Considerazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate - AWS IAM Identity Center
Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzateConsiderazioni sull'abilitazione di una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate

Nota

Le chiavi KMS gestite dal cliente per AWS IAM Identity Center sono attualmente disponibili in alcune regioni. AWS

Quando implementi chiavi KMS gestite dal cliente con IAM Identity Center, considera questi fattori che influiscono sulla configurazione, sulla sicurezza e sulla manutenzione continua della configurazione di crittografia.

Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate

Quando decidi se rendere più specifico l'utilizzo delle autorizzazioni chiave KMSDichiarazioni politiche chiave di Advanced KMS, considera il sovraccarico di gestione e le esigenze di sicurezza della tua organizzazione. Dichiarazioni politiche più specifiche forniscono un controllo più preciso su chi può utilizzare la chiave e per quali scopi; tuttavia, richiedono una manutenzione continua man mano che la configurazione di IAM Identity Center si evolve. Ad esempio, se limiti l'uso della chiave KMS a specifiche implementazioni di applicazioni AWS gestite, dovrai aggiornare la policy chiave ogni volta che l'organizzazione desidera distribuire o annullare la distribuzione di un'applicazione. Policy meno restrittive riducono l'onere amministrativo, ma possono concedere autorizzazioni più ampie di quelle necessarie per i requisiti di sicurezza.

Considerazioni sull'abilitazione di una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente

Le considerazioni riportate qui si applicano se si utilizza il contesto di crittografia descritto in Dichiarazioni politiche chiave di Advanced KMS per limitare l'uso della chiave KMS a una specifica istanza di IAM Identity Center.

Quando si abilita una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente, IAM Identity Center e Identity Store ARNs sono disponibili solo dopo la configurazione. Sono disponibili le seguenti opzioni:

  • Utilizzate temporaneamente modelli ARN generici, quindi sostituiteli con completi ARNs dopo l'attivazione dell'istanza. Ricordatevi di passare da un StringLike operatore StringEquals all'altro secondo necessità.

    • Per IAM Identity Center SPN: «arn: $ {Partition} :sso: ::instance/*».

    • Per Identity Store SPN: «arn: $ {Partition} :identitystore: :$ {Account} :identitystore/*».

  • Usa temporaneamente «Purpose:key_configuration» nell'ARN. Funziona solo per l'abilitazione delle istanze e deve essere sostituita con l'ARN effettivo affinché l'istanza IAM Identity Center funzioni normalmente. Il vantaggio di questo approccio è che non puoi dimenticare di sostituirlo dopo aver abilitato l'istanza.

    • Per IAM Identity Center SPN, usa: «arn: $ {Partition} :sso: :instance/purpose:key_configuration»

    • Per Identity Store SPN, usa: «arn: $ {Partition} :identitystore: :$ {Account} :identitystore/purpose:key_configuration»

    Importante

    Non applicare questa configurazione a una chiave KMS già in uso in un'istanza IAM Identity Center esistente, poiché potrebbe interromperne le normali operazioni.

  • Ometti la condizione del contesto di crittografia dalla politica della chiave KMS fino a quando l'istanza non è abilitata.