Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data di Pusat Identitas IAM
[Model Tanggung Jawab AWS Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Pusat AWS Identitas IAM. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas konfigurasi keamanan dan tugas manajemen untuk AWS layanan yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, silakan lihat [ Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Untuk informasi tentang perlindungan data di Eropa, lihat [AWS postingan blog Model Tanggung Jawab Bersama dan GDPR ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)*AWS di Blog Keamanan *.
Kami menyarankan Anda mengamankan data Anda dengan cara berikut:
+ Gunakan otentikasi multi-faktor (MFA) dengan IAM Identity Center.
+ Gunakan TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.
**Kami sangat menyarankan agar Anda tidak pernah memasukkan informasi rahasia atau sensitif, seperti alamat email pelanggan Anda, ke dalam tag atau bidang teks bentuk bebas seperti bidang Nama.** Ini termasuk saat Anda bekerja dengan AWS IAM Identity Center, atau AWS layanan lain yang menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tag atau bidang teks bentuk bebas yang digunakan untuk nama dapat digunakan untuk log diagnostik.
## Enkripsi saat bergerak
IAM Identity Center melindungi data dalam perjalanan, saat melakukan perjalanan ke dan dari layanan, dengan secara otomatis mengenkripsi semua data antar-jaringan menggunakan protokol enkripsi Transport Layer Security (TLS) 1.2 atau TLS 1.3. Permintaan HTTPS langsung yang diautentikasi dengan IAM dan dikirim ke IAM Identity Center APIs, Identity Store API, atau OIDC API, ditandatangani menggunakan [Algoritma AWS Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) untuk membuat koneksi yang aman.
## Privasi data
Dengan Pusat Identitas IAM, Anda mempertahankan kendali atas data organisasi Anda. Identitas pengguna dan grup Anda yang disimpan di Pusat Identitas IAM dibagikan dengan AWS layanan lain seperti [aplikasi AWS terkelola](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html) hanya jika Anda mengaktifkannya dengan IAM Identity Center, dan jika diperlukan oleh layanan tersebut.
Untuk informasi tambahan, lihat [FAQ Privasi AWS Data](https://aws.amazon.com/compliance/data-privacy-faq/).
## Retensi data
Pusat Identitas IAM menyimpan data Anda seperti identitas pengguna dan grup, dan metadata, hingga Anda menghapusnya dari layanan. Saat Anda menghapus instance IAM Identity Center, data yang dikandungnya juga akan dihapus.
# Enkripsi saat diam
IAM Identity Center menyediakan enkripsi untuk melindungi data pelanggan saat istirahat menggunakan jenis kunci berikut:
+ **Kunci milik AWS (tipe kunci default)** - Pusat Identitas IAM menggunakan kunci ini secara default untuk mengenkripsi data Anda secara otomatis. Anda tidak dapat melihat, mengelola, mengaudit penggunaannya, atau menggunakan kunci yang AWS dimiliki untuk tujuan lain. IAM Identity Center menangani manajemen kunci sepenuhnya untuk menjaga keamanan data Anda, tanpa Anda harus mengambil tindakan apa pun. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di [https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ **Kunci terkelola pelanggan** — Dalam contoh organisasi Pusat Identitas IAM, Anda dapat memilih kunci terkelola pelanggan simetris untuk enkripsi di sisa data identitas tenaga kerja Anda seperti atribut pengguna dan grup. Anda membuat, memiliki, dan mengelola kunci enkripsi ini. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
+ Menetapkan dan memelihara kebijakan utama untuk membatasi akses ke kunci hanya untuk kepala sekolah IAM yang membutuhkan akses, seperti IAM Identity Center dan yang sama dan [AWS aplikasi terkelola](awsapps.md) administrator mereka. AWS Organizations
+ Menetapkan dan memelihara kebijakan IAM untuk akses ke kunci termasuk akses lintas akun
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kriptografi kunci
+ Mengaudit akses ke data Anda yang memerlukan akses kunci
+ Menambahkan tanda
+ Membuat alias kunci
+ Kunci penjadwalan untuk penghapusan
Untuk mempelajari cara menerapkan kunci KMS yang dikelola pelanggan di Pusat Identitas IAM lihat. [Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center](identity-center-customer-managed-keys.md) Untuk informasi selengkapnya tentang kunci terkelola [pelanggan, lihat kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
IAM Identity Center secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci KMS yang AWS dimiliki untuk melindungi data pelanggan tanpa biaya. Namun, AWS KMS biaya berlaku saat menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management Service harga](https://aws.amazon.com/kms/pricing/).
**Pertimbangan untuk menerapkan kunci yang dikelola pelanggan:**
+ **Kunci khusus**: Sebaiknya buat kunci KMS terkelola pelanggan khusus baru untuk setiap instans Pusat Identitas IAM daripada menggunakan kembali kunci yang ada. Pendekatan ini memberikan pemisahan tugas yang lebih jelas, menyederhanakan manajemen kontrol akses, dan membuat audit keamanan lebih mudah. Memiliki kunci khusus juga mengurangi risiko dengan membatasi dampak perubahan kunci pada satu instans Pusat Identitas IAM.
+ **Penggunaan Pusat Identitas IAM di beberapa Wilayah AWS**: Jika Anda berencana untuk mereplikasi instans Pusat Identitas IAM Anda menjadi tambahan Wilayah AWS, Anda harus menggunakan kunci KMS yang dikelola pelanggan untuk enkripsi saat istirahat. Jenis kunci KMS yang AWS dimiliki default tidak didukung di Pusat Identitas IAM multi-regional. Untuk informasi selengkapnya, lihat [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md).
**catatan**
IAM Identity Center menggunakan [enkripsi amplop](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption) dalam enkripsi data identitas tenaga kerja Anda. Kunci KMS Anda memainkan peran kunci pembungkus yang mengenkripsi kunci data yang sebenarnya digunakan untuk mengenkripsi data.
Untuk informasi selengkapnya tentang AWS KMS, lihat [Apa itu Layanan Manajemen AWS Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)?
## Konteks enkripsi Pusat Identitas IAM
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) adalah kumpulan opsional pasangan nilai kunci non-rahasia yang berisi informasi kontekstual tambahan tentang data. AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan. Lihat [Panduan AWS KMS Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) untuk informasi selengkapnya tentang konteks enkripsi.
IAM Identity Center menggunakan kunci konteks enkripsi dari berikut ini: aws:sso:instance-arn, aws:identitystore:identitystore-arn, dan. tenant-key-id Misalnya, konteks enkripsi berikut dapat muncul dalam operasi AWS KMS API yang dipanggil oleh [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) API.
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Konteks enkripsi berikut dapat muncul dalam operasi AWS KMS API yang dipanggil oleh [Identity Store API](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html).
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Beberapa templat kebijakan utama dalam [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md) menyertakan kondisi tersebut untuk memastikan kunci hanya digunakan dengan instans Pusat Identitas IAM tertentu.
## Memantau kunci enkripsi Anda untuk IAM Identity Center
Saat Anda menggunakan kunci KMS yang dikelola pelanggan dengan instans Pusat Identitas IAM, Anda dapat menggunakan atau [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan oleh IAM Identity Center. AWS KMS Operasi KMS API yang dipanggil IAM Identity Center terdaftar di. [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) CloudTrail event untuk operasi API ini berisi konteks enkripsi, yang memungkinkan Anda memantau operasi AWS KMS API yang dipanggil oleh instans Pusat Identitas IAM Anda untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.
Contoh konteks enkripsi CloudTrail jika terjadi operasi AWS KMS API:
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS penyimpanan aplikasi terkelola, enkripsi, dan penghapusan atribut identitas Pusat Identitas IAM
Beberapa aplikasi AWS terkelola yang Anda gunakan AWS IAM Identity Center, seperti AWS Systems Manager dan Amazon CodeCatalyst, menyimpan atribut pengguna dan grup tertentu dari IAM Identity Center di penyimpanan data mereka sendiri. Enkripsi saat istirahat dengan kunci KMS yang dikelola pelanggan di Pusat Identitas IAM tidak meluas ke pengguna Pusat Identitas IAM dan atribut grup yang disimpan dalam AWS aplikasi terkelola. AWS aplikasi terkelola mendukung metode enkripsi yang berbeda untuk data yang mereka simpan. Terakhir, ketika Anda menghapus atribut pengguna dan grup dalam Pusat Identitas IAM, aplikasi AWS terkelola ini dapat terus menyimpan informasi ini setelah penghapusannya di Pusat Identitas IAM. Lihat panduan pengguna aplikasi AWS terkelola Anda untuk enkripsi dan keamanan data yang disimpan dalam aplikasi.
# Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center
Kunci yang dikelola pelanggan adalah AWS kunci Layanan Manajemen Kunci yang Anda buat, miliki, dan kelola. Untuk mengimplementasikan kunci KMS yang dikelola pelanggan untuk enkripsi saat istirahat di AWS IAM Identity Center, ikuti langkah-langkah berikut:
**penting**
Beberapa aplikasi AWS terkelola tidak dapat digunakan dengan AWS IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan. Lihat [AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md).
1. [Langkah 1: Identifikasi kasus penggunaan untuk organisasi Anda](#identify-use-cases)- Untuk menentukan izin yang benar untuk penggunaan kunci KMS, Anda perlu mengidentifikasi kasus penggunaan yang relevan di seluruh organisasi Anda. Izin kunci KMS terdiri dari pernyataan kebijakan kunci KMS dan kebijakan berbasis identitas yang bekerja sama untuk memungkinkan prinsipal IAM yang sesuai untuk menggunakan kunci KMS untuk kasus penggunaan spesifik mereka.
1. [Langkah 2: Siapkan pernyataan kebijakan utama KMS](#choose-kms-key-policy-statements)- Pilih templat pernyataan kebijakan kunci KMS terkait berdasarkan kasus penggunaan yang diidentifikasi pada Langkah 1, dan isi pengidentifikasi yang diperlukan dan nama utama IAM. Mulailah dengan pernyataan kebijakan kunci KMS dasar, dan jika kebijakan keamanan Anda memerlukannya, perbaiki seperti yang dijelaskan dalam pernyataan kebijakan kunci KMS Lanjutan.
1. [Langkah 3: Buat kunci KMS yang dikelola pelanggan](#create-customer-managed-kms-key)- Buat kunci KMS di AWS KMS yang memenuhi persyaratan Pusat Identitas IAM, dan tambahkan pernyataan kebijakan kunci KMS yang disiapkan pada Langkah 2 ke kebijakan kunci KMS.
1. [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](#configure-iam-policies-kms-key)- Pilih templat pernyataan kebijakan IAM terkait berdasarkan kasus penggunaan yang diidentifikasi pada Langkah 1, dan persiapkan untuk digunakan dengan mengisi ARN kunci. Kemudian, izinkan prinsip IAM untuk setiap kasus penggunaan tertentu untuk menggunakan kunci KMS di seluruh akun dengan menambahkan pernyataan kebijakan IAM yang disiapkan ke kebijakan IAM kepala sekolah.
1. [Langkah 5: Konfigurasikan kunci KMS di IAM Identity Center](#configure-kms-key-in-iam-identity-center)- Aktifkan kunci KMS yang dikelola pelanggan di instans Pusat Identitas IAM Anda untuk menggunakannya untuk enkripsi saat istirahat.
## Langkah 1: Identifikasi kasus penggunaan untuk organisasi Anda
Sebelum membuat dan mengonfigurasi kunci KMS yang dikelola pelanggan Anda, identifikasi kasus penggunaan Anda dan siapkan izin kunci KMS yang diperlukan. Lihat [Panduan Pengembang AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) untuk informasi lebih lanjut tentang kebijakan kunci KMS.
Prinsipal IAM yang memanggil layanan IAM Identity Center memerlukan izin. APIs Misalnya, administrator yang didelegasikan dapat diberi wewenang untuk menggunakannya APIs melalui kebijakan yang ditetapkan izin. Ketika IAM Identity Center dikonfigurasi dengan kunci yang dikelola pelanggan, prinsipal IAM juga harus memiliki izin untuk menggunakan KMS API melalui layanan IAM Identity Center. APIs Anda menentukan izin API KMS ini di dua tempat: kebijakan kunci KMS dan dalam kebijakan IAM yang terkait dengan prinsipal IAM.
Izin kunci KMS terdiri dari:
1. Pernyataan kebijakan kunci KMS yang Anda tentukan pada kunci KMS selama pembuatannya di. [Langkah 3: Buat kunci KMS yang dikelola pelanggan](#create-customer-managed-kms-key)
1. Pernyataan kebijakan IAM untuk prinsipal IAM yang Anda tentukan [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](#configure-iam-policies-kms-key) setelah Anda membuat kunci KMS.
Tabel berikut menentukan kasus penggunaan yang relevan dan prinsip IAM yang memerlukan izin untuk menggunakan kunci KMS Anda.
| Kasus penggunaan | Prinsipal IAM yang membutuhkan izin untuk menggunakan kunci KMS | Diperlukan/Opsional |
| --- | --- | --- |
| Penggunaan Pusat AWS Identitas IAM | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Diperlukan |
| Penggunaan aplikasi AWS terkelola dengan IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opsional |
| Penggunaan AWS Control Tower pada instans Pusat AWS Identitas IAM itu diaktifkan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opsional |
| Instans AWS SSO ke Amazon EC2 dengan Pusat Identitas IAM | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opsional |
| Kasus penggunaan lain yang membuat panggilan ke layanan IAM Identity Center APIs dengan prinsipal IAM, seperti aplikasi yang dikelola pelanggan, alur kerja penyediaan izin yang ditetapkan, atau fungsi AWS Lambda | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opsional |
**catatan**
Beberapa prinsip IAM yang tercantum dalam tabel memerlukan AWS izin API KMS. Namun, untuk melindungi data pengguna dan grup Anda di IAM Identity Center, hanya layanan IAM Identity Center dan Identity Store yang langsung memanggil AWS KMS API.
## Langkah 2: Siapkan pernyataan kebijakan utama KMS
Setelah mengidentifikasi kasus penggunaan yang relevan dengan organisasi Anda, Anda dapat menyiapkan pernyataan kebijakan kunci KMS yang sesuai.
1. Pilih pernyataan kebijakan kunci KMS yang cocok dengan kasus penggunaan untuk organisasi Anda. Mulailah dengan templat kebijakan dasar. Jika Anda memerlukan kebijakan yang lebih spesifik berdasarkan persyaratan keamanan, Anda dapat mengubah pernyataan kebijakan menggunakan contoh di[Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md). Untuk panduan tentang keputusan ini, lihat[Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline). Selain itu, setiap bagian dasar [Kunci KMS dasar dan pernyataan kebijakan IAM](baseline-KMS-key-policy.md) termasuk pertimbangan yang relevan.
1. Salin kebijakan yang relevan ke editor dan masukkan pengidentifikasi yang diperlukan dan nama utama IAM dalam pernyataan kebijakan kunci KMS. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. [Di mana menemukan pengidentifikasi yang diperlukan](#find-the-required-identifiers)
Berikut ini adalah template kebijakan dasar untuk setiap kasus penggunaan. Hanya set izin pertama untuk AWS IAM Identity Center yang diperlukan untuk menggunakan kunci KMS. Kami menyarankan Anda meninjau subbagian yang berlaku untuk informasi khusus kasus penggunaan tambahan.
+ [Pernyataan kebijakan utama KMS dasar untuk penggunaan IAM Identity Center (wajib)](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-iam-identity-center-mandatory)
+ [Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan aplikasi terkelola AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)
+ [Pernyataan kunci KMS dasar untuk penggunaan AWS Control Tower](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-specific-use-cases)
+ [Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan IAM Identity Center ke instans Amazon EC2](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-sso-to-amazon-ec2-windows-instances)
+ [Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan alur kerja kustom dengan IAM Identity Center](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**penting**
Berhati-hatilah saat memodifikasi kebijakan kunci KMS untuk kunci yang sudah digunakan oleh IAM Identity Center. Meskipun IAM Identity Center memvalidasi izin enkripsi dan dekripsi saat Anda mengonfigurasi kunci KMS pada awalnya, IAM tidak dapat memverifikasi perubahan kebijakan berikutnya. Secara tidak sengaja menghapus izin yang diperlukan dapat mengganggu operasi normal Pusat Identitas IAM Anda. Untuk panduan pemecahan masalah kesalahan umum yang terkait dengan kunci yang dikelola pelanggan di Pusat Identitas IAM, lihat. [Memecahkan masalah kunci yang dikelola pelanggan di AWS IAM Identity Center](cmk-related-errors.md)
**catatan**
Pusat Identitas IAM dan Toko Identitas terkait memerlukan izin tingkat layanan untuk menggunakan kunci KMS yang dikelola pelanggan Anda. Persyaratan ini meluas ke aplikasi AWS terkelola yang memanggil layanan IAM Identity Center APIs menggunakan kredensyal layanan. Untuk kasus penggunaan lain di mana layanan IAM Identity Center APIs dipanggil dengan [sesi akses maju](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), hanya prinsipal IAM yang memulai (seperti administrator) yang memerlukan izin kunci KMS. Khususnya, pengguna akhir yang menggunakan portal AWS akses dan aplikasi AWS terkelola tidak memerlukan izin kunci KMS langsung, karena mereka diberikan melalui layanan masing-masing.
## Langkah 3: Buat kunci KMS yang dikelola pelanggan
Anda dapat membuat kunci terkelola pelanggan menggunakan AWS Management Console atau AWS KMS APIs. Saat membuat kunci, tambahkan pernyataan kebijakan kunci KMS yang Anda siapkan di Langkah 2 ke dalam kebijakan kunci KMS. Untuk petunjuk terperinci, termasuk panduan tentang kebijakan kunci KMS default, lihat [Panduan Pengembang Layanan Manajemen AWS Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/).
Kuncinya harus memenuhi persyaratan berikut:
+ Kunci KMS harus berada di AWS Region yang sama dengan instans IAM Identity Center
+ Anda dapat memilih kunci Multi-region atau Single-region. Namun, jika Anda berencana untuk menggunakan IAM Identity Center dalam beberapa, Wilayah AWS Anda harus membuat kunci KMS Multi-wilayah. Anda tidak dapat mengonversi kunci KMS wilayah Tunggal ke kunci Multi-wilayah, jadi sebaiknya mulai dengan kunci KMS Multi-wilayah kecuali Anda memiliki persyaratan khusus untuk menggunakan kunci KMS wilayah Tunggal.
+ Kunci KMS harus berupa kunci simetris yang dikonfigurasi untuk penggunaan “enkripsi dan dekripsi”
+ Kunci KMS harus berada dalam akun AWS Organizations manajemen yang sama dengan contoh organisasi IAM Identity Center
**catatan**
Jika Anda berencana untuk mereplikasi kunci KMS ini ke Wilayah di mana Anda ingin mereplikasi Pusat Identitas IAM Anda, kami sarankan Anda terlebih dahulu menyelesaikan pengaturan di bagian ini, dan kemudian ikuti panduan di [Replikasi Pusat Identitas IAM ke Wilayah tambahan](replicate-to-additional-region.md)
## Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun
Setiap prinsipal IAM yang menggunakan layanan IAM Identity Center APIs dari AWS akun lain, seperti administrator yang didelegasikan IAM Identity Center, juga memerlukan pernyataan kebijakan IAM yang memungkinkan penggunaan kunci KMS melalui ini. APIs
Untuk setiap kasus penggunaan yang diidentifikasi pada langkah 1:
1. Temukan templat pernyataan kebijakan IAM terkait di kunci KMS Baseline dan pernyataan kebijakan IAM.
1. Salin template ke editor dan isi kunci ARN, yang sekarang tersedia setelah pembuatan kunci KMS di langkah 3. Untuk bantuan menemukan nilai ARN kunci, lihat. [Di mana menemukan pengidentifikasi yang diperlukan](#find-the-required-identifiers)
1. Dalam Konsol Manajemen AWS, cari kebijakan IAM dari prinsipal IAM yang terkait dengan kasus penggunaan. Lokasi kebijakan ini bervariasi tergantung pada kasus penggunaan dan bagaimana akses diberikan.
+ Untuk akses yang diberikan langsung di IAM, Anda dapat menemukan prinsipal IAM, seperti peran IAM di konsol IAM.
+ Untuk akses yang diberikan melalui Pusat Identitas IAM, Anda dapat menemukan izin terkait yang ditetapkan di konsol Pusat Identitas IAM.
1. Tambahkan pernyataan kebijakan IAM khusus kasus penggunaan ke peran IAM dan simpan perubahannya.
**catatan**
Kebijakan IAM yang dijelaskan di sini adalah kebijakan berbasis identitas. Meskipun kebijakan tersebut dapat dilampirkan ke pengguna, grup, dan peran IAM, kami merekomendasikan penggunaan peran IAM jika memungkinkan. Lihat panduan pengguna IAM untuk informasi selengkapnya tentang peran IAM versus pengguna IAM.
### Konfigurasi tambahan di beberapa aplikasi AWS terkelola
Beberapa aplikasi AWS terkelola mengharuskan Anda mengonfigurasi peran layanan untuk memungkinkan aplikasi menggunakan layanan APIs Pusat Identitas IAM. Jika organisasi Anda menggunakan aplikasi AWS terkelola dengan IAM Identity Center, selesaikan langkah-langkah berikut untuk setiap aplikasi yang diterapkan:
1. Lihat panduan pengguna aplikasi untuk mengonfirmasi apakah izin telah diperbarui untuk menyertakan izin terkait kunci KMS untuk penggunaan aplikasi dengan IAM Identity Center.
1. Jika demikian, perbarui izin seperti yang diinstruksikan dalam panduan pengguna aplikasi untuk menghindari gangguan pada operasi aplikasi.
**catatan**
Jika Anda tidak yakin apakah aplikasi AWS terkelola menggunakan izin ini, sebaiknya Anda memeriksa panduan pengguna dari semua aplikasi terkelola yang digunakan AWS . Anda hanya perlu melakukan konfigurasi ini sekali untuk setiap aplikasi yang memerlukan konfigurasi.
## Langkah 5: Konfigurasikan kunci KMS di IAM Identity Center
**penting**
Sebelum melanjutkan dengan langkah ini:
Verifikasi bahwa aplikasi AWS terkelola Anda kompatibel dengan kunci KMS yang dikelola pelanggan. Untuk daftar aplikasi yang kompatibel, lihat [aplikasi AWS terkelola yang dapat Anda gunakan dengan IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html). Jika Anda memiliki aplikasi yang tidak kompatibel, jangan lanjutkan.
Konfigurasikan izin yang diperlukan untuk penggunaan kunci KMS. Tanpa izin yang tepat, langkah ini dapat gagal atau mengganggu administrasi Pusat Identitas IAM, penggunaan aplikasi AWS terkelola, dan kasus penggunaan lain yang memerlukan izin kunci KMS. Untuk informasi selengkapnya, lihat [Langkah 1: Identifikasi kasus penggunaan untuk organisasi Anda](#identify-use-cases).
Pastikan bahwa izin untuk aplikasi AWS terkelola dan aplikasi yang dikelola pelanggan yang memanggil layanan IAM Identity Center APIs dengan peran IAM juga memungkinkan penggunaan kunci KMS melalui layanan IAM Identity Center. APIs Beberapa aplikasi AWS terkelola mengharuskan Anda untuk mengonfigurasi izin, seperti peran layanan, untuk penggunaan ini APIs. Lihat Panduan Pengguna dari setiap aplikasi AWS terkelola yang digunakan untuk mengonfirmasi apakah Anda perlu menambahkan izin kunci KMS tertentu.
### Tentukan kunci KMS saat mengaktifkan instance organisasi baru dari IAM Identity Center
Saat mengaktifkan instance organisasi baru dari IAM Identity Center, Anda dapat menentukan kunci KMS yang dikelola pelanggan selama penyiapan. Ini memastikan instance menggunakan kunci Anda untuk enkripsi saat istirahat sejak awal. Sebelum Anda mulai, lihat[Pertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut](considerations-for-customer-managed-kms-keys-advanced.md).
1. Pada halaman **Aktifkan Pusat Identitas IAM**, perluas bagian **Enkripsi saat istirahat**.
1. Pilih **Kelola Enkripsi**.
1. Pilih **Kunci yang dikelola Pelanggan**.
1. Untuk **kunci KMS**, lakukan salah satu hal berikut:
1. Pilih **Pilih dari tombol KMS Anda dan pilih kunci** yang Anda buat dari daftar dropdown.
1. Pilih **Enter KMS key ARN** dan masukkan ARN penuh kunci Anda.
1. Pilih **Simpan**.
1. Pilih **Aktifkan** untuk menyelesaikan pengaturan.
Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html).
### Mengubah konfigurasi kunci untuk instance organisasi IAM Identity Center yang ada
Anda dapat mengubah kunci KMS yang dikelola pelanggan Anda ke kunci lain atau beralih ke kunci yang AWS dimiliki kapan saja.
------
#### [ Console ]
**Untuk mengubah konfigurasi kunci KMS**
1. Buka konsol Pusat Identitas IAM di [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Pilih tab **Pengaturan tambahan**.
1. Pilih **Kelola enkripsi**.
1. Pilih salah satu cara berikut:
1. **Kunci terkelola pelanggan** - Pilih kunci terkelola pelanggan yang berbeda dari dropdown atau masukkan ARN kunci baru.
1. **AWS kunci yang dimiliki** - Beralih ke opsi enkripsi default.
1. Pilih **Simpan**.
------
#### [ AWS CLI ]
**Untuk mengubah instance organisasi IAM Identity Center yang ada untuk menggunakan kunci terkelola pelanggan KMS**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration \
KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
**Untuk mengubah instance organisasi yang ada dari IAM Identity Center untuk menggunakan kunci yang AWS dimiliki**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```
------
**Pertimbangan utama yang dikelola pelanggan**
+ Memperbarui konfigurasi kunci KMS untuk operasi Pusat Identitas IAM tidak berpengaruh pada sesi pengguna aktif di Pusat Identitas IAM Anda. Anda dapat terus menggunakan portal AWS akses, konsol Pusat Identitas IAM, dan layanan Pusat Identitas IAM APIs selama proses ini.
+ Saat beralih ke kunci KMS baru, IAM Identity Center memvalidasi bahwa ia dapat menggunakan kunci dengan sukses untuk enkripsi dan dekripsi. Jika Anda membuat kesalahan selama penyiapan kebijakan kunci atau kebijakan IAM, konsol akan menampilkan pesan kesalahan penjelasan, dan kunci KMS sebelumnya akan tetap digunakan.
+ Rotasi kunci KMS tahunan default akan berlangsung secara otomatis. Anda dapat merujuk ke [Panduan AWS KMS Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) untuk informasi tentang topik seperti [rotasi kunci](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), [AWS KMS kunci pemantauan](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html), dan [mengontrol akses ke penghapusan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html).
**penting**
Jika kunci KMS yang dikelola pelanggan yang digunakan oleh instans Pusat Identitas IAM Anda dihapus, dinonaktifkan, atau tidak dapat diakses karena kebijakan kunci KMS yang salah, pengguna tenaga kerja Anda dan administrator Pusat Identitas IAM tidak akan dapat menggunakan Pusat Identitas IAM. Hilangnya akses dapat bersifat sementara (kebijakan kunci dapat diperbaiki) atau permanen (kunci yang dihapus tidak dapat dipulihkan) tergantung pada keadaan. Kami menyarankan Anda [membatasi akses](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) ke operasi penting, seperti menghapus atau menonaktifkan kunci KMS. Selain itu, kami menyarankan agar organisasi Anda menyiapkan [prosedur akses AWS break-glass](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) untuk memastikan pengguna istimewa Anda dapat mengakses AWS jika Pusat Identitas IAM tidak dapat diakses.
## Di mana menemukan pengidentifikasi yang diperlukan
Saat mengonfigurasi izin untuk kunci KMS yang dikelola pelanggan, Anda memerlukan pengidentifikasi AWS sumber daya khusus untuk melengkapi kebijakan kunci dan templat pernyataan kebijakan IAM. Masukkan pengidentifikasi yang diperlukan (misalnya, ID organisasi) dan nama utama IAM dalam pernyataan kebijakan kunci KMS.
Di bawah ini adalah panduan untuk menemukan pengenal ini di AWS Management Console.
**Pusat Identitas IAM Nama Sumber Daya Amazon (ARN) dan ARN Toko Identitas**
Instance IAM Identity Center adalah AWS sumber daya dengan ARN uniknya sendiri seperti arn:aws:sso: ::instance/ssoins-1234567890abcdef. ARN mengikuti pola yang didokumentasikan di bagian tipe sumber daya Pusat Identitas IAM dari Referensi Otorisasi Layanan.
Setiap instans IAM Identity Center memiliki Identity Store terkait yang menyimpan identitas pengguna dan grup. Toko Identitas memiliki pengenal unik yang disebut ID Toko Identitas (misalnya, d-123456789a). ARN mengikuti pola yang didokumentasikan di bagian tipe sumber daya Identity Store pada Referensi [Otorisasi Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html).
Anda dapat menemukan nilai ARN dan ID Toko Identitas di halaman Pengaturan Pusat Identitas IAM Anda. ID Identity store ada di tab Identity source.
**AWS Organizations ID**
Jika Anda ingin menentukan ID organisasi (misalnya, o-exampleorg1) dalam kebijakan kunci Anda, Anda dapat menemukan nilainya di halaman Pengaturan Pusat Identitas IAM dan konsol Organizations. ARN mengikuti pola yang didokumentasikan di bagian jenis sumber daya Organizations dari Referensi Otorisasi Layanan.
**KMS kunci ARN**
Anda dapat menemukan ARN dari kunci KMS di konsol. AWS KMS Pilih Customer managed keys di sebelah kiri, klik tombol ARN yang ingin Anda cari, dan Anda akan melihatnya di bagian General configuration. ARN mengikuti pola yang didokumentasikan di bagian tipe AWS KMS sumber daya dari Referensi Otorisasi Layanan.
Lihat Panduan AWS Key Management Service Pengembang untuk informasi selengkapnya tentang Kebijakan kunci AWS KMS dan izin pemecahan masalah AWS KMS . Untuk informasi selengkapnya tentang kebijakan IAM dan representasi JSON mereka lihat Panduan Pengguna IAM.
# Kunci KMS dasar dan pernyataan kebijakan IAM
Kunci KMS dasar dan kebijakan berbasis identitas yang disediakan di sini berfungsi sebagai dasar untuk persyaratan umum. Kami juga menyarankan Anda meninjau [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md) yang menyediakan kontrol akses yang lebih terperinci, seperti memastikan kunci KMS hanya dapat diakses oleh instans Pusat Identitas IAM tertentu atau AWS aplikasi terkelola. Sebelum menggunakan pernyataan kebijakan kunci KMS tingkat lanjut, tinjau. [Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline)
Bagian berikut memberikan pernyataan kebijakan dasar untuk setiap kasus penggunaan. Perluas bagian yang cocok dengan kasus penggunaan Anda, dan salin pernyataan kebijakan kunci KMS. Kemudian, kembali ke[Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements).
## Pernyataan kebijakan utama KMS dasar untuk penggunaan IAM Identity Center (wajib)
Gunakan templat pernyataan kebijakan kunci KMS berikut [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) untuk mengizinkan IAM Identity Center, Identity Store terkait, dan administrator IAM Identity Center untuk menggunakan kunci KMS.
+ Dalam elemen Principal untuk pernyataan kebijakan administrator, tentukan prinsip AWS akun akun akun administrasi Pusat Identitas IAM, yang merupakan akun manajemen AWS organisasi dan akun administrasi yang didelegasikan, menggunakan format “arn:aws:iam: :111122223333:root”.
+ Dalam PrincipalArn elemen, ganti contoh ARNs dengan peran IAM administrator IAM Identity Center.
Anda dapat menentukan:
+ Peran IAM khusus ARN:
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678"`
+ Pola wildcard (disarankan):
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"`
Menggunakan wildcard (`*`) mencegah hilangnya akses jika set izin dihapus dan dibuat ulang, karena Identity Center menghasilkan pengidentifikasi unik baru untuk set izin yang dibuat ulang. Untuk contoh implementasi, lihat[Contoh kebijakan kepercayaan khusus](referencingpermissionsets.md#custom-trust-policy-example).
+ Dalam SourceAccount elemen, tentukan ID akun Pusat Identitas IAM.
+ Identity Store memiliki prinsip layanan sendiri`identitystore.amazonaws.com`, yang harus diizinkan untuk menggunakan kunci KMS.
+ Pernyataan kebijakan ini memungkinkan instans Pusat Identitas IAM Anda di AWS akun tertentu untuk menggunakan kunci KMS. Untuk membatasi akses ke instans Pusat Identitas IAM tertentu, lihat. [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md) Anda hanya dapat memiliki satu instans Pusat Identitas IAM untuk setiap AWS akun.
Pernyataan kebijakan utama KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
Gunakan templat pernyataan kebijakan IAM berikut [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) untuk mengizinkan administrator Pusat Identitas IAM menggunakan kunci KMS.
+ Ganti contoh kunci ARN dalam `Resource` elemen dengan ARN kunci KMS Anda yang sebenarnya. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. [Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers)
+ Pernyataan kebijakan IAM ini memberikan akses kunci KMS ke kepala sekolah IAM tetapi tidak membatasi AWS layanan mana yang dapat mengajukan permintaan. Kebijakan kunci KMS biasanya menyediakan pembatasan layanan ini. Namun, Anda dapat menambahkan konteks enkripsi ke kebijakan IAM ini untuk membatasi penggunaan ke instans Pusat Identitas tertentu. Lihat [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md) untuk detailnya.
Pernyataan Kebijakan IAM diperlukan untuk administrator yang didelegasikan dari IAM Identity Center
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
}
]
}
```
## Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan aplikasi terkelola AWS
**catatan**
Beberapa aplikasi AWS terkelola tidak dapat digunakan dengan IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [aplikasi AWS terkelola yang bekerja dengan IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Gunakan templat pernyataan kebijakan kunci KMS berikut [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) untuk memungkinkan aplikasi AWS terkelola dan administrator mereka menggunakan kunci KMS.
+ Masukkan AWS Organizations ID Anda di PrincipalOrg ID dan SourceOrgId ketentuan. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. [Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers)
+ Pernyataan kebijakan ini memungkinkan salah satu aplikasi AWS terkelola Anda dan setiap prinsipal IAM (administrator aplikasi) dalam AWS organisasi untuk menggunakan kms: Dekripsi menggunakan IAM Identity Center dan Identity Store. Untuk membatasi pernyataan kebijakan ini ke aplikasi AWS terkelola tertentu, akun, atau instans Pusat Identitas IAM, lihat. [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md)
Anda dapat membatasi akses ke administrator aplikasi tertentu ` *` dengan mengganti dengan prinsipal IAM tertentu. Untuk melindungi terhadap perubahan nama peran IAM saat set izin dibuat ulang, gunakan pendekatan di. [Contoh kebijakan kepercayaan khusus](referencingpermissionsets.md#custom-trust-policy-example) Untuk informasi selengkapnya, lihat [Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
Pernyataan kebijakan utama KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
Gunakan templat pernyataan kebijakan IAM berikut [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) untuk mengizinkan administrator aplikasi AWS terkelola menggunakan kunci KMS dari akun anggota.
+ Ganti contoh ARN di elemen Resource dengan ARN kunci KMS Anda yang sebenarnya. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. [Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers)
+ Beberapa aplikasi AWS terkelola mengharuskan Anda mengonfigurasi izin untuk layanan Pusat Identitas IAM. APIs Sebelum Anda mengonfigurasi kunci yang dikelola pelanggan di Pusat Identitas IAM, verifikasi bahwa izin ini juga memungkinkan penggunaan kunci KMS. Untuk persyaratan izin kunci KMS tertentu, lihat dokumentasi untuk setiap aplikasi AWS terkelola yang telah Anda gunakan.
Pernyataan kebijakan IAM yang diperlukan untuk administrator aplikasi AWS terkelola:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Pernyataan kunci KMS dasar untuk penggunaan AWS Control Tower
Gunakan template pernyataan kunci KMS berikut [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) untuk memungkinkan administrator AWS Control Tower menggunakan kunci KMS.
+ Dalam elemen Principal, tentukan prinsip IAM yang digunakan untuk akses ke layanan IAM Identity Center. APIs *Untuk informasi selengkapnya tentang prinsip-prinsip IAM, lihat [Menentukan prinsipal dalam Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) IAM.*
+ Pernyataan kebijakan ini memungkinkan administrator AWS Control Tower untuk menggunakan kunci KMS melalui instans Pusat Identitas IAM Anda. Namun, AWS Control Tower membatasi akses ke instance organisasi IAM Identity Center di organisasi yang sama AWS . Karena pembatasan ini, tidak ada manfaat praktis untuk membatasi lebih lanjut kunci KMS ke instance Pusat Identitas IAM tertentu seperti yang dijelaskan dalam. [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md)
+ Untuk membantu melindungi terhadap perubahan nama peran IAM saat set izin dibuat ulang, gunakan pendekatan yang dijelaskan dalam. [Contoh kebijakan kepercayaan khusus](referencingpermissionsets.md#custom-trust-policy-example)
Pernyataan kebijakan kunci KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
AWS Control Tower tidak mendukung administrasi yang didelegasikan dan, oleh karena itu, Anda tidak perlu mengonfigurasi kebijakan IAM untuk administratornya.
**penting**
Pernyataan kebijakan sebelumnya mencakup operasi yang AWS Control Tower dikelola layanan, seperti pendaftaran akun otomatis, di mana mengambil peran. AWS Control Tower `AWSControlTowerAdmin` Namun, untuk operasi yang dimulai pelanggan seperti penyediaan akun melalui Account Factory atau menelepon AWS Control Tower APIs langsung, AWS Control Tower menggunakan [forward access session (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) dan beroperasi di bawah peran IAM pelanggan sendiri. Ini berarti peran IAM yang Anda gunakan untuk memulai operasi ini juga memerlukan `kms:Decrypt` izin pada kunci KMS yang dikelola pelanggan.
Tambahkan pernyataan kebijakan utama KMS berikut di samping `AWSControlTowerAdmin` pernyataan di atas. Ganti *MyControlTowerRole* dengan ARN peran IAM yang Anda gunakan untuk berinteraksi AWS Control Tower, seperti peran set izin Pusat Identitas IAM (misalnya,`AWSReservedSSO_PermissionSetName_*`), peran IAM khusus untuk otomatisasi, atau peran lain yang digunakan untuk memanggil atau. AWS Control Tower AWS Service Catalog APIs
Pernyataan kebijakan utama KMS untuk operasi yang dimulai pelanggan AWS Control Tower :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityCenterForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityStoreForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
## Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan IAM Identity Center ke instans Amazon EC2
Gunakan templat pernyataan kebijakan kunci KMS berikut [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) untuk mengizinkan pengguna instans masuk tunggal (SSO) ke Amazon EC2 untuk menggunakan kunci KMS di seluruh akun.
+ Tentukan prinsip IAM yang digunakan untuk akses ke Pusat Identitas IAM di bidang Principal. *Untuk informasi selengkapnya tentang prinsip-prinsip IAM, lihat [Menentukan prinsipal dalam Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) IAM.*
+ Pernyataan kebijakan ini memungkinkan instans Pusat Identitas IAM Anda untuk menggunakan kunci KMS. Untuk membatasi akses ke instans Pusat Identitas IAM tertentu, lihat. [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md)
+ Untuk membantu melindungi terhadap perubahan nama peran IAM saat set izin dibuat ulang, gunakan pendekatan yang dijelaskan dalam contoh kebijakan kepercayaan khusus.
Pernyataan kebijakan kunci KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Gunakan templat pernyataan kebijakan IAM berikut [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) untuk mengizinkan instans SSO ke EC2 menggunakan kunci KMS.
Lampirkan pernyataan kebijakan IAM ke izin yang ada yang ditetapkan di Pusat Identitas IAM yang Anda gunakan untuk mengizinkan akses SSO ke instans Amazon EC2. Untuk contoh kebijakan IAM, lihat [Koneksi Protokol Desktop Jarak Jauh](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-iam-policy-examples) di *Panduan Pengguna AWS Systems Manager*.
+ Ganti contoh ARN di elemen Resource dengan ARN kunci KMS Anda yang sebenarnya. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. [Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers)
Izin menetapkan kebijakan IAM:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan alur kerja kustom dengan IAM Identity Center
Gunakan templat pernyataan kebijakan kunci KMS berikut [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) untuk mengizinkan alur kerja kustom, seperti aplikasi yang dikelola pelanggan, di akun AWS Organizations manajemen atau akun administrasi yang didelegasikan untuk menggunakan kunci KMS. Perhatikan bahwa federasi SAFL ke dalam aplikasi yang dikelola pelanggan tidak memerlukan izin kunci KMS.
+ Dalam elemen Principal, tentukan prinsip IAM yang digunakan untuk mengakses layanan IAM Identity Center. APIs *Untuk informasi selengkapnya tentang prinsip-prinsip IAM, lihat [Menentukan prinsipal dalam Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) IAM.*
+ Pernyataan kebijakan ini memungkinkan alur kerja Anda menggunakan kunci KMS melalui instans Pusat Identitas IAM Anda. Untuk membatasi akses ke instans Pusat Identitas IAM tertentu, lihat. [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md)
+ Untuk membantu melindungi terhadap perubahan nama peran IAM saat set izin dibuat ulang, gunakan pendekatan yang dijelaskan dalam. [Contoh kebijakan kepercayaan khusus](referencingpermissionsets.md#custom-trust-policy-example)
Pernyataan kebijakan kunci KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Gunakan templat pernyataan kebijakan IAM berikut [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) untuk mengizinkan prinsipal IAM yang terkait dengan alur kerja kustom menggunakan kunci KMS di seluruh akun. Tambahkan pernyataan kebijakan IAM ke kepala IAM.
+ Ganti contoh ARN di elemen Resource dengan ARN kunci KMS Anda yang sebenarnya. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. [Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers)
Pernyataan kebijakan IAM (hanya diperlukan untuk penggunaan lintas akun):
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Contoh pernyataan kebijakan kunci KMS untuk kasus penggunaan umum
### Pusat Identitas IAM dengan administrator yang didelegasikan dan aplikasi terkelola AWS
Bagian ini berisi contoh pernyataan kebijakan kunci KMS yang dapat Anda gunakan untuk instans Pusat Identitas IAM yang telah mendelegasikan administrator dan aplikasi terkelola. AWS
**penting**
Pernyataan kebijakan kunci KMS mengasumsikan bahwa instans Pusat Identitas IAM Anda tidak digunakan dalam kasus penggunaan lain yang memerlukan izin kunci KMS. Untuk mengonfirmasi, Anda dapat meninjau semua [kasus penggunaan](identity-center-customer-managed-keys.md#identify-use-cases). Selain itu, untuk mengonfirmasi apakah aplikasi AWS terkelola Anda memerlukan konfigurasi tambahan, lihat [Konfigurasi tambahan di beberapa aplikasi AWS terkelola](identity-center-customer-managed-keys.md#additional-config-in-some-aws-apps)
Salin pernyataan kebijakan kunci KMS di bawah tabel dan tambahkan ke kebijakan kunci KMS Anda. Contoh ini menggunakan nilai contoh berikut:
+ `111122223333`- ID Akun dari instans Pusat Identitas IAM
+ `444455556666`- ID akun administrasi yang didelegasikan
+ `o-a1b2c3d4e5`- ID AWS organisasi
+ ` arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*`- Pola wildcard peran IAM administrator IAM Identity Center yang disediakan dari set izin. *Admin* Peran seperti itu berisi kode Wilayah Wilayah utama (us-east-1 dalam contoh ini).
+ ` arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*`- Pola wildcard dari IAM Identity Center yang didelegasikan peran IAM administrator yang disediakan dari set izin. *DelegatedAdmin* Peran seperti itu berisi kode Wilayah Wilayah utama (us-east-1 dalam contoh ini).
Jika peran IAM tidak dihasilkan dari set izin, peran IAM akan terlihat seperti peran biasa seperti. `arn:aws:iam::111122223333:role/idcadmin`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
# Pernyataan kebijakan kunci KMS tingkat lanjut
Gunakan pernyataan kebijakan kunci KMS lanjutan untuk menerapkan kontrol akses yang lebih terperinci untuk kunci KMS yang dikelola pelanggan Anda. Kebijakan ini dibangun [Kunci KMS dasar dan pernyataan kebijakan IAM](baseline-KMS-key-policy.md) berdasarkan kondisi konteks enkripsi dan pembatasan khusus layanan. Sebelum memutuskan apakah akan menggunakan pernyataan kebijakan kunci KMS tingkat lanjut, pastikan untuk meninjau pertimbangan terkait.
## Menggunakan konteks enkripsi untuk membatasi akses
Anda dapat membatasi penggunaan kunci KMS ke instans Pusat Identitas IAM tertentu dengan menentukan kondisi konteks enkripsi dalam pernyataan kebijakan utama Anda. Pernyataan kebijakan kunci dasar sudah menyertakan konteks ini dengan nilai generik. Ganti wildcard “\$1” dengan instance Pusat Identitas tertentu ARN dan ARN Toko Identitas untuk memastikan kunci hanya berfungsi dengan instance yang Anda inginkan. Anda juga dapat menambahkan kondisi konteks enkripsi yang sama ke kebijakan IAM yang dikonfigurasi untuk penggunaan kunci KMS lintas akun.
Pusat Identitas
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Penyimpanan Identitas
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
Jika Anda memerlukan bantuan untuk menemukan pengenal ini, lihat[Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers).
**catatan**
Anda dapat menggunakan kunci KMS yang dikelola pelanggan hanya dengan instance organisasi IAM Identity Center. Kunci yang dikelola pelanggan harus ditempatkan di akun manajemen AWS organisasi, yang membantu memastikan kunci digunakan dengan satu instans Pusat Identitas IAM. Namun, mekanisme konteks enkripsi memberikan perlindungan teknis independen dari penggunaan satu instance. Anda juga dapat menggunakan kunci `aws:SourceArn` kondisi dalam pernyataan kebijakan kunci KMS yang ditujukan untuk kepala layanan Pusat Identitas dan Toko Identitas.
### Pertimbangan untuk menerapkan kondisi konteks enkripsi
Sebelum menerapkan kondisi konteks enkripsi, tinjau persyaratan ini:
+ **DescribeKey tindakan.** Konteks enkripsi tidak dapat diterapkan pada tindakan “kms:DescribeKey", yang dapat digunakan oleh administrator Pusat Identitas IAM. Saat mengonfigurasi kebijakan kunci KMS Anda, kecualikan konteks enkripsi untuk tindakan spesifik ini guna memastikan pengoperasian instans Pusat Identitas IAM Anda dengan benar.
+ **Pengaturan instance baru.** Jika Anda mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan, lihat. [Pertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut](considerations-for-customer-managed-kms-keys-advanced.md)
+ **Sumber identitas berubah.** Saat mengubah sumber identitas Anda ke atau dari Active Directory, konteks enkripsi memerlukan perhatian khusus. Lihat [Pertimbangan untuk mengubah sumber identitas Anda](manage-your-identity-source-considerations.md).
## Templat kebijakan
Pilih dari templat kebijakan lanjutan ini berdasarkan persyaratan keamanan Anda. Seimbangkan kontrol akses granular dengan overhead administratif yang mereka perkenalkan.
Topik yang dibahas di sini:
+ [Pernyataan kebijakan KMS untuk penggunaan hanya-baca dari instans Pusat Identitas IAM tertentu](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). Bagian ini menunjukkan penggunaan konteks enkripsi untuk akses hanya-baca ke IAM Identity Center.
+ [Pernyataan kebijakan kunci KMS yang disempurnakan untuk penggunaan aplikasi AWS terkelola](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). Bagian ini menunjukkan cara memperbaiki kebijakan kunci KMS untuk aplikasi AWS terkelola menggunakan konteks enkripsi dan informasi aplikasi, seperti prinsipal layanan aplikasi, ARN aplikasi, dan ID akun. AWS
## Pernyataan kebijakan KMS untuk penggunaan hanya-baca dari instans Pusat Identitas IAM tertentu
Kebijakan ini memungkinkan [auditor keamanan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) dan personel lain yang hanya membutuhkan akses baca ke IAM Identity Center untuk menggunakan kunci KMS.
Untuk menggunakan kebijakan ini:
1. Ganti contoh prinsip IAM administrator hanya-baca dengan prinsip IAM administrator Anda yang sebenarnya
1. Ganti contoh ARN Instance IAM Identity Center dengan ARN instance Anda yang sebenarnya
1. Ganti contoh ARN Toko Identitas dengan ARN Toko Identitas Anda yang sebenarnya
1. Jika menggunakan [administrasi yang didelegasikan](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html), lihat [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)
Jika Anda memerlukan bantuan untuk menemukan nilai pengidentifikasi ini, lihat[Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Setelah Anda memperbarui template dengan nilai-nilai Anda, kembalilah [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) untuk menyiapkan pernyataan kebijakan kunci KMS tambahan, sesuai kebutuhan.
Tindakan kms: Dekripsi saja tidak membatasi akses ke operasi hanya-baca. Kebijakan IAM harus menerapkan akses hanya-baca pada layanan IAM Identity Center. APIs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## Pernyataan kebijakan kunci KMS yang disempurnakan untuk penggunaan aplikasi AWS terkelola
Templat kebijakan ini memberikan kontrol yang lebih terperinci atas aplikasi AWS terkelola mana yang dapat menggunakan kunci KMS Anda.
**catatan**
Beberapa aplikasi AWS terkelola tidak dapat digunakan dengan IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan. Lihat [aplikasi AWS terkelola yang dapat Anda gunakan dengan IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
[Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan aplikasi terkelola AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)Izinkan aplikasi apa pun yang AWS dikelola dari akun apa pun di AWS organisasi yang sama untuk menggunakan kunci KMS. Gunakan kebijakan yang disempurnakan ini untuk membatasi akses dengan:
+ Prinsipal layanan aplikasi
+ Contoh aplikasi ARNs
+ AWS akun IDs
+ Konteks enkripsi untuk instans Pusat Identitas IAM tertentu
**catatan**
Prinsipal layanan adalah pengidentifikasi unik untuk suatu AWS layanan, biasanya diformat sebagai servicename.amazonaws.com (misalnya, elasticmapreduce.amazonaws.com untuk Amazon EMR).
### Batasi berdasarkan akun
Template pernyataan kebijakan kunci KMS ini memungkinkan aplikasi AWS terkelola di AWS akun tertentu untuk menggunakan kunci KMS menggunakan instance Pusat Identitas IAM tertentu.
Untuk menggunakan kebijakan ini:
1. Ganti contoh prinsip layanan dengan prinsipal layanan aplikasi Anda yang sebenarnya
1. Ganti akun contoh IDs dengan akun aktual IDs tempat aplikasi AWS terkelola Anda digunakan
1. Ganti contoh ARN Toko Identitas dengan ARN Toko Identitas Anda yang sebenarnya
1. Ganti contoh ARN Instance IAM Identity Center dengan ARN instance Anda yang sebenarnya
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### Batasi dengan contoh aplikasi
Template pernyataan kebijakan kunci KMS ini memungkinkan instance aplikasi AWS terkelola tertentu untuk menggunakan kunci KMS menggunakan instance IAM Identity Center tertentu.
Untuk menggunakan kebijakan ini:
1. Ganti contoh prinsip layanan dengan prinsipal layanan aplikasi Anda yang sebenarnya
1. Ganti contoh ARN aplikasi dengan ARN aplikasi Anda yang sebenarnya
1. Ganti contoh ARN Toko Identitas dengan ARN Toko Identitas Anda yang sebenarnya
1. Ganti contoh ARN Instance IAM Identity Center dengan ARN instance Anda yang sebenarnya
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# Pertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut
Saat menerapkan kunci KMS yang dikelola pelanggan dengan IAM Identity Center, pertimbangkan faktor-faktor ini yang memengaruhi pengaturan, keamanan, dan pemeliharaan berkelanjutan konfigurasi enkripsi Anda.
## Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan
Saat memutuskan apakah akan membuat izin kunci KMS lebih spesifik menggunakan[Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md), pertimbangkan overhead manajemen dan kebutuhan keamanan organisasi Anda. Pernyataan kebijakan yang lebih spesifik memberikan kontrol yang lebih baik atas siapa yang dapat menggunakan kunci dan untuk tujuan apa; namun, mereka memerlukan pemeliharaan berkelanjutan saat konfigurasi Pusat Identitas IAM Anda berkembang. Misalnya, jika Anda membatasi penggunaan kunci KMS untuk penerapan aplikasi AWS terkelola tertentu, Anda harus memperbarui kebijakan kunci kapan pun organisasi Anda ingin menerapkan atau membatalkan penerapan aplikasi. Kebijakan yang tidak terlalu ketat mengurangi beban administrasi tetapi dapat memberikan izin yang lebih luas daripada yang diperlukan untuk persyaratan keamanan Anda.
## Pertimbangan untuk mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan
Pertimbangan di sini berlaku jika Anda menggunakan konteks enkripsi seperti yang dijelaskan dalam [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md) untuk membatasi penggunaan kunci KMS ke instance Pusat Identitas IAM tertentu.
Saat mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan, Pusat Identitas IAM dan Toko Identitas tidak ARNs tersedia sampai setelah penyiapan. Anda memiliki opsi berikut:
+ Gunakan pola ARN generik sementara, dan kemudian ganti dengan ARNs penuh setelah instance diaktifkan. Ingatlah untuk beralih antara StringEquals dan StringLike operator sesuai kebutuhan.
+ Untuk Pusat Identitas IAM SPN: “arn: \$1 \$1Partition\$1 :sso: ::instance/\$1”.
+ Untuk Identity Store SPN: “arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :identitystore/\$1”.
+ Gunakan “Purpose:KEY\$1CONFIGURATION” di ARN untuk sementara. Ini hanya berfungsi untuk pengaktifan instance dan harus diganti dengan ARN yang sebenarnya agar instans Pusat Identitas IAM Anda berfungsi normal. Keuntungan dari pendekatan ini adalah Anda tidak bisa lupa untuk mengganti ini setelah instance diaktifkan.
+ Untuk SPN Pusat Identitas IAM, gunakan: “arn: \$1 \$1Partition\$1 :sso: ::instance/purpose:key\$1configuration”
+ Untuk SPN Identity Store, gunakan: “arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :IdentityStore/Purpose:key\$1configuration”
**penting**
Jangan terapkan konfigurasi ini ke kunci KMS yang sudah digunakan dalam instance Pusat Identitas IAM yang ada, karena dapat mengganggu operasi normalnya.
+ Hilangkan kondisi konteks enkripsi dari kebijakan kunci KMS hingga setelah instance diaktifkan.