Dichiarazioni politiche chiave di Advanced KMS - AWS IAM Identity Center
Utilizzo del contesto di crittografia per limitare l'accessoPolicy templates (Modelli di policy)Dichiarazioni sulle policy KMS per l'uso in sola lettura di un'istanza specifica di IAM Identity CenterDichiarazioni politiche chiave raffinate di KMS per l'uso delle applicazioni gestite AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dichiarazioni politiche chiave di Advanced KMS

Utilizza le dichiarazioni politiche chiave avanzate per implementare controlli di accesso più granulari per la chiave KMS gestita dal cliente. Queste politiche si basano sull'aggiunta di condizioni Dichiarazioni sulla chiave KMS di base e sulle politiche IAM di contesto di crittografia e restrizioni specifiche del servizio. Prima di decidere se utilizzare le dichiarazioni chiave avanzate sulle politiche KMS, assicurati di esaminare le considerazioni pertinenti.

Utilizzo del contesto di crittografia per limitare l'accesso

Puoi limitare l'utilizzo della chiave KMS a una specifica istanza di IAM Identity Center specificando una condizione del contesto di crittografia nelle istruzioni chiave delle policy. Le dichiarazioni politiche chiave di base includono già questo contesto con un valore generico. Sostituisci il carattere jolly «*» con l'ARN e l'ARN di Identity Store di un'istanza di Identity Center specifici per assicurarti che la chiave funzioni solo con l'istanza desiderata. Puoi anche aggiungere le stesse condizioni di contesto di crittografia alla policy IAM configurata per l'uso della chiave KMS su più account.

Identity Center


"StringEquals": {
    "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

Identity Store


"StringEquals": {
    "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}

Se hai bisogno di aiuto per trovare questi identificatori, consulta. Trova gli identificatori richiesti

Nota

Puoi utilizzare una chiave KMS gestita dal cliente solo con un'istanza organizzativa di IAM Identity Center. La chiave gestita dal cliente deve trovarsi nell'account di gestione dell' AWS organizzazione, il che aiuta a garantire che venga utilizzata con una singola istanza di IAM Identity Center. Tuttavia, il meccanismo del contesto di crittografia fornisce una protezione tecnica indipendente per l'utilizzo di una singola istanza. È inoltre possibile utilizzare la chiave di aws:SourceArn condizione nelle dichiarazioni politiche chiave del KMS destinate ai principali servizi Identity Center e Identity Store.

Considerazioni sull'implementazione delle condizioni del contesto di crittografia

Prima di implementare le condizioni del contesto di crittografia, esamina questi requisiti:

  • DescribeKey azione. Il contesto di crittografia non può essere applicato all'azione «kms:DescribeKey», che può essere utilizzata dagli amministratori di IAM Identity Center. Quando configuri la policy delle chiavi KMS, escludi il contesto di crittografia per questa azione specifica per garantire il corretto funzionamento dell'istanza di IAM Identity Center.

  • Configurazione di una nuova istanza. Se stai abilitando una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente, vediConsiderazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate.

  • Modifiche alla fonte dell'identità. Quando si modifica l'origine dell'identità da o verso Active Directory, il contesto di crittografia richiede un'attenzione speciale. Per informazioni, consulta Considerazioni sulla modifica dell'origine dell'identità.

Policy templates (Modelli di policy)

Scegli tra questi modelli di policy avanzati in base ai tuoi requisiti di sicurezza. Bilancia i controlli granulari degli accessi con il sovraccarico amministrativo che introducono.

Argomenti trattati qui:

Dichiarazioni sulle policy KMS per l'uso in sola lettura di un'istanza specifica di IAM Identity Center

Questa policy consente ai revisori di sicurezza e ad altro personale che necessita solo dell'accesso in lettura a IAM Identity Center di utilizzare la chiave KMS.

Per utilizzare questa politica:

  1. Sostituisci l'esempio di amministratore IAM principals di sola lettura con i tuoi amministratori IAM principals effettivi

  2. Sostituisci l'ARN dell'istanza IAM Identity Center di esempio con l'ARN dell'istanza attuale

  3. Sostituisci l'esempio di Identity Store ARN con l'attuale ARN di Identity Store

  4. Se si utilizza l'amministrazione delegata, vedere Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account

Se hai bisogno di aiuto per trovare i valori di questi identificatori, consulta. Trova gli identificatori richiesti

Dopo aver aggiornato il modello con i tuoi valori, torna Fase 2: Preparare le dichiarazioni politiche chiave del KMS a preparare le dichiarazioni politiche chiave del KMS aggiuntive, se necessario.

L'azione kms: Decrypt da sola non limita l'accesso alle operazioni di sola lettura. La policy IAM deve imporre l'accesso in sola lettura al servizio IAM Identity Center. APIs

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
        }
      }
    }
  ]
}

Dichiarazioni politiche chiave raffinate di KMS per l'uso delle applicazioni gestite AWS

Questi modelli di policy forniscono un controllo più granulare su quali applicazioni AWS gestite possono utilizzare la chiave KMS.

Nota

Alcune applicazioni AWS gestite non possono essere utilizzate con IAM Identity Center configurato con una chiave KMS gestita dal cliente. Scopri le applicazioni AWS gestite che puoi utilizzare con IAM Identity Center.

Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso delle applicazioni gestite AWSConsenti AWS a qualsiasi applicazione gestita di qualsiasi account della stessa AWS organizzazione di utilizzare la chiave KMS. Utilizza queste politiche raffinate per limitare l'accesso in base a:

  • Responsabile del servizio applicativo

  • Istanza dell'applicazione ARNs

  • AWS account IDs

  • Contesto di crittografia per istanze IAM Identity Center specifiche

Nota

Un service principal è un identificatore univoco per un AWS servizio, in genere formattato come servicename.amazonaws.com (ad esempio, elasticmapreduce.amazonaws.com per Amazon EMR).

Limita per account

Questo modello di dichiarazione delle politiche chiave KMS consente AWS a un'applicazione gestita in AWS account specifici di utilizzare la chiave KMS utilizzando un'istanza specifica di IAM Identity Center.

Per utilizzare questa politica:

  1. Sostituisci il principale del servizio di esempio con il principale del servizio dell'applicazione effettivo

  2. Sostituisci l'account di esempio IDs con l'account effettivo IDs in cui vengono AWS distribuite le applicazioni gestite

  3. Sostituisci l'esempio di Identity Store ARN con l'attuale ARN di Identity Store

  4. Sostituisci l'ARN dell'istanza IAM Identity Center di esempio con l'ARN dell'istanza attuale

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": [
            "111122223333",
            "444455556666"
          ]
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": [
            "111122223333",
            "444455556666"
          ]
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Limita per istanza dell'applicazione

Questo modello di dichiarazione di policy chiave KMS consente a una specifica istanza di applicazione AWS gestita di utilizzare la chiave KMS utilizzando un'istanza specifica di IAM Identity Center.

Per utilizzare questa policy:

  1. Sostituisci il principale del servizio di esempio con il principale del servizio dell'applicazione effettivo

  2. Sostituisci l'ARN dell'applicazione di esempio con l'ARN dell'istanza dell'applicazione effettiva

  3. Sostituisci l'esempio di Identity Store ARN con l'attuale ARN di Identity Store

  4. Sostituisci l'ARN dell'istanza IAM Identity Center di esempio con l'ARN dell'istanza attuale

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "Service": "myapp.amazonaws.com"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}