View a markdown version of this page

Politica chiave KMS di base - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politica chiave KMS di base

La seguente policy chiave KMS copre lo scenario di implementazione più comune: un'istanza IAM Identity Center con amministratori delegati e applicazioni AWS gestite AWS Control Tower, tra cui istanze da SSO ad Amazon EC2 e flussi di lavoro personalizzati. Utilizza questa policy come punto di partenza per creare una chiave KMS gestita dal cliente per IAM Identity Center. Se hai bisogno di controlli di accesso più granulari, come la limitazione della chiave a un'istanza o applicazione IAM Identity Center specifica, consulta. Dichiarazioni politiche chiave di Advanced KMS Tieni presente che se utilizzi una chiave multiregionale, è necessario utilizzare la stessa policy su tutte le repliche per garantire un'autorizzazione coerente.

Per utilizzare questa politica, sostituisci i seguenti valori segnaposto con i tuoi:

  • 111122223333— L'ID dell' AWS account dell'istanza IAM Identity Center (l'account di AWS Organizations gestione).

  • 444455556666— L'ID dell' AWS account di amministrazione delegata. Se non utilizzi l'amministrazione delegata, rimuovi questo principale.

Poiché AWS IAM Identity Center richiede che la chiave KMS si trovi nello stesso AWS account del servizio, le seguenti istruzioni utilizzano le ${aws:ResourceAccount} variabili ${aws:ResourceOrgID} and anziché i valori letterali. Se preferisci, puoi sostituire queste variabili con l'ID AWS dell'organizzazione e l'ID AWS dell'account.

{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Sid": "AllowIdentityCenterAdminAccounts",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:root",
          "arn:aws:iam::444455556666:root"
        ]
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "AllowIdentityCenterAndIdentityStoreToDescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "${aws:ResourceAccount}"
        }
      }
    },
    {
      "Sid": "AllowIdentityCenterAndIdentityStoreToUseKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "${aws:ResourceAccount}"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    },
    {
      "Sid": "AllowOrgPrincipalsViaIdentityCenterAndIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
        },
        "StringLike": {
          "kms:ViaService": [
            "sso.*.amazonaws.com",
            "identitystore.*.amazonaws.com"
          ]
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    },
    {
      "Sid": "AllowManagedApps",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        },
        "StringEquals": {
          "aws:SourceOrgID": "${aws:ResourceOrgID}"
        },
        "StringLike": {
          "kms:ViaService": [
            "identitystore.*.amazonaws.com",
            "sso.*.amazonaws.com"
          ]
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    }
  ]
}

Questa politica contiene cinque dichiarazioni. La tabella seguente descrive le funzioni di ciascuna istruzione.

Dichiarazione Scopo
AllowIdentityCenterAdminAccounts Concede le autorizzazioni complete per le chiavi KMS all'account di gestione IAM Identity Center e all'account di amministrazione delegato. Ciò include azioni di gestione chiave come la modifica della politica chiave e la pianificazione dell'eliminazione delle chiavi. Gli amministratori di questi account possono gestire e utilizzare la chiave se dispongono delle autorizzazioni richieste nelle politiche basate sull'identità.
AllowIdentityCenterAndIdentityStoreToDescribeKey Consente ai responsabili dei servizi IAM Identity Center e Identity Store di recuperare i metadati chiave. Ciò è necessario per le operazioni di servizio che convalidano la chiave senza eseguire la crittografia o la decrittografia. aws:SourceAccountQuesta condizione aiuta a garantire che solo l'istanza di IAM Identity Center possa utilizzare la chiave KMS.
AllowIdentityCenterAndIdentityStoreToUseKey Consente ai responsabili del servizio IAM Identity Center e Identity Store di utilizzare la chiave per operazioni di crittografia come la crittografia, la decrittografia e la ricrittografia dei dati. aws:SourceAccountQuesta condizione aiuta a garantire che solo l'istanza IAM Identity Center possa utilizzare la chiave KMS.
AllowOrgPrincipalsViaIdentityCenterAndIdentityStore Consente ai responsabili IAM della tua AWS organizzazione di decrittografare i dati tramite i servizi IAM Identity Center e Identity Store. Ciò riguarda gli amministratori delle applicazioni che interagiscono con i AWS servizi integrati in IAM Identity Center utilizzando Forward Access Sessions (FAS).
AllowManagedApps Consente alle applicazioni AWS gestite di decrittografare i dati protetti dalla chiave KMS tramite IAM Identity Center e Identity Store.

Utilizza la seguente dichiarazione di policy IAM Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account per consentire agli amministratori delegati di utilizzare la chiave KMS tramite il servizio IAM Identity Center. APIs Sostituisci la chiave di esempio ARN con la tua chiave KMS ARN effettiva. La regione con caratteri jolly dell'esempio contiene tutte le repliche di una chiave KMS multiregionale.

Per i casi d'uso su più account diversi dall'amministrazione di IAM Identity Center, come istanze da SSO ad Amazon EC2 o amministrazione AWS di applicazioni gestite, riduci solo l'AllowCrossAccountKMSKeyUseambito e rimuovi l'kms:Decryptistruzione. AllowListKMSKeyAliases

{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Sid": "AllowCrossAccountKMSKeyUse",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:*:111122223333:key/mrk-1234abcd-12ab-34cd-56ef-1234567890ab"
      ]
    },
    {
      "Sid": "AllowListKMSKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}