Kunci KMS dasar dan pernyataan kebijakan IAM - AWS IAM Identity Center
Pernyataan kebijakan utama KMS dasar untuk penggunaan IAM Identity Center (wajib)Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan aplikasi terkelola AWSPernyataan kunci KMS dasar untuk penggunaan AWS Control TowerKunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan instans IAM Identity Center ke Amazon Elastic Compute Cloud WindowsKunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan alur kerja kustom dengan IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci KMS dasar dan pernyataan kebijakan IAM

catatan

Kunci KMS yang dikelola pelanggan saat ini AWS IAM Identity Center tersedia di AWS Wilayah tertentu.

Kunci KMS dasar dan kebijakan berbasis identitas yang disediakan di sini berfungsi sebagai dasar untuk persyaratan umum. Kami juga menyarankan Anda meninjau Pernyataan kebijakan kunci KMS tingkat lanjut yang menyediakan kontrol akses yang lebih terperinci, seperti memastikan kunci KMS hanya dapat diakses oleh instans Pusat Identitas IAM tertentu atau AWS aplikasi terkelola. Sebelum menggunakan pernyataan kebijakan kunci KMS tingkat lanjut, tinjau. Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan

Bagian berikut memberikan pernyataan kebijakan dasar untuk setiap kasus penggunaan. Salin pernyataan kebijakan kunci KMS yang cocok dengan kasus penggunaan Anda, lalu kembali keLangkah 2: Siapkan pernyataan kebijakan utama KMS.

Pernyataan kebijakan utama KMS dasar untuk penggunaan IAM Identity Center (wajib)

Gunakan templat pernyataan kebijakan kunci KMS berikut Langkah 2: Siapkan pernyataan kebijakan utama KMS untuk mengizinkan IAM Identity Center, Identity Store terkait, dan administrator IAM Identity Center untuk menggunakan kunci KMS.

  • Tentukan prinsip IAM administrator IAM Identity Center di elemen Principal. Untuk informasi selengkapnya tentang kepala sekolah IAM, lihat Menentukan prinsipal dalam Panduan Pengguna IAM.

  • Identity Store memiliki prinsip layanan sendiriidentitystore.amazonaws.com, yang harus diizinkan untuk menggunakan kunci KMS.

  • Pernyataan kebijakan ini memungkinkan instans Pusat Identitas IAM Anda untuk menggunakan kunci KMS. Untuk membatasi akses ke instans Pusat Identitas IAM tertentu, lihat. Pernyataan kebijakan kunci KMS tingkat lanjut

Pernyataan kebijakan utama KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*",
          "kms:ViaService": "identitystore.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityStoreToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "identitystore.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    }
  ]
}

Gunakan templat pernyataan kebijakan IAM berikut Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun untuk mengizinkan administrator Pusat Identitas IAM menggunakan kunci KMS.

  • Ganti ARN kunci contoh di elemen Resource dengan ARN kunci KMS Anda yang sebenarnya. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. Temukan pengidentifikasi yang diperlukan

Pernyataan Kebijakan IAM diperlukan untuk administrator yang didelegasikan dari IAM Identity Center

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}

Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan aplikasi terkelola AWS

catatan

Beberapa aplikasi AWS terkelola tidak dapat digunakan dengan IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan. Untuk informasi selengkapnya, lihat aplikasi AWS terkelola yang bekerja dengan IAM Identity Center.

Gunakan templat pernyataan kebijakan kunci KMS berikut Langkah 2: Siapkan pernyataan kebijakan utama KMS untuk memungkinkan aplikasi AWS terkelola dan administrator mereka menggunakan kunci KMS.

  • Masukkan AWS Organizations ID Anda dalam kondisi PrincipalOrg ID. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. Temukan pengidentifikasi yang diperlukan

  • Pernyataan kebijakan ini memungkinkan salah satu aplikasi AWS terkelola yang sama AWS Organizations untuk menggunakan kunci KMS. Untuk membatasi pernyataan kebijakan ini ke aplikasi AWS terkelola tertentu, akun, atau instans Pusat Identitas IAM, lihat. Pernyataan kebijakan kunci KMS tingkat lanjut

Pernyataan kebijakan utama KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Gunakan templat pernyataan kebijakan IAM berikut Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun untuk mengizinkan administrator aplikasi AWS terkelola menggunakan kunci KMS dari akun anggota.

  • Ganti contoh ARN di elemen Resource dengan ARN kunci KMS Anda yang sebenarnya. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. Temukan pengidentifikasi yang diperlukan

  • Beberapa aplikasi AWS terkelola mengharuskan Anda mengonfigurasi izin untuk IAM Identity Center dan Identity Store. APIs Sebelum Anda mengonfigurasi kunci yang dikelola pelanggan di Pusat Identitas IAM Anda, pastikan bahwa izin ini juga memungkinkan penggunaan kunci KMS. Untuk persyaratan izin kunci KMS tertentu, lihat dokumentasi untuk setiap aplikasi AWS terkelola yang telah Anda gunakan.

Pernyataan kebijakan IAM yang diperlukan untuk administrator aplikasi AWS terkelola:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Pernyataan kunci KMS dasar untuk penggunaan AWS Control Tower

Gunakan template pernyataan kunci KMS berikut Langkah 2: Siapkan pernyataan kebijakan utama KMS untuk memungkinkan administrator AWS Control Tower menggunakan kunci KMS.

  • Tentukan prinsip IAM yang digunakan untuk akses ke Pusat Identitas IAM di APIs bidang Principal. Untuk informasi selengkapnya tentang kepala sekolah IAM, lihat Menentukan prinsipal dalam Panduan Pengguna IAM.

  • Pernyataan kebijakan ini memungkinkan administrator AWS Control Tower untuk menggunakan kunci KMS melalui instans Pusat Identitas IAM Anda. Namun, AWS Control Tower membatasi akses ke instance organisasi IAM Identity Center di organisasi yang sama AWS . Karena pembatasan ini, tidak ada manfaat praktis untuk membatasi lebih lanjut kunci KMS ke instance Pusat Identitas IAM tertentu seperti yang dijelaskan dalam. Pernyataan kebijakan kunci KMS tingkat lanjut

Pernyataan kebijakan kunci KMS:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

AWS Control Tower tidak mendukung administrasi yang didelegasikan dan, oleh karena itu, Anda tidak perlu mengonfigurasi kebijakan IAM untuk administratornya.

Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan instans IAM Identity Center ke Amazon Elastic Compute Cloud Windows

Gunakan templat pernyataan kebijakan kunci KMS berikut Langkah 2: Siapkan pernyataan kebijakan utama KMS untuk mengizinkan pengguna instans masuk tunggal (SSO) ke Amazon EC2 Windows untuk menggunakan kunci KMS di seluruh akun.

  • Tentukan prinsip IAM yang digunakan untuk akses ke Pusat Identitas IAM di bidang Principal. Untuk informasi selengkapnya tentang kepala sekolah IAM, lihat Menentukan prinsipal dalam Panduan Pengguna IAM.

  • Pernyataan kebijakan ini memungkinkan instans Pusat Identitas IAM Anda untuk menggunakan kunci KMS. Untuk membatasi akses ke instans Pusat Identitas IAM tertentu, lihat. Templat kebijakan

Pernyataan kebijakan kunci KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Gunakan templat pernyataan kebijakan IAM berikut Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun untuk mengizinkan instance SSO ke EC2 Windows menggunakan kunci KMS.

Lampirkan pernyataan kebijakan IAM ke set izin yang ada di Pusat Identitas IAM yang Anda gunakan untuk mengizinkan akses SSO ke instans Amazon EC2 Windows. Untuk contoh kebijakan IAM, lihat Koneksi Protokol Desktop Jarak Jauh di Panduan Pengguna AWS Systems Manager.

Izin menetapkan kebijakan IAM:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan alur kerja kustom dengan IAM Identity Center

Gunakan templat pernyataan kebijakan kunci KMS berikut Langkah 2: Siapkan pernyataan kebijakan utama KMS untuk mengizinkan alur kerja kustom di akun manajemen AWS Organisasi atau akun administrasi yang didelegasikan untuk menggunakan kunci KMS.

  • Tentukan prinsip IAM yang digunakan untuk mengakses Pusat APIs Identitas IAM di elemen Principal. Untuk informasi selengkapnya tentang kepala sekolah IAM, lihat Menentukan prinsipal dalam Panduan Pengguna IAM.

  • Pernyataan kebijakan ini memungkinkan alur kerja Anda menggunakan kunci KMS melalui instans Pusat Identitas IAM Anda. Untuk membatasi akses ke instans Pusat Identitas IAM tertentu, lihat. Templat kebijakan

Pernyataan kebijakan kunci KMS:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Gunakan templat pernyataan kebijakan IAM berikut Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun untuk mengizinkan prinsipal IAM yang terkait dengan alur kerja kustom menggunakan kunci KMS di seluruh akun. Tambahkan pernyataan kebijakan IAM ke kepala IAM.

Pernyataan kebijakan IAM (hanya diperlukan untuk penggunaan lintas akun):

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}