Enkripsi diam - AWS IAM Identity Center
Konteks enkripsi Pusat Identitas IAMMenggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan AndaMemantau kunci enkripsi Anda untuk IAM Identity CenterAWS penyimpanan aplikasi terkelola, enkripsi, dan penghapusan atribut identitas Pusat Identitas IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi diam

catatan

Kunci KMS yang dikelola pelanggan saat ini AWS IAM Identity Center tersedia di AWS Wilayah tertentu.

IAM Identity Center menyediakan enkripsi untuk melindungi data pelanggan saat istirahat menggunakan jenis kunci berikut:

  • Kunci milik AWS (tipe kunci default) - Pusat Identitas IAM menggunakan kunci ini secara default untuk mengenkripsi data Anda secara otomatis. Anda tidak dapat melihat, mengelola, mengaudit penggunaannya, atau menggunakan kunci yang AWS dimiliki untuk tujuan lain. IAM Identity Center menangani manajemen kunci sepenuhnya untuk menjaga keamanan data Anda, tanpa Anda harus mengambil tindakan apa pun. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan AWS Key Management Service Pengembang.

  • Kunci terkelola pelanggan — Dalam contoh organisasi Pusat Identitas IAM, Anda dapat memilih kunci terkelola pelanggan simetris untuk enkripsi di sisa data identitas tenaga kerja Anda seperti atribut pengguna dan grup. Anda membuat, memiliki, dan mengelola kunci enkripsi ini. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:

    • Menetapkan dan memelihara kebijakan utama untuk membatasi akses ke kunci hanya untuk kepala sekolah IAM yang membutuhkan akses, seperti IAM Identity Center dan aplikasi AWS terkelola dalam hal yang sama dan administrator mereka. AWS Organizations

    • Menetapkan dan memelihara kebijakan IAM untuk akses ke kunci termasuk akses lintas akun

    • Mengaktifkan dan menonaktifkan kebijakan utama

    • Memutar bahan kriptografi kunci

    • Mengaudit akses ke data Anda yang memerlukan akses kunci

    • Menambahkan tanda

    • Membuat alias kunci

    • Kunci penjadwalan untuk penghapusan

Untuk mempelajari cara menerapkan kunci KMS yang dikelola pelanggan di Pusat Identitas IAM lihat. Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center Untuk informasi selengkapnya tentang kunci terkelola pelanggan, lihat kunci yang dikelola pelanggan di Panduan AWS Key Management Service Pengembang.

catatan

IAM Identity Center secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci KMS yang AWS dimiliki untuk melindungi data pelanggan tanpa biaya. Namun, AWS KMS biaya berlaku saat menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat AWS Key Management Service harga.

Pertimbangan untuk menerapkan kunci yang dikelola pelanggan:

  • Pengecualian untuk sesi yang ada: Enkripsi saat istirahat dengan kunci yang dikelola pelanggan juga berlaku untuk data identitas tenaga kerja, seperti atribut pengguna dan grup, yang disimpan sementara dalam sesi pengguna. Saat Anda mengonfigurasi kunci terkelola pelanggan di Pusat Identitas IAM, kunci yang dikelola pelanggan digunakan untuk mengenkripsi data identitas tenaga kerja di sesi baru. Dalam sesi yang dimulai sebelum rilis fitur ini, data identitas tenaga kerja tetap dienkripsi dengan default Kunci milik AWS hingga sesi berakhir (maks 90 hari) atau penghentian, di mana data ini dihapus secara otomatis.

  • Kunci khusus: Sebaiknya buat kunci KMS terkelola pelanggan khusus baru untuk setiap instans Pusat Identitas IAM daripada menggunakan kembali kunci yang ada. Pendekatan ini memberikan pemisahan tugas yang lebih jelas, menyederhanakan manajemen kontrol akses, dan membuat audit keamanan lebih mudah. Memiliki kunci khusus juga mengurangi risiko dengan membatasi dampak perubahan kunci pada satu instans Pusat Identitas IAM.

catatan

IAM Identity Center menggunakan enkripsi amplop dalam enkripsi data identitas tenaga kerja Anda. Kunci KMS Anda memainkan peran kunci pembungkus yang mengenkripsi kunci data yang sebenarnya digunakan untuk mengenkripsi data.

Untuk informasi selengkapnya tentang AWS KMS, lihat Apa itu Layanan Manajemen AWS Kunci?

Konteks enkripsi Pusat Identitas IAM

Konteks enkripsi adalah kumpulan opsional pasangan nilai kunci non-rahasia yang berisi informasi kontekstual tambahan tentang data. AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan. Lihat Panduan Pengembang KMS untuk informasi lebih lanjut tentang konteks enkripsi.

IAM Identity Center menggunakan kunci konteks enkripsi dari berikut ini: aws:sso:instance-arn, aws:identitystore:identitystore-arn, dan. tenant-key-id Misalnya, konteks enkripsi berikut dapat muncul dalam operasi AWS KMS API yang dipanggil oleh IAM Identity Center API. 


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

Konteks enkripsi berikut dapat muncul dalam operasi AWS KMS API yang dipanggil oleh Identity Store API. 


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda

Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Beberapa templat kebijakan utama dalam Pernyataan kebijakan kunci KMS tingkat lanjut menyertakan kondisi tersebut untuk memastikan kunci hanya digunakan dengan instans Pusat Identitas IAM tertentu.

Memantau kunci enkripsi Anda untuk IAM Identity Center

Saat Anda menggunakan kunci KMS yang dikelola pelanggan dengan instans Pusat Identitas IAM, Anda dapat menggunakan atau AWS CloudTrailAmazon CloudWatch Logs untuk melacak permintaan yang dikirimkan oleh IAM Identity Center. AWS KMS Operasi KMS API yang dipanggil IAM Identity Center terdaftar di. Langkah 2: Siapkan pernyataan kebijakan utama KMS CloudTrail event untuk operasi API ini berisi konteks enkripsi, yang memungkinkan Anda memantau operasi AWS KMS API yang dipanggil oleh instans Pusat Identitas IAM Anda untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.

Contoh konteks enkripsi CloudTrail jika terjadi operasi AWS KMS API: 


"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }

AWS penyimpanan aplikasi terkelola, enkripsi, dan penghapusan atribut identitas Pusat Identitas IAM

Beberapa aplikasi AWS terkelola yang Anda gunakan AWS IAM Identity Center, seperti AWS Systems Manager dan Amazon CodeCatalyst, menyimpan atribut pengguna dan grup tertentu dari IAM Identity Center di penyimpanan data mereka sendiri. Enkripsi saat istirahat dengan kunci KMS yang dikelola pelanggan di Pusat Identitas IAM tidak meluas ke pengguna Pusat Identitas IAM dan atribut grup yang disimpan dalam AWS aplikasi terkelola. AWS aplikasi terkelola mendukung metode enkripsi yang berbeda untuk data yang mereka simpan. Terakhir, ketika Anda menghapus atribut pengguna dan grup dalam Pusat Identitas IAM, aplikasi AWS terkelola ini dapat terus menyimpan informasi ini setelah penghapusannya di Pusat Identitas IAM. Lihat panduan pengguna aplikasi AWS terkelola Anda untuk enkripsi dan keamanan data yang disimpan dalam aplikasi.