View a markdown version of this page

Multi-party persetujuan untuk Kriptografi AWS Pembayaran - AWS Kriptografi Pembayaran
IkhtisarOperasi yang dilindungiPrasyaratMengaktifkan dan menonaktifkan MPAMemulaiContoh: Impor sertifikat root dengan MPA diaktifkanAWS CloudTrail logging untuk acara MPAMemeriksa status permintaan dan kegagalan penanganan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Multi-party persetujuan untuk Kriptografi AWS Pembayaran

AWS Kriptografi Pembayaran terintegrasi dengan Multi-party persetujuan (MPA), kemampuan dari Amazon Web Services Organizations, untuk membantu melindungi operasi penting melalui proses persetujuan terdistribusi. Dengan MPA, Anda dapat meminta beberapa individu tepercaya menyetujui operasi Kriptografi AWS Pembayaran tertentu sebelum dilakukan.

Ikhtisar

Multi-party persetujuan menambahkan lapisan keamanan tambahan untuk operasi Kriptografi AWS Pembayaran yang sensitif dengan meminta persetujuan dari sekelompok individu tepercaya sebelum operasi dapat dilanjutkan. Ini membantu melindungi terhadap perubahan yang tidak sah jika satu set kredensional dikompromikan dan mencegah satu individu membuat perubahan secara sepihak.

Tim persetujuan adalah sekelompok pemberi persetujuan dalam organisasi Anda yang Anda tunjuk untuk menyetujui atau menolak permintaan operasi yang dilindungi. Proses persetujuan sepenuhnya dikelola oleh pemberi persetujuan organisasi Anda. Tidak ada AWS personel yang terlibat dalam menyetujui atau menolak permintaan.

Ketika MPA diaktifkan untuk operasi yang dilindungi, hal berikut terjadi:

  1. Seorang pemohon memulai operasi yang dilindungi.

  2. MPA membuat sesi persetujuan dan memberi tahu anggota tim persetujuan.

  3. Anggota tim persetujuan meninjau permintaan dan menyetujui atau menolaknya melalui portal KKL.

  4. Setelah ambang batas persetujuan minimum yang diperlukan tercapai, operasi dilanjutkan. Jika permintaan ditolak oleh tim persetujuan atau waktu sesi yang diizinkan berakhir sebelum ambang persetujuan dipenuhi, operasi tidak dilakukan. Dalam kedua kasus tersebut, pemohon harus mengajukan permintaan baru untuk mencoba kembali operasi.

catatan

Saat mengimpor sertifikat CA root dengan MPA diaktifkan, RequesterComment parameternya wajib. Komentar ini disertakan dalam pemberitahuan persetujuan yang dikirim ke tim persetujuan, memberikan konteks untuk permintaan tersebut.

Operasi yang dilindungi

AWS Kriptografi Pembayaran mendukung MPA untuk operasi berikut:

  • ImportKeydengan bahan RootCertificatePublicKey utama - Mengimpor sertifikat kunci publik root adalah operasi penting karena sertifikat root menetapkan jangkar kepercayaan untuk semua impor dan ekspor utama berikutnya menggunakan pertukaran kunci asimetris seperti. TR-34 Memerlukan persetujuan multi-pihak untuk operasi ini membantu memastikan bahwa tidak ada satu individu pun yang dapat secara sepihak membangun atau mengubah akar kepercayaan untuk kunci Kriptografi Pembayaran Anda AWS .

Prasyarat

Sebelum Anda dapat menggunakan MPA dengan Kriptografi AWS Pembayaran, Anda harus menyelesaikan prasyarat berikut:

  • Siapkan MPA di lingkungan Amazon Web Services Organizations Anda. Untuk instruksi, lihat Apa itu Multi-party persetujuan? dalam Panduan Pengguna Multi-party persetujuan.

  • Buat setidaknya satu tim persetujuan dengan pemberi persetujuan yang diperlukan.

  • Bagikan tim persetujuan dengan Akun AWS yang berisi kunci Kriptografi AWS Pembayaran Anda menggunakan AWS Resource Access Manager.

  • Akun manajemen di organisasi Anda harus Multi-party disetujui.

Mengaktifkan dan menonaktifkan MPA

Setelah Anda menyiapkan tim persetujuan, Anda dapat mengaktifkan MPA untuk Kriptografi AWS Pembayaran dengan mengaitkan tim dengan akun Anda. Anda juga dapat menonaktifkan MPA dengan memisahkan tim, meskipun pemisahan memerlukan persetujuan dari tim persetujuan yang saat ini terkait.

Aktifkan MPA

Gunakan tindakan AssociateMpaTeam API atau perintah associate-mpa-team CLI untuk mengaitkan tim persetujuan dengan akun Kriptografi AWS Pembayaran Anda. Setelah dikaitkan, operasi yang dilindungi memerlukan persetujuan dari tim sebelum mereka dapat melanjutkan.

aws payment-cryptography associate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
Nonaktifkan MPA

Gunakan tindakan DisassociateMpaTeam API atau perintah disassociate-mpa-team CLI untuk menghapus asosiasi tim persetujuan. Memutuskan hubungan tim itu sendiri merupakan operasi yang dilindungi yang memerlukan persetujuan dari tim persetujuan yang saat ini terkait.

aws payment-cryptography disassociate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
penting

Menonaktifkan MPA memerlukan persetujuan dari tim persetujuan yang saat ini terkait. Ini memastikan bahwa tidak ada satu individu pun yang dapat secara sepihak menghapus perlindungan persetujuan multi-pihak.

catatan

--requester-commentParameter ini opsional untuk associate-mpa-team dandisassociate-mpa-team.

Memulai

Untuk memulai KKL untuk Kriptografi AWS Pembayaran, lihat Panduan Pengguna Multi-party persetujuan untuk petunjuk penyiapan terperinci, termasuk cara membuat tim persetujuan, mengonfigurasi kebijakan persetujuan, dan mengelola sesi persetujuan.

Contoh: Impor sertifikat root dengan MPA diaktifkan

Setelah MPA diaktifkan dan tim persetujuan dikaitkan dengan ImportKey operasi untukRootCertificatePublicKey, permintaan impor memerlukan persetujuan sebelum dapat dilanjutkan.

  1. Pemohon memanggil import-key untuk mengimpor sertifikat kunci publik root. Untuk menggunakan perintah ini, ganti perintah italicized placeholder text in the example dengan informasi Anda sendiri.

    aws payment-cryptography import-key \
    --key-material='{"RootCertificatePublicKey": {
    "KeyAttributes": {
        "KeyAlgorithm": "RSA_4096",
        "KeyClass": "PUBLIC_KEY",
        "KeyModesOfUse": {"Verify": true},
        "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
    },
    "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \
    --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"

    Respons mengembalikan kunci dengan KeyState set toCREATE_IN_PROGRESS, menunjukkan permintaan sedang menunggu persetujuan. Tanggapan juga mencakup MpaStatus dengan rincian tentang sesi persetujuan:

    {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

  2. Karena MPA diaktifkan, permintaan tidak segera selesai. Sebagai gantinya, Kriptografi AWS Pembayaran membuat sesi persetujuan dan mengembalikan respons yang menunjukkan bahwa persetujuan sedang tertunda.

  3. Anggota tim persetujuan menerima pemberitahuan dan meninjau permintaan melalui portal MPA. Setelah jumlah pemberi persetujuan yang diperlukan menyetujui permintaan, operasi impor dilanjutkan dan sertifikat root diimpor.

AWS CloudTrail logging untuk acara MPA

Ketika MPA diaktifkan, Kriptografi AWS Pembayaran mencatat peristiwa layanan AWS CloudTrailsaat sesi persetujuan selesai. Peristiwa ini mencatat hasil dari proses persetujuan, termasuk apakah permintaan disetujui atau gagal. Anda dapat menggunakan log ini untuk mengaudit aktivitas KKL dan melacak status operasi yang dilindungi.

MPA-related CloudTrail acara meliputi bidang-bidang berikut diserviceEventDetails:

  • keyArn— ARN kunci yang terpengaruh oleh operasi.

  • operation— Operasi yang dilindungi yang diminta.

  • mpaSessionArn— ARN dari sesi persetujuan MPA.

  • sessionStatus— Hasil dari sesi persetujuan (APPROVEDatauFAILED).

Permintaan yang disetujui

Contoh berikut menunjukkan CloudTrail acara untuk ImportKey permintaan yang disetujui oleh tim MPA:

{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:49:51Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e",
        "sessionStatus": "APPROVED"
    }
}
Permintaan gagal

Contoh berikut menunjukkan CloudTrail peristiwa untuk ImportKey permintaan yang ditolak atau habis waktu:

{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:50:35Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2",
        "sessionStatus": "FAILED"
    }
}

Untuk mempelajari selengkapnya AWS CloudTrail, lihat Panduan AWS CloudTrail Pengguna.

Memeriksa status permintaan dan kegagalan penanganan

Anda dapat memeriksa status permintaan MPA yang tertunda dengan menelepon GetKey. Tanggapan mencakup MpaStatus bidang dengan rincian sesi persetujuan saat ini. Untuk menggunakan perintah ini, ganti perintah italicized placeholder text in the example dengan informasi Anda sendiri.

aws payment-cryptography get-key \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Sementara permintaan menunggu persetujuan, respons menunjukkan KeyState sebagai CREATE_IN_PROGRESS dan MpaStatus.Status sebagaiPENDING:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Setelah jumlah pemberi persetujuan yang diperlukan menyetujui permintaan, KeyState pindah ke CREATE_COMPLETE dan MpaStatus.Status pindah ke. APPROVED Kuncinya sekarang siap digunakan:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "APPROVED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Jika permintaan ditolak oleh tim persetujuan atau sesi berakhir sebelum ambang persetujuan dipenuhi, perubahan CREATE_FAILED dan KeyState MpaStatus.Status perubahan keFAILED:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_FAILED",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "FAILED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00",
            "StatusMessage": "Approval session expired or was denied"
        }
    }
}

Kunci dalam CREATE_FAILED status tidak dapat digunakan untuk operasi kriptografi. Untuk mencoba lagi impor, Anda harus mengirimkan ImportKey permintaan baru, yang akan membuat sesi persetujuan baru.