS requises. Reportez-vous au guide du développeur AWS KMS pour plus d'informations sur la politique relative aux clés KMS.

Les principaux IAM qui appellent l'IAM Identity Center et l'Identity Store APIs ont besoin d'autorisations. Par exemple, un administrateur délégué peut être autorisé à les utiliser par le APIs biais d'une politique d'ensemble d'autorisations. Lorsque IAM Identity Center est configuré avec une clé gérée par le client, les principaux IAM doivent également être autorisés à utiliser l'API KMS via le IAM Identity Center et Identity Store. APIs Vous définissez ces autorisations d'API KMS à deux endroits : dans la politique clé KMS et dans les politiques IAM associées aux principes IAM.

Les autorisations clés KMS sont les suivantes :

  1. Déclarations de politique relatives aux clés KMS que vous spécifiez sur la clé KMS lors de sa création dansÉtape 3 : Création d'une clé KMS gérée par le client.

  2. Déclarations de politique IAM pour les principes IAM que vous spécifiez Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes après avoir créé la clé KMS.

Le tableau suivant indique les cas d'utilisation pertinents et les principes IAM qui nécessitent des autorisations pour utiliser votre clé KMS.

Cas d’utilisation Principaux IAM qui ont besoin d'autorisations pour utiliser la clé KMS Obligatoire/facultatif
Utilisation d' AWS IAM Identity Center

  • Administrateurs d' AWS IAM Identity Center

  • Service IAM Identity Center et service Identity Store associé

 Obligatoire
Utilisation d'applications AWS gérées avec IAM Identity Center

  • Administrateurs d'applications AWS gérées

  • AWS applications gérées

  • Rôles de service que les applications AWS gérées supposent appeler IAM Identity Center et Identity Store APIs

 Facultatif
Utilisation de AWS Control Tower sur l'instance AWS IAM Identity Center activée

  • AWS Control Tower administrateurs

 Facultatif
SSO vers les instances Amazon EC2 Windows avec AWS IAM Identity Center

  • Principaux IAM autorisés à effectuer l'authentification unique sur les instances Amazon Windows EC2

Facultatif
Tout autre cas d'utilisation faisant appel à l'API IAM Identity Center ou à l'API Identity Store, tel que les ensembles d'autorisations, le provisionnement, les flux de travail ou les fonctions AWS Lambda

  • Principaux IAM utilisés par ces flux de travail pour appeler l'API IAM Identity Center et l'API Identity Store

 Facultatif
Note

Plusieurs principaux IAM répertoriés dans le tableau nécessitent des autorisations d'API AWS KMS. Toutefois, pour protéger les données de vos utilisateurs et de vos groupes dans IAM Identity Center, seuls les services IAM Identity Center et Identity Store appellent directement l'API AWS KMS.

Étape 2 : Préparation des déclarations de politique clés de KMS

Après avoir identifié les cas d'utilisation pertinents pour votre organisation, vous pouvez préparer les déclarations de politique clés KMS correspondantes.

  1. Choisissez les principales déclarations de politique KMS qui correspondent aux cas d'utilisation de votre organisation. Commencez par les modèles de politique de base. Si vous avez besoin de politiques plus spécifiques en fonction de vos exigences de sécurité, vous pouvez modifier les déclarations de politique à l'aide des exemples présentés dansDéclarations de politique clés avancées de KMS. Pour obtenir des conseils sur cette décision, voirConsidérations relatives au choix des déclarations de politique clés KMS de référence ou avancées. En outre, chaque section de référence Déclarations de base relatives aux clés KMS et à la politique IAM inclut des considérations pertinentes.

  2. Copiez les politiques pertinentes dans un éditeur et insérez les identifiants requis et les noms principaux IAM dans les déclarations de politique clés de KMS. Pour obtenir de l'aide pour trouver les valeurs des identifiants référencés, consultezTrouvez les identifiants requis.

Vous trouverez ci-dessous des modèles de politique de base pour chaque cas d'utilisation. Seul le premier ensemble d'autorisations pour AWS IAM Identity Center est requis pour utiliser une clé KMS. Nous vous recommandons de consulter les sous-sections applicables pour obtenir des informations supplémentaires spécifiques aux cas d'utilisation.

Important

Faites preuve de prudence lorsque vous modifiez les politiques relatives aux clés KMS pour les clés déjà utilisées par IAM Identity Center. Bien qu'IAM Identity Center valide les autorisations de chiffrement et de déchiffrement lors de la configuration initiale d'une clé KMS, il ne peut pas vérifier les modifications de politique ultérieures. La suppression par inadvertance des autorisations nécessaires peut perturber le fonctionnement normal de votre IAM Identity Center. Pour obtenir des conseils sur la résolution des erreurs courantes liées aux clés gérées par le client dans IAM Identity Center, reportez-vous àRésoudre les problèmes liés aux clés gérées par le client dans AWS IAM Identity Center.

Note

IAM Identity Center et son magasin d'identités associé nécessitent des autorisations de niveau de service pour utiliser votre clé KMS gérée par le client. Cette exigence s'étend aux applications AWS gérées qui appellent le IAM Identity Center à l' APIs aide d'informations d'identification de service. Pour les autres cas d'utilisation où les centres d'identité IAM APIs sont appelés avec des sessions d'accès direct, seul le principal IAM initiateur (tel qu'un administrateur) a besoin des autorisations clés KMS. En particulier, les utilisateurs finaux utilisant le portail AWS d'accès et les applications AWS gérées n'ont pas besoin d'autorisations clés KMS directes, car elles sont accordées par le biais des services respectifs.

Étape 3 : Création d'une clé KMS gérée par le client

Vous pouvez créer une clé gérée par le client à l'aide de la console AWS de gestion ou du AWS KMS APIs. Lors de la création de la clé, ajoutez les déclarations de politique clé KMS que vous avez préparées à l'étape 2 dans la politique clé KMS. Pour obtenir des instructions détaillées, notamment des conseils sur la politique de clé KMS par défaut, consultez le Guide du développeur du service de gestion des AWS clés.

La clé doit répondre aux exigences suivantes :

  • La clé KMS doit se trouver dans la même AWS région que l'instance IAM Identity Center

  • Vous pouvez choisir une clé multirégionale ou une clé mono-régionale. Pour rester compatible avec vos futurs cas d'utilisation dans plusieurs AWS régions, nous vous recommandons de choisir une clé multirégionale

  • La clé KMS doit être une clé symétrique configurée pour une utilisation « crypter et déchiffrer »

  • La clé KMS doit se trouver dans le même compte AWS Organizations de gestion que l'instance organisationnelle d'IAM Identity Center

Étape 4 : Configuration des politiques IAM pour l'utilisation de la clé KMS entre comptes

Tout principal IAM qui utilise le IAM Identity Center et Identity Store à APIs partir d'un autre AWS compte, tel que les administrateurs délégués d'IAM Identity Center, doit également disposer d'une déclaration de politique IAM autorisant l'utilisation de la clé KMS par le biais de ces comptes. APIs

Pour chaque cas d'utilisation identifié à l'étape 1 :

  1. Recherchez les modèles de déclaration de politique IAM pertinents dans les déclarations de politique IAM et de clé KMS de base.

  2. Copiez les modèles dans un éditeur et renseignez l'ARN de la clé, qui est désormais disponible après la création de la clé KMS à l'étape 3. Pour obtenir de l'aide pour trouver la valeur ARN clé, consultezTrouvez les identifiants requis.

  3. Dans le AWS Management Console, recherchez la politique IAM du principal IAM associée au cas d'utilisation. L'emplacement de cette politique varie en fonction du cas d'utilisation et de la manière dont l'accès est accordé.

    • Pour l'accès accordé directement dans IAM, vous pouvez localiser les principaux IAM, tels que les rôles IAM dans la console IAM.

    • Pour l'accès accordé via IAM Identity Center, vous pouvez trouver l'ensemble d'autorisations pertinent dans la console IAM Identity Center.

  4. Ajoutez les déclarations de politique IAM spécifiques au cas d'utilisation au rôle IAM et enregistrez la modification.

Note

Les politiques IAM décrites ici sont des politiques basées sur l'identité. Bien que ces politiques puissent être associées aux utilisateurs, aux groupes et aux rôles IAM, nous recommandons d'utiliser des rôles IAM dans la mesure du possible. Consultez le guide de l'utilisateur IAM pour plus d'informations sur les rôles IAM par rapport aux utilisateurs IAM.

Configuration supplémentaire dans certaines applications AWS gérées

Certaines applications AWS gérées nécessitent que vous configuriez un rôle de service pour permettre aux applications d'utiliser le IAM Identity Center et l'Identity Store APIs. Si votre organisation utilise des applications AWS gérées avec IAM Identity Center, procédez comme suit pour chaque application déployée :

  1. Consultez le guide de l'utilisateur de l'application pour vérifier si les autorisations ont été mises à jour pour inclure les autorisations liées aux clés KMS pour l'utilisation de l'application avec IAM Identity Center.

  2. Si tel est le cas, mettez à jour les autorisations conformément aux instructions du guide de l'utilisateur de l'application afin d'éviter toute interruption des opérations de l'application.

Note

Si vous ne savez pas si une application AWS gérée utilise ces autorisations, nous vous recommandons de consulter les guides d'utilisation de toutes les applications AWS gérées déployées. Vous ne devez effectuer cette configuration qu'une seule fois pour chaque application nécessitant cette configuration.

Étape 5 : Configuration de la clé KMS dans IAM Identity Center

Important

Avant de procéder à cette étape :

  • Vérifiez que vos applications AWS gérées sont compatibles avec les clés KMS gérées par le client. Pour obtenir la liste des applications compatibles, consultez la section Applications AWS gérées que vous pouvez utiliser avec IAM Identity Center. Si vous avez des applications incompatibles, ne poursuivez pas.

  • Configurez les autorisations nécessaires pour utiliser la clé KMS. Sans autorisations appropriées, cette étape peut échouer ou perturber l'administration d'IAM Identity Center et les applications AWS gérées. Pour de plus amples informations, veuillez consulter Étape 1 : Identifier les cas d'utilisation pour votre organisation.

  • Assurez-vous que les autorisations pour les applications AWS gérées autorisent également l'utilisation de la clé KMS via IAM Identity Center et Identity Store APIs. Certaines applications AWS gérées nécessitent que vous configuriez des autorisations, telles qu'un rôle de service, pour pouvoir les utiliser APIs. Reportez-vous au guide de l'utilisateur de chaque application AWS gérée déployée pour vérifier si vous devez ajouter des autorisations clés KMS spécifiques.

Console

Pour spécifier une clé KMS lors de l'activation d'une nouvelle instance organisationnelle d'IAM Identity Center

Lorsque vous activez une nouvelle instance d'organisation d'IAM Identity Center, vous pouvez spécifier une clé KMS gérée par le client lors de la configuration. Cela garantit que l'instance utilise votre clé pour le chiffrement au repos dès le début. Avant de commencer, reportez-vous àConsidérations relatives aux clés KMS gérées par le client et aux politiques avancées en matière de clés KMS.

  1. Sur la page Activer le centre d'identité IAM, développez la section Chiffrement au repos.

  2. Choisissez Gérer le chiffrement.

  3. Choisissez Clé gérée par le client.

  4. Pour la clé KMS, effectuez l'une des opérations suivantes :

    1. Choisissez Sélectionner parmi vos clés KMS et sélectionnez la clé que vous avez créée dans la liste déroulante.

    2. Choisissez Enter KMS key ARN et saisissez l'ARN complet de votre clé.

  5. Choisissez Enregistrer.

  6. Choisissez Activer pour terminer la configuration.

Pour plus d'informations, voir Activer le centre d'identité IAM.

Pour spécifier une clé KMS pour une instance organisationnelle existante d'IAM Identity Center

  1. Ouvrez la console IAM Identity Center à https://console.aws.amazon.com/singlesignon/l'adresse.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Sur la page Paramètres de la section Chiffrement, choisissez Modifier.

  4. Pour Type de chiffrement, choisissez Clé gérée par le client.

  5. Pour la clé KMS, effectuez l'une des opérations suivantes :

    1. Choisissez Sélectionner parmi vos clés KMS et sélectionnez la clé que vous avez créée dans la liste déroulante.

      Note

      Notez que la liste déroulante n'affichera que les clés KMS auxquelles vous avez accès dans le même AWS compte. Par conséquent, si vous effectuez cette opération dans le compte d'administration déléguée, vous devrez spécifier l'ARN de la clé depuis votre compte de AWS Organizations gestion.

    2. Choisissez Enter KMS key ARN et saisissez l'ARN complet de votre clé.

  6. Sélectionnez Enregistrer les modifications.

AWS CLI
aws ssoadmin update-instance \
  --configuration KeyType=string,KmsKeyArn=string \
  --instance-arn string \
  --name string

Modifier la configuration de votre clé KMS

Vous pouvez remplacer la clé KMS gérée par le client par une autre clé ou passer à une AWS clé que vous possédez à tout moment.

Pour modifier la configuration de votre clé KMS

  1. Ouvrez la console IAM Identity Center.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Choisissez l'onglet Paramètres supplémentaires.

  4. Choisissez Gérer le chiffrement.

  5. Sélectionnez l'une des méthodes suivantes :

    1. Clé gérée par le client : sélectionnez une autre clé gérée par le client dans la liste déroulante ou saisissez un nouvel ARN de clé.

    2. AWS clé possédée : passez à l'option de chiffrement par défaut.

  6. Choisissez Enregistrer.

Considérations clés gérées par le client

  • La mise à jour de la configuration de la clé KMS pour le fonctionnement d'IAM Identity Center n'a aucun effet sur les sessions utilisateur actives dans votre IAM Identity Center. Vous pouvez continuer à utiliser le portail AWS d'accès, la console IAM Identity Center et IAM Identity Center APIs au cours de ce processus.

  • Lors du passage à une nouvelle clé KMS, IAM Identity Center confirme qu'il peut utiliser la clé avec succès pour le chiffrement et le déchiffrement. Si vous avez commis une erreur lors de la configuration de la politique clé ou de la politique IAM, la console affichera un message d'erreur explicatif et la clé KMS précédente restera utilisée.

  • La rotation annuelle des clés KMS par défaut aura lieu automatiquement. Vous pouvez consulter le guide du AWS KMS développeur pour obtenir des informations sur des sujets tels que la rotation des clés, la surveillance des AWS KMS clés et le contrôle de l'accès à la suppression des clés.

Important

Si la clé KMS gérée par le client et utilisée par votre instance IAM Identity Center est supprimée, désactivée ou inaccessible en raison d'une politique de clé KMS incorrecte, les utilisateurs de votre personnel et les administrateurs d'IAM Identity Center ne pourront pas utiliser IAM Identity Center. La perte d'accès peut être temporaire (une politique de clé peut être corrigée) ou permanente (une clé supprimée ne peut pas être restaurée) selon les circonstances. Nous vous recommandons de restreindre l'accès aux opérations critiques, telles que la suppression ou la désactivation de la clé KMS. Nous recommandons également à votre organisation de mettre en place des procédures AWS d'accès rapides pour garantir que vos utilisateurs privilégiés puissent y accéder AWS dans le cas peu probable où IAM Identity Center serait inaccessible.

Trouvez les identifiants requis

Lorsque vous configurez les autorisations pour votre clé KMS gérée par le client, vous aurez besoin d'identifiants de AWS ressource spécifiques pour compléter les modèles de politique clé et de déclaration de politique IAM. Insérez les identifiants requis (par exemple, l'identifiant de l'organisation) et les noms principaux IAM dans les déclarations de politique clés de KMS.

Vous trouverez ci-dessous un guide pour localiser ces identifiants dans la console AWS de gestion.

Nom de ressource Amazon (ARN) du centre d'identité IAM et ARN du magasin d'identités

Une instance IAM Identity Center est une AWS ressource dotée de son propre ARN unique, tel que arn:aws:sso : :instance/ssoins-1234567890abcdef. L'ARN suit le modèle décrit dans la section sur les types de ressources IAM Identity Center de la référence d'autorisation de service.

Chaque instance d'IAM Identity Center possède un magasin d'identités associé qui stocke les identités des utilisateurs et des groupes. Un magasin d'identité possède un identifiant unique appelé Identity Store ID (par exemple, d-123456789a). L'ARN suit le modèle décrit dans la section des types de ressources Identity Store de la référence d'autorisation de service.

Vous trouverez les valeurs ARN et Identity Store ID sur la page Paramètres de votre IAM Identity Center. Notez que l'ID du magasin d'identités se trouve dans l'onglet Source d'identité.

AWS Organizations ID

Si vous souhaitez spécifier un identifiant d'organisation (par exemple, o-exampleorg1) dans votre politique clé, vous pouvez trouver sa valeur sur la page Paramètres de vos consoles IAM Identity Center et Organizations. L'ARN suit le modèle décrit dans la section « Organizations resource types » du Service Authorization Reference.

ARN de la clé KMS

Vous pouvez trouver l'ARN d'une clé KMS dans la AWS KMS console. Choisissez Clés gérées par le client sur la gauche, cliquez sur la clé dont vous souhaitez rechercher l'ARN, et vous la verrez dans la section Configuration générale. L'ARN suit le modèle décrit dans la section sur les types de AWS KMS ressources de la référence d'autorisation de service.

Consultez le Guide du développeur de AWS Key Management Service services pour plus d'informations sur les politiques clés relatives aux AWS KMS autorisations AWS KMS et leur résolution des problèmes. Pour plus d'informations sur les politiques IAM et leur représentation JSON, consultez le guide de l'utilisateur IAM.