Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center - AWS IAM Identity Center
Langkah 1: Identifikasi kasus penggunaan untuk organisasi AndaLangkah 2: Siapkan pernyataan kebijakan utama KMSLangkah 3: Buat kunci KMSLangkah 4: Konfigurasikan kebijakan IAMLangkah 5: Konfigurasikan kunci KMS di IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center

catatan

Kunci KMS yang dikelola pelanggan saat ini AWS IAM Identity Center tersedia di AWS Wilayah tertentu.

Kunci yang dikelola pelanggan adalah AWS kunci Layanan Manajemen Kunci yang Anda buat, miliki, dan kelola. Untuk mengimplementasikan kunci KMS yang dikelola pelanggan untuk enkripsi saat istirahat di AWS IAM Identity Center, ikuti langkah-langkah berikut:

penting

Beberapa aplikasi AWS terkelola tidak dapat digunakan dengan AWS IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan. Lihat AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center.

  1. Langkah 1: Identifikasi kasus penggunaan untuk organisasi Anda- Untuk menentukan izin yang benar untuk penggunaan kunci KMS, Anda perlu mengidentifikasi kasus penggunaan yang relevan di seluruh organisasi Anda. Izin kunci KMS terdiri dari pernyataan kebijakan kunci KMS dan kebijakan berbasis identitas yang bekerja sama untuk memungkinkan prinsipal IAM yang sesuai untuk menggunakan kunci KMS untuk kasus penggunaan spesifik mereka.

  2. Langkah 2: Siapkan pernyataan kebijakan utama KMS- Pilih templat pernyataan kebijakan kunci KMS terkait berdasarkan kasus penggunaan yang diidentifikasi pada Langkah 1, dan isi pengidentifikasi yang diperlukan dan nama utama IAM. Mulailah dengan pernyataan kebijakan kunci KMS dasar, dan jika kebijakan keamanan Anda memerlukannya, perbaiki seperti yang dijelaskan dalam pernyataan kebijakan kunci KMS Lanjutan.

  3. Langkah 3: Buat kunci KMS yang dikelola pelanggan- Buat kunci KMS di AWS KMS yang memenuhi persyaratan Pusat Identitas IAM, dan tambahkan pernyataan kebijakan kunci KMS yang disiapkan pada Langkah 2 ke kebijakan kunci KMS.

  4. Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun- Pilih templat pernyataan kebijakan IAM terkait berdasarkan kasus penggunaan yang diidentifikasi pada Langkah 1, dan persiapkan untuk digunakan dengan mengisi ARN kunci. Kemudian, izinkan prinsip IAM untuk setiap kasus penggunaan tertentu untuk menggunakan kunci KMS di seluruh akun dengan menambahkan pernyataan kebijakan IAM yang disiapkan ke kebijakan IAM kepala sekolah.

  5. Langkah 5: Konfigurasikan kunci KMS di IAM Identity Center- PENTING: Sebelum melanjutkan dengan langkah ini, validasi secara menyeluruh semua izin kunci KMS yang dikonfigurasi pada langkah sebelumnya. Setelah selesai, IAM Identity Center akan mulai menggunakan kunci KMS untuk enkripsi saat istirahat.

Langkah 1: Identifikasi kasus penggunaan untuk organisasi Anda

Sebelum membuat dan mengonfigurasi kunci KMS yang dikelola pelanggan Anda, identifikasi kasus penggunaan Anda dan siapkan izin kunci KMS yang diperlukan. Lihat Panduan Pengembang AWS KMS untuk informasi lebih lanjut tentang kebijakan kunci KMS.

Prinsipal IAM yang memanggil IAM Identity Center dan Identity Store memerlukan izin. APIs Misalnya, administrator yang didelegasikan dapat diberi wewenang untuk menggunakannya APIs melalui kebijakan yang ditetapkan izin. Ketika IAM Identity Center dikonfigurasi dengan kunci yang dikelola pelanggan, prinsipal IAM juga harus memiliki izin untuk menggunakan KMS API melalui IAM Identity Center dan Identity Store. APIs Anda menentukan izin API KMS ini di dua tempat: kebijakan kunci KMS dan dalam kebijakan IAM yang terkait dengan prinsipal IAM.

Izin kunci KMS terdiri dari:

  1. Pernyataan kebijakan kunci KMS yang Anda tentukan pada kunci KMS selama pembuatannya di. Langkah 3: Buat kunci KMS yang dikelola pelanggan

  2. Pernyataan kebijakan IAM untuk prinsipal IAM yang Anda tentukan Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun setelah Anda membuat kunci KMS.

Tabel berikut menentukan kasus penggunaan yang relevan dan prinsip IAM yang memerlukan izin untuk menggunakan kunci KMS Anda.

Kasus penggunaan Prinsipal IAM yang membutuhkan izin untuk menggunakan kunci KMS Diperlukan/Opsional
Penggunaan Pusat AWS Identitas IAM

  • Administrator Pusat AWS Identitas IAM

  • Layanan Pusat Identitas IAM dan layanan Toko Identitas terkait

 Wajib
Penggunaan aplikasi AWS terkelola dengan IAM Identity Center

  • Administrator aplikasi AWS terkelola

  • AWS aplikasi terkelola

  • Peran layanan yang AWS diasumsikan oleh aplikasi terkelola untuk memanggil IAM Identity Center dan Identity Store APIs

 Opsional
Penggunaan AWS Control Tower pada instans Pusat AWS Identitas IAM itu diaktifkan

  • AWS Control Tower administrator

 Opsional
Instans SSO ke Amazon EC2 Windows dengan AWS IAM Identity Center

  • Prinsipal IAM berwenang untuk melakukan instans SSO ke Amazon Windows EC2

Opsional
Kasus penggunaan lain yang membuat panggilan ke IAM Identity Center API atau Identity Store API, seperti izin yang mengatur alur kerja penyediaan, atau fungsi AWS Lambda

  • Prinsipal IAM yang digunakan oleh alur kerja ini untuk memanggil IAM Identity Center API dan Identity Store API

 Opsional
catatan

Beberapa prinsip IAM yang tercantum dalam tabel memerlukan AWS izin API KMS. Namun, untuk melindungi data pengguna dan grup Anda di IAM Identity Center, hanya layanan IAM Identity Center dan Identity Store yang langsung memanggil AWS KMS API.

Langkah 2: Siapkan pernyataan kebijakan utama KMS

Setelah mengidentifikasi kasus penggunaan yang relevan dengan organisasi Anda, Anda dapat menyiapkan pernyataan kebijakan kunci KMS yang sesuai.

  1. Pilih pernyataan kebijakan kunci KMS yang cocok dengan kasus penggunaan untuk organisasi Anda. Mulailah dengan templat kebijakan dasar. Jika Anda memerlukan kebijakan yang lebih spesifik berdasarkan persyaratan keamanan, Anda dapat mengubah pernyataan kebijakan menggunakan contoh diPernyataan kebijakan kunci KMS tingkat lanjut. Untuk panduan tentang keputusan ini, lihatPertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan. Selain itu, setiap bagian dasar Kunci KMS dasar dan pernyataan kebijakan IAM termasuk pertimbangan yang relevan.

  2. Salin kebijakan yang relevan ke editor dan masukkan pengidentifikasi yang diperlukan dan nama utama IAM dalam pernyataan kebijakan kunci KMS. Untuk bantuan menemukan nilai pengidentifikasi yang direferensikan, lihat. Temukan pengidentifikasi yang diperlukan

Berikut ini adalah template kebijakan dasar untuk setiap kasus penggunaan. Hanya set izin pertama untuk AWS IAM Identity Center yang diperlukan untuk menggunakan kunci KMS. Kami menyarankan Anda meninjau subbagian yang berlaku untuk informasi khusus kasus penggunaan tambahan.

penting

Berhati-hatilah saat memodifikasi kebijakan kunci KMS untuk kunci yang sudah digunakan oleh IAM Identity Center. Meskipun IAM Identity Center memvalidasi izin enkripsi dan dekripsi saat Anda mengonfigurasi kunci KMS pada awalnya, IAM tidak dapat memverifikasi perubahan kebijakan berikutnya. Secara tidak sengaja menghapus izin yang diperlukan dapat mengganggu operasi normal Pusat Identitas IAM Anda. Untuk panduan pemecahan masalah kesalahan umum yang terkait dengan kunci yang dikelola pelanggan di Pusat Identitas IAM, lihat. Memecahkan masalah kunci yang dikelola pelanggan di AWS IAM Identity Center

catatan

Pusat Identitas IAM dan Toko Identitas terkait memerlukan izin tingkat layanan untuk menggunakan kunci KMS yang dikelola pelanggan Anda. Persyaratan ini meluas ke aplikasi AWS terkelola yang memanggil IAM Identity Center APIs menggunakan kredensi layanan. Untuk kasus penggunaan lain di mana Pusat Identitas IAM APIs dipanggil dengan sesi akses maju, hanya prinsipal IAM yang memulai (seperti administrator) yang memerlukan izin kunci KMS. Khususnya, pengguna akhir yang menggunakan portal AWS akses dan aplikasi AWS terkelola tidak memerlukan izin kunci KMS langsung, karena mereka diberikan melalui layanan masing-masing.

Langkah 3: Buat kunci KMS yang dikelola pelanggan

Anda dapat membuat kunci terkelola pelanggan menggunakan Konsol AWS Manajemen atau AWS KMS APIs. Saat membuat kunci, tambahkan pernyataan kebijakan kunci KMS yang Anda siapkan di Langkah 2 ke dalam kebijakan kunci KMS. Untuk petunjuk terperinci, termasuk panduan tentang kebijakan kunci KMS default, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.

Kuncinya harus memenuhi persyaratan berikut:

  • Kunci KMS harus berada di AWS Region yang sama dengan instans IAM Identity Center

  • Anda dapat memilih kunci Multi-region atau Single-region. Agar tetap kompatibel dengan kasus penggunaan future Anda di beberapa AWS Wilayah, sebaiknya pilih kunci Multi-region

  • Kunci KMS harus berupa kunci simetris yang dikonfigurasi untuk penggunaan “enkripsi dan dekripsi”

  • Kunci KMS harus berada dalam akun AWS Organizations manajemen yang sama dengan contoh organisasi IAM Identity Center

Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun

Setiap prinsipal IAM yang menggunakan IAM Identity Center dan Identity Store APIs dari AWS akun lain, seperti administrator yang didelegasikan IAM Identity Center, juga memerlukan pernyataan kebijakan IAM yang memungkinkan penggunaan kunci KMS melalui ini. APIs

Untuk setiap kasus penggunaan yang diidentifikasi pada langkah 1:

  1. Temukan templat pernyataan kebijakan IAM terkait di kunci KMS Baseline dan pernyataan kebijakan IAM.

  2. Salin template ke editor dan isi kunci ARN, yang sekarang tersedia setelah pembuatan kunci KMS di langkah 3. Untuk bantuan menemukan nilai ARN kunci, lihat. Temukan pengidentifikasi yang diperlukan

  3. Dalam AWS Management Console, cari kebijakan IAM dari prinsipal IAM yang terkait dengan kasus penggunaan. Lokasi kebijakan ini bervariasi tergantung pada kasus penggunaan dan bagaimana akses diberikan.

    • Untuk akses yang diberikan langsung di IAM, Anda dapat menemukan prinsipal IAM, seperti peran IAM di konsol IAM.

    • Untuk akses yang diberikan melalui Pusat Identitas IAM, Anda dapat menemukan izin terkait yang ditetapkan di konsol Pusat Identitas IAM.

  4. Tambahkan pernyataan kebijakan IAM khusus kasus penggunaan ke peran IAM dan simpan perubahannya.

catatan

Kebijakan IAM yang dijelaskan di sini adalah kebijakan berbasis identitas. Meskipun kebijakan tersebut dapat dilampirkan ke pengguna, grup, dan peran IAM, kami merekomendasikan penggunaan peran IAM jika memungkinkan. Lihat panduan pengguna IAM untuk informasi selengkapnya tentang peran IAM versus pengguna IAM.

Konfigurasi tambahan di beberapa aplikasi AWS terkelola

Beberapa aplikasi AWS terkelola mengharuskan Anda mengonfigurasi peran layanan untuk memungkinkan aplikasi menggunakan Pusat Identitas IAM dan Toko APIs Identitas. Jika organisasi Anda menggunakan aplikasi AWS terkelola dengan IAM Identity Center, selesaikan langkah-langkah berikut untuk setiap aplikasi yang diterapkan:

  1. Lihat panduan pengguna aplikasi untuk mengonfirmasi apakah izin telah diperbarui untuk menyertakan izin terkait kunci KMS untuk penggunaan aplikasi dengan IAM Identity Center.

  2. Jika demikian, perbarui izin seperti yang diinstruksikan dalam panduan pengguna aplikasi untuk menghindari gangguan pada operasi aplikasi.

catatan

Jika Anda tidak yakin apakah aplikasi AWS terkelola menggunakan izin ini, sebaiknya Anda memeriksa panduan pengguna dari semua aplikasi terkelola yang digunakan AWS . Anda hanya perlu melakukan konfigurasi ini sekali untuk setiap aplikasi yang memerlukan konfigurasi.

Langkah 5: Konfigurasikan kunci KMS di IAM Identity Center

penting

Sebelum melanjutkan dengan langkah ini:

  • Verifikasi bahwa aplikasi AWS terkelola Anda kompatibel dengan kunci KMS yang dikelola pelanggan. Untuk daftar aplikasi yang kompatibel, lihat aplikasi AWS terkelola yang dapat Anda gunakan dengan IAM Identity Center. Jika Anda memiliki aplikasi yang tidak kompatibel, jangan lanjutkan.

  • Konfigurasikan izin yang diperlukan untuk penggunaan kunci KMS. Tanpa izin yang tepat, langkah ini dapat gagal atau mengganggu administrasi Pusat Identitas IAM dan AWS aplikasi terkelola. Untuk informasi selengkapnya, lihat Langkah 1: Identifikasi kasus penggunaan untuk organisasi Anda.

  • Pastikan bahwa izin untuk aplikasi AWS terkelola juga memungkinkan penggunaan kunci KMS melalui IAM Identity Center dan Identity Store. APIs Beberapa aplikasi AWS terkelola mengharuskan Anda untuk mengonfigurasi izin, seperti peran layanan, untuk penggunaan ini APIs. Lihat Panduan Pengguna dari setiap aplikasi AWS terkelola yang digunakan untuk mengonfirmasi apakah Anda perlu menambahkan izin kunci KMS tertentu.

Console

Untuk menentukan kunci KMS saat mengaktifkan instance organisasi baru dari IAM Identity Center

Saat mengaktifkan instance organisasi baru dari IAM Identity Center, Anda dapat menentukan kunci KMS yang dikelola pelanggan selama penyiapan. Ini memastikan instance menggunakan kunci Anda untuk enkripsi saat istirahat sejak awal. Sebelum Anda mulai, lihatPertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut.

  1. Pada halaman Aktifkan Pusat Identitas IAM, perluas bagian Enkripsi saat istirahat.

  2. Pilih Kelola Enkripsi.

  3. Pilih Kunci yang dikelola Pelanggan.

  4. Untuk kunci KMS, lakukan salah satu hal berikut:

    1. Pilih Pilih dari tombol KMS Anda dan pilih kunci yang Anda buat dari daftar dropdown.

    2. Pilih Enter KMS key ARN dan masukkan ARN penuh kunci Anda.

  5. Pilih Simpan.

  6. Pilih Aktifkan untuk menyelesaikan pengaturan.

Untuk informasi selengkapnya, lihat Mengaktifkan Pusat Identitas IAM.

Untuk menentukan kunci KMS untuk instance organisasi IAM Identity Center yang ada

  1. Buka konsol Pusat Identitas IAM di https://console.aws.amazon.com/singlesignon/.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Pada halaman Pengaturan di bagian Enkripsi, pilih Edit.

  4. Untuk jenis Enkripsi, pilih Kunci terkelola pelanggan.

  5. Untuk kunci KMS, lakukan salah satu hal berikut:

    1. Pilih Pilih dari tombol KMS Anda dan pilih kunci yang Anda buat dari daftar dropdown.

      catatan

      Perhatikan bahwa daftar pull-down hanya akan menampilkan kunci KMS yang dapat Anda akses di akun yang sama. AWS Oleh karena itu, jika Anda melakukan ini di akun administrasi yang didelegasikan, Anda harus menentukan ARN kunci dari akun manajemen AWS Organizations Anda.

    2. Pilih Enter KMS key ARN dan masukkan ARN penuh kunci Anda.

  6. Pilih Simpan perubahan.

AWS CLI
aws ssoadmin update-instance \
  --configuration KeyType=string,KmsKeyArn=string \
  --instance-arn string \
  --name string

Ubah konfigurasi kunci KMS Anda

Anda dapat mengubah kunci KMS yang dikelola pelanggan Anda ke kunci lain atau beralih ke kunci yang AWS dimiliki kapan saja.

Untuk mengubah konfigurasi kunci KMS

  1. Buka konsol Pusat Identitas IAM.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Pilih tab Pengaturan tambahan.

  4. Pilih Kelola enkripsi.

  5. Pilih salah satu cara berikut:

    1. Kunci terkelola pelanggan - Pilih kunci terkelola pelanggan yang berbeda dari dropdown atau masukkan ARN kunci baru.

    2. AWS kunci yang dimiliki - Beralih ke opsi enkripsi default.

  6. Pilih Simpan.

Pertimbangan utama yang dikelola pelanggan

  • Memperbarui konfigurasi kunci KMS untuk operasi Pusat Identitas IAM tidak berpengaruh pada sesi pengguna aktif di Pusat Identitas IAM Anda. Anda dapat terus menggunakan portal AWS akses, konsol Pusat Identitas IAM, dan Pusat Identitas IAM APIs selama proses ini.

  • Saat beralih ke kunci KMS baru, IAM Identity Center memvalidasi bahwa ia dapat menggunakan kunci dengan sukses untuk enkripsi dan dekripsi. Jika Anda membuat kesalahan selama penyiapan kebijakan kunci atau kebijakan IAM, konsol akan menampilkan pesan kesalahan penjelasan, dan kunci KMS sebelumnya akan tetap digunakan.

  • Rotasi kunci KMS tahunan default akan berlangsung secara otomatis. Anda dapat merujuk ke Panduan AWS KMS Pengembang untuk informasi tentang topik seperti rotasi kunci, AWS KMS kunci pemantauan, dan mengontrol akses ke penghapusan kunci.

penting

Jika kunci KMS yang dikelola pelanggan yang digunakan oleh instans Pusat Identitas IAM Anda dihapus, dinonaktifkan, atau tidak dapat diakses karena kebijakan kunci KMS yang salah, pengguna tenaga kerja Anda dan administrator Pusat Identitas IAM tidak akan dapat menggunakan Pusat Identitas IAM. Hilangnya akses dapat bersifat sementara (kebijakan kunci dapat diperbaiki) atau permanen (kunci yang dihapus tidak dapat dipulihkan) tergantung pada keadaan. Kami menyarankan Anda membatasi akses ke operasi penting, seperti menghapus atau menonaktifkan kunci KMS. Selain itu, kami menyarankan agar organisasi Anda menyiapkan prosedur akses AWS break-glass untuk memastikan pengguna istimewa Anda dapat mengakses AWS jika IAM Identity Center tidak dapat diakses.

Temukan pengidentifikasi yang diperlukan

Saat mengonfigurasi izin untuk kunci KMS yang dikelola pelanggan, Anda memerlukan pengidentifikasi AWS sumber daya khusus untuk melengkapi kebijakan kunci dan templat pernyataan kebijakan IAM. Masukkan pengidentifikasi yang diperlukan (misalnya, ID organisasi) dan nama utama IAM dalam pernyataan kebijakan kunci KMS.

Di bawah ini adalah panduan untuk menemukan pengenal ini di AWS Management Console.

Pusat Identitas IAM Nama Sumber Daya Amazon (ARN) dan ARN Toko Identitas

Instance IAM Identity Center adalah AWS sumber daya dengan ARN uniknya sendiri seperti arn:aws:sso: ::instance/ssoins-1234567890abcdef. ARN mengikuti pola yang didokumentasikan di bagian tipe sumber daya Pusat Identitas IAM dari Referensi Otorisasi Layanan.

Setiap instans IAM Identity Center memiliki Identity Store terkait yang menyimpan identitas pengguna dan grup. Toko Identitas memiliki pengenal unik yang disebut ID Toko Identitas (misalnya, d-123456789a). ARN mengikuti pola yang didokumentasikan di bagian tipe sumber daya Identity Store pada Referensi Otorisasi Layanan.

Anda dapat menemukan nilai ARN dan ID Toko Identitas di halaman Pengaturan Pusat Identitas IAM Anda. Perhatikan bahwa ID penyimpanan Identitas ada di tab Sumber identitas.

AWS Organizations ID

Jika Anda ingin menentukan ID organisasi (misalnya, o-exampleorg1) dalam kebijakan kunci Anda, Anda dapat menemukan nilainya di halaman Pengaturan Pusat Identitas IAM dan konsol Organizations. ARN mengikuti pola yang didokumentasikan di bagian jenis sumber daya Organizations dari Referensi Otorisasi Layanan.

KMS kunci ARN

Anda dapat menemukan ARN dari kunci KMS di konsol. AWS KMS Pilih Customer managed keys di sebelah kiri, klik tombol ARN yang ingin Anda cari, dan Anda akan melihatnya di bagian General configuration. ARN mengikuti pola yang didokumentasikan di bagian tipe AWS KMS sumber daya dari Referensi Otorisasi Layanan.

Lihat Panduan Pengembang AWS Key Management Service Layanan untuk informasi selengkapnya tentang Kebijakan utama AWS KMS dan izin pemecahan masalah AWS KMS . Untuk informasi selengkapnya tentang kebijakan IAM dan representasi JSON mereka lihat Panduan Pengguna IAM.