Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Dichiarazioni sulla chiave KMS di base e sulle politiche IAM
Nota
Le chiavi KMS gestite dal cliente per AWS IAM Identity Center sono attualmente disponibili in alcune regioni. AWS
La chiave KMS di base e le politiche basate sull'identità fornite qui fungono da base per requisiti comuni. Ti consigliamo inoltre di verificare Dichiarazioni politiche chiave di Advanced KMS che forniscano controlli di accesso più granulari, ad esempio garantendo che la chiave KMS sia accessibile solo a una specifica istanza o applicazione gestita di IAM Identity Center. AWS Prima di utilizzare le dichiarazioni politiche chiave avanzate di KMS, consulta il. Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate
Le seguenti sezioni forniscono le dichiarazioni politiche di base per ogni caso d'uso. Copia le dichiarazioni chiave delle politiche KMS che corrispondono ai tuoi casi d'uso, quindi torna a. Fase 2: Preparare le dichiarazioni politiche chiave del KMS
Dichiarazioni politiche chiave del KMS di base per l'uso di IAM Identity Center (obbligatorio)
Utilizza il seguente modello di dichiarazione di policy chiave KMS Fase 2: Preparare le dichiarazioni politiche chiave del KMS per consentire agli amministratori di IAM Identity Center, dell'Identity Store associato e dell'IAM Identity Center di utilizzare la chiave KMS.
-
Specificate i principali IAM degli amministratori di IAM Identity Center nell'elemento Principal. Per ulteriori informazioni sui principi IAM, consulta Specificying a principal nella IAM User Guide.
Identity Store dispone di un proprio service principal
identitystore.amazonaws.com, al quale deve essere consentito di utilizzare la chiave KMS.Queste dichiarazioni politiche consentono a qualsiasi istanza IAM Identity Center di utilizzare la chiave KMS. Per limitare l'accesso a una specifica istanza di IAM Identity Center, consulta. Dichiarazioni politiche chiave di Advanced KMS
Dichiarazioni politiche chiave di KMS
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "${Admin_IAM_principal}" }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "${Admin_IAM_principal}" }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*", "kms:ViaService": "identitystore.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey", "Effect": "Allow", "Principal": { "AWS": "${Admin_IAM_principal}" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "AllowIAMIdentityCenterToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*" } } }, { "Sid": "AllowIAMIdentityStoreToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "identitystore.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } }, { "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey", "Effect": "Allow", "Principal": { "Service": [ "identitystore.amazonaws.com", "sso.amazonaws.com" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Utilizza il seguente modello di dichiarazione delle politiche IAM Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account per consentire agli amministratori di IAM Identity Center di utilizzare la chiave KMS.
Sostituisci la chiave di esempio ARN nell'elemento Resource con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, vedere. Trova gli identificatori richiesti
Dichiarazioni sulle policy IAM richieste per gli amministratori delegati di IAM Identity Center
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" } ] }
Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso delle applicazioni gestite AWS
Nota
Alcune applicazioni AWS gestite non possono essere utilizzate con IAM Identity Center configurato con una chiave KMS gestita dal cliente. Per ulteriori informazioni, consulta Applicazioni AWS gestite che funzionano con IAM Identity Center.
Utilizza il seguente modello di dichiarazione di policy chiave KMS Fase 2: Preparare le dichiarazioni politiche chiave del KMS per consentire sia alle applicazioni AWS gestite che ai relativi amministratori di utilizzare la chiave KMS.
Inserisci il tuo AWS Organizations ID nella condizione ID. PrincipalOrg Per informazioni su come trovare i valori degli identificatori di riferimento, consulta. Trova gli identificatori richiesti
Queste dichiarazioni politiche consentono a tutte le applicazioni AWS gestite nello stesso di AWS Organizations utilizzare la chiave KMS. Per limitare queste dichiarazioni politiche a specifiche applicazioni AWS gestite, account o istanze IAM Identity Center, consulta. Dichiarazioni politiche chiave di Advanced KMS
Dichiarazioni politiche chiave di KMS
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "${organization_ID}" }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" } } }, { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "${organization_ID}" }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" } } } ] }
Utilizza il seguente modello di dichiarazione delle politiche IAM Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account per consentire agli amministratori delle applicazioni AWS gestite di utilizzare la chiave KMS di un account membro.
Sostituisci l'ARN di esempio nell'elemento Resource con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, vedere. Trova gli identificatori richiesti
Alcune applicazioni AWS gestite richiedono la configurazione delle autorizzazioni per IAM Identity Center e Identity Store. APIs Prima di configurare una chiave gestita dal cliente nel tuo IAM Identity Center, assicurati che queste autorizzazioni consentano anche l'uso della chiave KMS. Per requisiti specifici di autorizzazione delle chiavi KMS, consulta la documentazione per ogni applicazione AWS gestita che hai distribuito.
Dichiarazioni politiche IAM richieste per gli amministratori delle AWS applicazioni gestite:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Dichiarazione chiave KMS di base per l'uso di AWS Control Tower
Utilizza i seguenti modelli di istruzioni chiave KMS Fase 2: Preparare le dichiarazioni politiche chiave del KMS per consentire agli amministratori di AWS Control Tower di utilizzare la chiave KMS.
Specificare i principali IAM utilizzati per l'accesso a IAM Identity Center nel campo Principal. APIs Per ulteriori informazioni sui principi IAM, consulta Specificing a principal nella IAM User Guide.
Queste dichiarazioni politiche consentono agli amministratori di AWS Control Tower di utilizzare la chiave KMS tramite qualsiasi istanza di IAM Identity Center. Tuttavia, AWS Control Tower limita l'accesso all'istanza organizzativa di IAM Identity Center nella stessa AWS organizzazione. A causa di questa restrizione, non vi è alcun vantaggio pratico nel limitare ulteriormente la chiave KMS a un'istanza specifica di IAM Identity Center, come descritto in. Dichiarazioni politiche chiave di Advanced KMS
Dichiarazione della policy della chiave KMS:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "${Control_Tower_Admins}" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "${Control_Tower_Admins}" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
AWS Control Tower non supporta l'amministrazione delegata e, pertanto, non è necessario configurare una policy IAM per i suoi amministratori.
Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso di IAM Identity Center per le istanze Windows di Amazon Elastic Compute Cloud
Utilizza il seguente modello di dichiarazione sulla politica delle chiavi KMS Fase 2: Preparare le dichiarazioni politiche chiave del KMS per consentire agli utenti di istanze Single Sign-On (SSO) su Amazon EC2 Windows di utilizzare la chiave KMS tra gli account.
Specificate i principi IAM utilizzati per l'accesso a IAM Identity Center nel campo Principal. Per ulteriori informazioni sui principi IAM, consulta Specificing a principal nella IAM User Guide.
Questa dichiarazione di policy consente a qualsiasi istanza IAM Identity Center di utilizzare la chiave KMS. Per limitare l'accesso a una specifica istanza di IAM Identity Center, consulta. Policy templates (Modelli di policy)
Dichiarazione politica chiave di KMS
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "${Permission_Set_IAM_Role}" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "${Permission_Set_IAM_Role}" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Utilizza il seguente modello di dichiarazione di policy IAM Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account per consentire alle istanze SSO to EC2 Windows di utilizzare la chiave KMS.
Allega la dichiarazione della policy IAM al set di autorizzazioni esistente in IAM Identity Center che stai utilizzando per consentire l'accesso SSO alle istanze Amazon EC2 Windows. Per esempi di policy IAM, consulta le connessioni Remote Desktop Protocol nella AWS Systems Manager User Guide.
Sostituisci l'ARN di esempio nell'elemento Resource con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, vedere. Trova gli identificatori richiesti
Policy IAM relativa al set di autorizzazioni:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Chiave KMS di base e dichiarazioni sulle policy IAM per l'uso di flussi di lavoro personalizzati con IAM Identity Center
Utilizza i seguenti modelli di policy chiave KMS Fase 2: Preparare le dichiarazioni politiche chiave del KMS per consentire ai flussi di lavoro personalizzati nell'account di gestione AWS Organizations o nell'account di amministrazione delegato di utilizzare la chiave KMS.
Specificate i principali IAM utilizzati per accedere a IAM Identity Center APIs nell'elemento Principal. Per ulteriori informazioni sui principi IAM, consulta Specificying a principal nella IAM User Guide.
Queste dichiarazioni politiche consentono al flusso di lavoro di utilizzare la chiave KMS tramite qualsiasi istanza di IAM Identity Center. Per limitare l'accesso a una specifica istanza di IAM Identity Center, consulta. Policy templates (Modelli di policy)
Dichiarazione della policy della chiave KMS:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "${Workflow_IAM_principal}" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "${Workflow_IAM_principal}" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Utilizza il seguente modello di dichiarazione di policy IAM Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account per consentire al principale IAM associato al flusso di lavoro personalizzato di utilizzare la chiave KMS tra gli account. Aggiungi la dichiarazione di policy IAM all'IAM principal.
Sostituisci l'ARN di esempio nell'elemento Resource con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, vedere. Trova gli identificatori richiesti
Dichiarazione sulla politica IAM (richiesta solo per l'utilizzo su più account):
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
