Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in IAM Identity Center
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in AWS IAM Identity Center. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutto il AWS cloud. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile delle attività di configurazione e gestione della sicurezza per i AWS servizi che utilizza. Per ulteriori informazioni sulla privacy dei dati, consulta [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post [AWS Modello di responsabilità condivisa ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) e GDPR*AWS nel blog sulla sicurezza di *.
Ti consigliamo di proteggere i tuoi dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con IAM Identity Center.
+ Usa TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
**Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, come gli indirizzi e-mail dei tuoi clienti, nei tag o nei campi di testo in formato libero come il campo Nome.** Ciò include quando lavori con o con AWS IAM Identity Center altri AWS servizi che utilizzano la console, l'API o. AWS CLI AWS SDKs Tutti i dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i registri di diagnostica.
## Crittografia dei dati in transito
IAM Identity Center protegge i dati in transito, mentre viaggiano da e verso il servizio, crittografando automaticamente tutti i dati tra reti utilizzando il protocollo di crittografia Transport Layer Security (TLS) 1.2 o TLS 1.3. Le richieste HTTPS dirette autenticate con IAM e inviate a IAM Identity Center APIs, Identity Store API o OIDC vengono firmate utilizzando l'algoritmo [AWS Signature](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) Version 4 per stabilire una connessione sicura.
## Privacy dei dati
Con IAM Identity Center, mantieni il controllo dei dati della tua organizzazione. Le identità di utenti e gruppi archiviate in IAM Identity Center vengono condivise con altri AWS servizi, come [le applicazioni AWS gestite](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html), solo se le abiliti con IAM Identity Center e se necessario con tali servizi.
Per ulteriori informazioni, consulta le [Domande frequenti sulla privacy AWS dei dati](https://aws.amazon.com/compliance/data-privacy-faq/).
## Conservazione dei dati
IAM Identity Center archivia i dati, come le identità di utenti e gruppi e i metadati, finché non li elimini dal servizio. Quando elimini un'istanza di IAM Identity Center, vengono eliminati anche i dati in essa contenuti.
# Crittografia dei dati a riposo
IAM Identity Center fornisce la crittografia per proteggere i dati inattivi dei clienti utilizzando i seguenti tipi di chiavi:
+ **Chiavi di proprietà di AWS (tipo di chiave predefinito)**: IAM Identity Center utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati. Non puoi visualizzarne, gestirne, verificarne l'utilizzo o utilizzare le chiavi AWS di proprietà per altri scopi. IAM Identity Center gestisce interamente la gestione delle chiavi per proteggere i tuoi dati, senza che tu debba intraprendere alcuna azione. Per ulteriori informazioni, consulta la pagina [chiavi di proprietàAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella [Guida per gli sviluppatori di *AWS Key Management Service *](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ **Chiavi gestite dal cliente**: nelle istanze organizzative di IAM Identity Center, puoi scegliere una chiave simmetrica gestita dal cliente per la crittografia del resto dei dati relativi all'identità della forza lavoro, come gli attributi di utenti e gruppi. Sei tu a creare, possedere e gestire queste chiavi di crittografia. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
+ Stabilire e mantenere politiche chiave per limitare l'accesso alla chiave solo ai responsabili IAM che ne hanno bisogno, come IAM Identity Center and [AWS applicazioni gestite](awsapps.md) in the same AWS Organizations e ai relativi amministratori.
+ Stabilire e mantenere le politiche IAM per l'accesso alla chiave, incluso l'accesso tra più account
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Verifica dell'accesso ai dati che richiedono l'accesso tramite chiave
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Per scoprire come implementare una chiave KMS gestita dal cliente in IAM Identity Center, consulta. [Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center](identity-center-customer-managed-keys.md) Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta la [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli AWS Key Management Service sviluppatori*.
**Nota**
IAM Identity Center abilita automaticamente la crittografia dei dati AWS inattivi utilizzando chiavi KMS di proprietà per proteggere gratuitamente i dati dei clienti. Tuttavia, quando si utilizza una chiave gestita dal cliente, vengono applicati dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i [AWS Key Management Service prezzi](https://aws.amazon.com/kms/pricing/).
**Considerazioni sull'implementazione delle chiavi gestite dal cliente:**
+ **Chiavi dedicate**: consigliamo di creare una nuova chiave KMS dedicata gestita dal cliente per ogni istanza di IAM Identity Center anziché riutilizzare una chiave esistente. Questo approccio offre una separazione più chiara dei compiti, semplifica la gestione del controllo degli accessi e rende più semplici i controlli di sicurezza. Disporre di una chiave dedicata riduce anche i rischi limitando l'impatto delle modifiche chiave a una singola istanza di IAM Identity Center.
+ **Utilizzo di IAM Identity Center su più** istanze Regioni AWS: se prevedi di replicare la tua istanza IAM Identity Center su altre istanze Regioni AWS, dovrai utilizzare una chiave KMS gestita dal cliente per la crittografia dei dati inattivi. Il tipo di chiave KMS AWS di proprietà predefinita non è supportato in un IAM Identity Center multiregionale. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
**Nota**
IAM Identity Center utilizza la [crittografia a busta](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption) per crittografare i dati di identità della forza lavoro. La chiave KMS svolge il ruolo di chiave di avvolgimento che crittografa la chiave dati effettivamente utilizzata per crittografare i dati.
Per ulteriori informazioni su AWS KMS, consulta [Cos'](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)è il servizio di gestione delle chiavi? AWS
## Contesto di crittografia IAM Identity Center
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) è un insieme opzionale di coppie chiave-valore non segrete che contengono informazioni contestuali aggiuntive sui dati. AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia. Per ulteriori informazioni sul contesto di crittografia, [consulta la AWS KMS Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html).
IAM Identity Center utilizza chiavi contestuali di crittografia tra le seguenti: aws:sso:instance-arn, aws:identitystore:identitystore-arn e. tenant-key-id Ad esempio, il AWS KMS seguente contesto di crittografia può apparire nelle operazioni API richiamate dall'API IAM Identity Center[.](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Il seguente contesto di crittografia può apparire nelle operazioni AWS KMS API richiamate dall'API [Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html).
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## Utilizzo del contesto di crittografia per controllare l’accesso alla chiave gestita dal cliente
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l’accesso alla chiave simmetrica gestita dal cliente. Alcuni dei modelli di policy chiave [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md) inclusi includono tali condizioni per garantire che la chiave venga utilizzata solo con un'istanza specifica di IAM Identity Center.
## Monitoraggio delle chiavi di crittografia per IAM Identity Center
Quando utilizzi una chiave KMS gestita dal cliente con la tua istanza IAM Identity Center, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)o [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste inviate da IAM Identity Center. AWS KMS Le operazioni dell'API KMS in cui sono elencate le chiamate di IAM Identity Center. [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) CloudTrail gli eventi per queste operazioni API contengono il contesto di crittografia, che consente di monitorare le operazioni AWS KMS API richiamate dall'istanza di IAM Identity Center per accedere ai dati crittografati dalla chiave gestita dal cliente.
Esempio di contesto di crittografia in un CloudTrail caso di operazione dell' AWS KMS API:
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS archiviazione, crittografia ed eliminazione degli attributi di identità di IAM Identity Center da parte delle applicazioni gestite
Alcune applicazioni AWS gestite con cui esegui la distribuzione AWS IAM Identity Center, come AWS Systems Manager e Amazon CodeCatalyst, memorizzano attributi di utenti e gruppi specifici di IAM Identity Center nel proprio data store. La crittografia inattiva con una chiave KMS gestita dal cliente in IAM Identity Center non si estende agli attributi di utenti e gruppi di IAM Identity Center archiviati nelle applicazioni AWS gestite. AWS le applicazioni gestite supportano diversi metodi di crittografia per i dati che archiviano. Infine, quando elimini gli attributi di utenti e gruppi all'interno di IAM Identity Center, queste applicazioni AWS gestite possono continuare a archiviare queste informazioni anche dopo l'eliminazione in IAM Identity Center. Fai riferimento alla guida per l'utente delle tue applicazioni AWS gestite per la crittografia e la sicurezza dei dati archiviati all'interno delle applicazioni.
# Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center
Le chiavi gestite dal cliente sono AWS chiavi del servizio di gestione delle chiavi che puoi creare, possedere e gestire. Per implementare una chiave KMS gestita dal cliente per la crittografia inattiva in AWS IAM Identity Center, segui questi passaggi:
**Importante**
Alcune applicazioni AWS gestite non possono essere utilizzate con AWS IAM Identity Center configurato con una chiave KMS gestita dal cliente. Per informazioni, consulta [AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md).
1. [Fase 1: Identifica i casi d'uso per la tua organizzazione](#identify-use-cases)- Per definire le autorizzazioni corrette per l'uso della chiave KMS è necessario identificare i casi d'uso pertinenti all'interno dell'organizzazione. Le autorizzazioni chiave KMS consistono in dichiarazioni politiche chiave KMS e politiche basate sull'identità che interagiscono per consentire ai responsabili IAM appropriati di utilizzare la chiave KMS per i loro casi d'uso specifici.
1. [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](#choose-kms-key-policy-statements)- Scegliete i modelli di policy chiave KMS pertinenti in base ai casi d'uso identificati nella Fase 1 e inserite gli identificatori richiesti e i nomi principali IAM. Inizia con le dichiarazioni politiche chiave del KMS di base e, se le tue politiche di sicurezza lo richiedono, perfezionale come descritto nelle dichiarazioni chiave di Advanced KMS.
1. [Fase 3: Creare una chiave KMS gestita dal cliente](#create-customer-managed-kms-key)- Crea una chiave KMS in AWS KMS che soddisfi i requisiti di IAM Identity Center e aggiungi le dichiarazioni politiche chiave del KMS preparate nella fase 2 alla politica chiave KMS.
1. [Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account](#configure-iam-policies-kms-key)- Scegli modelli di policy IAM pertinenti in base ai casi d'uso identificati nella Fase 1 e preparali per l'uso compilando l'ARN chiave. Quindi, consenti ai responsabili IAM per ogni caso d'uso specifico di utilizzare la chiave KMS per tutti gli account aggiungendo le dichiarazioni delle politiche IAM preparate alle politiche IAM dei principali.
1. [Passaggio 5: configura la chiave KMS in IAM Identity Center](#configure-kms-key-in-iam-identity-center)- Abilita la chiave KMS gestita dal cliente nella tua istanza IAM Identity Center di utilizzarla per la crittografia a riposo.
## Fase 1: Identifica i casi d'uso per la tua organizzazione
Prima di creare e configurare la chiave KMS gestita dal cliente, identifica i casi d'uso e prepara le autorizzazioni necessarie per la chiave KMS. Consulta la [AWS KMS Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) per ulteriori informazioni sulla politica delle chiavi KMS.
I presidi IAM che richiamano il servizio APIs IAM Identity Center richiedono autorizzazioni. Ad esempio, un amministratore delegato può essere autorizzato a utilizzarle APIs tramite una politica di set di autorizzazioni. Quando IAM Identity Center è configurato con una chiave gestita dal cliente, i responsabili IAM devono inoltre disporre delle autorizzazioni per utilizzare l'API KMS tramite il servizio IAM Identity Center. APIs Queste autorizzazioni dell'API KMS vengono definite in due punti: nella policy chiave KMS e nelle politiche IAM associate ai principi IAM.
Le autorizzazioni chiave KMS sono costituite da:
1. Dichiarazioni sulla politica chiave KMS specificate nella chiave KMS durante la sua creazione in. [Fase 3: Creare una chiave KMS gestita dal cliente](#create-customer-managed-kms-key)
1. Dichiarazioni sulle politiche IAM per i principi IAM specificate [Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account](#configure-iam-policies-kms-key) dopo aver creato la chiave KMS.
La tabella seguente specifica i casi d'uso e i principi IAM pertinenti che richiedono le autorizzazioni per utilizzare la chiave KMS.
| Caso d’uso | Principi IAM che necessitano di autorizzazioni per utilizzare la chiave KMS | Obbligatorio/facoltativo |
| --- | --- | --- |
| Utilizzo di IAM Identity AWS Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Richiesto |
| Utilizzo di applicazioni AWS gestite con IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facoltativo |
| Utilizzo AWS Control Tower sull'istanza AWS IAM Identity Center che ha abilitato | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facoltativo |
| Istanze AWS da SSO ad Amazon EC2 con IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facoltativo |
| Qualsiasi altro caso d'uso che effettui chiamate al servizio IAM Identity Center APIs con presidi IAM, ad esempio applicazioni gestite dai clienti, flussi di lavoro per la fornitura di set di autorizzazioni, flussi di lavoro o funzioni AWS Lambda | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Facoltativo |
**Nota**
I principali IAM elencati nella tabella richiedono le autorizzazioni dell'API AWS KMS. Tuttavia, per proteggere i dati di utenti e gruppi in IAM Identity Center, solo i servizi IAM Identity Center e Identity Store chiamano direttamente l' AWS API KMS.
## Fase 2: Preparare le dichiarazioni politiche chiave del KMS
Dopo aver identificato i casi d'uso pertinenti alla propria organizzazione, è possibile preparare le dichiarazioni politiche chiave del KMS corrispondenti.
1. Scegliete le dichiarazioni politiche chiave del KMS che corrispondono ai casi d'uso per la vostra organizzazione. Inizia con i modelli di policy di base. Se hai bisogno di politiche più specifiche in base ai tuoi requisiti di sicurezza, puoi modificare le dichiarazioni delle politiche utilizzando gli esempi riportati in[Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md). Per indicazioni su questa decisione, vedere[Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline). Inoltre, ogni sezione di base [Dichiarazioni sulla chiave KMS di base e sulle politiche IAM](baseline-KMS-key-policy.md) include considerazioni pertinenti.
1. Copia le politiche pertinenti in un editor e inserisci gli identificatori richiesti e i nomi principali IAM nelle dichiarazioni politiche chiave del KMS. Per informazioni su come trovare i valori degli identificatori di riferimento, consulta. [Dove trovare gli identificatori richiesti](#find-the-required-identifiers)
Di seguito sono riportati i modelli di policy di base per ogni caso d'uso. Per utilizzare una chiave KMS è necessario solo il primo set di autorizzazioni per AWS IAM Identity Center. Ti consigliamo di consultare le sottosezioni applicabili per ulteriori informazioni specifiche sui casi d'uso.
+ [Dichiarazioni politiche chiave di Baseline KMS per l'uso di IAM Identity Center (obbligatorio)](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-iam-identity-center-mandatory)
+ [Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso delle applicazioni gestite AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)
+ [Dichiarazione chiave KMS di base per l'uso di AWS Control Tower](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-specific-use-cases)
+ [Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso di IAM Identity Center per le istanze Amazon EC2](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-sso-to-amazon-ec2-windows-instances)
+ [Chiave KMS di base e dichiarazioni sulle policy IAM per l'uso di flussi di lavoro personalizzati con IAM Identity Center](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**Importante**
Fai attenzione quando modifichi le politiche chiave KMS per le chiavi già utilizzate da IAM Identity Center. Sebbene IAM Identity Center convalidi le autorizzazioni di crittografia e decrittografia quando configuri inizialmente una chiave KMS, non può verificare le successive modifiche alle politiche. La rimozione inavvertitamente delle autorizzazioni necessarie potrebbe interrompere il normale funzionamento dell'IAM Identity Center. Per indicazioni sulla risoluzione degli errori comuni relativi alle chiavi gestite dai clienti in IAM Identity Center, consulta. [Risolvi i problemi relativi alle chiavi gestite dal cliente in AWS IAM Identity Center](cmk-related-errors.md)
**Nota**
IAM Identity Center e l'Identity Store associato richiedono autorizzazioni a livello di servizio per utilizzare la chiave KMS gestita dal cliente. Questo requisito si estende alle applicazioni AWS gestite che richiamano il servizio IAM Identity Center utilizzando le credenziali di servizio APIs . Per altri casi d'uso in cui il servizio IAM Identity Center APIs viene richiamato con [sessioni di accesso diretto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), solo il principale IAM iniziante (ad esempio un amministratore) necessita delle autorizzazioni chiave KMS. In particolare, gli utenti finali che utilizzano il portale di AWS accesso e le applicazioni AWS gestite non necessitano di autorizzazioni dirette con chiave KMS, poiché vengono concesse tramite i rispettivi servizi.
## Fase 3: Creare una chiave KMS gestita dal cliente
Puoi creare una chiave gestita dal cliente utilizzando la console di AWS gestione o il KMS. AWS APIs Durante la creazione della chiave, aggiungi le dichiarazioni chiave sulla politica KMS che hai preparato nel passaggio 2 alla politica chiave del KMS. Per istruzioni dettagliate, incluse indicazioni sulla politica delle chiavi KMS predefinita, consulta la [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) Developer Guide.
La chiave deve soddisfare i seguenti requisiti:
+ La chiave KMS deve trovarsi nella stessa AWS regione dell'istanza IAM Identity Center
+ Puoi scegliere una chiave multiregionale o una chiave a regione singola. Tuttavia, se prevedi di utilizzare IAM Identity Center in più di un'area, Regioni AWS devi creare una chiave KMS multiregionale. Non puoi convertire una chiave KMS a regione singola in una chiave KMS multiregionale, quindi ti consigliamo di iniziare con una chiave KMS multiregionale a meno che tu non abbia l'esigenza specifica di utilizzare una chiave KMS per regione singola.
+ La chiave KMS deve essere una chiave simmetrica configurata per l'utilizzo di «crittografia e decrittografia»
+ La chiave KMS deve trovarsi nello stesso account di AWS Organizations gestione dell'istanza organizzativa di IAM Identity Center
**Nota**
Se intendi replicare questa chiave KMS nelle regioni in cui desideri replicare il tuo IAM Identity Center, ti consigliamo di completare prima la configurazione in questa sezione e poi di seguire le indicazioni riportate in [Replica IAM Identity Center in un'altra regione](replicate-to-additional-region.md)
## Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account
Qualsiasi responsabile IAM che utilizzi il servizio IAM Identity Center APIs da un altro AWS account, ad esempio gli amministratori delegati di IAM Identity Center, necessita inoltre di una dichiarazione di policy IAM che consenta l'uso della chiave KMS attraverso questi account. APIs
Per ogni caso d'uso identificato nella fase 1:
1. Individua i modelli di policy IAM pertinenti in Baseline KMS key e IAM policy statements.
1. Copia i modelli in un editor e inserisci la chiave ARN, che è ora disponibile dopo la creazione della chiave KMS nel passaggio 3. Per informazioni su come trovare il valore ARN chiave, vedere. [Dove trovare gli identificatori richiesti](#find-the-required-identifiers)
1. Nella Console di gestione AWS, individua la policy IAM del principale IAM associata allo use case. La posizione di questa policy varia a seconda del caso d'uso e del modo in cui viene concesso l'accesso.
+ Per l'accesso concesso direttamente in IAM, puoi individuare i principali IAM, come i ruoli IAM, nella console IAM.
+ Per l'accesso concesso tramite IAM Identity Center, puoi individuare il set di autorizzazioni pertinente nella console IAM Identity Center.
1. Aggiungi le istruzioni di policy IAM specifiche del caso d'uso al ruolo IAM e salva la modifica.
**Nota**
Le politiche IAM descritte qui sono politiche basate sull'identità. Sebbene tali policy possano essere associate a utenti, gruppi e ruoli IAM, consigliamo l'uso di ruoli IAM quando possibile. Consulta la guida per l'utente IAM per ulteriori informazioni sui ruoli IAM rispetto agli utenti IAM.
### Configurazione aggiuntiva in alcune applicazioni AWS gestite
Alcune applicazioni AWS gestite richiedono la configurazione di un ruolo di servizio per consentire alle applicazioni di utilizzare il servizio IAM Identity Center APIs. Se la tua organizzazione utilizza applicazioni AWS gestite con IAM Identity Center, completa i seguenti passaggi per ciascuna applicazione distribuita:
1. Consulta la guida per l'utente dell'applicazione per confermare se le autorizzazioni sono state aggiornate per includere le autorizzazioni relative alla chiave KMS per l'uso dell'applicazione con IAM Identity Center.
1. In tal caso, aggiorna le autorizzazioni come indicato nella guida per l'utente dell'applicazione per evitare interruzioni delle operazioni dell'applicazione.
**Nota**
Se non sei sicuro che un'applicazione AWS gestita utilizzi queste autorizzazioni, ti consigliamo di consultare i manuali utente di tutte le applicazioni gestite distribuite. AWS È necessario eseguire questa configurazione solo una volta per ogni applicazione che richiede la configurazione.
## Passaggio 5: configura la chiave KMS in IAM Identity Center
**Importante**
Prima di procedere con questo passaggio:
Verifica che le tue applicazioni AWS gestite siano compatibili con le chiavi KMS gestite dal cliente. Per un elenco di applicazioni compatibili, consulta [Applicazioni AWS gestite che puoi utilizzare con IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html). Se hai applicazioni incompatibili, non procedere.
Configura le autorizzazioni necessarie per l'uso della chiave KMS. Senza le autorizzazioni appropriate, questo passaggio potrebbe fallire o interrompere l'amministrazione di IAM Identity Center, l'uso di applicazioni AWS gestite e altri casi d'uso che richiedono le autorizzazioni delle chiavi KMS. Per ulteriori informazioni, consulta [Fase 1: Identifica i casi d'uso per la tua organizzazione](#identify-use-cases).
Assicurati che le autorizzazioni per le applicazioni AWS gestite e le applicazioni gestite dai clienti che richiamano il servizio IAM Identity Center APIs con ruoli IAM consentano anche l'uso della chiave KMS tramite il servizio IAM Identity Center. APIs Alcune applicazioni AWS gestite richiedono la configurazione delle autorizzazioni, ad esempio un ruolo di servizio, per il loro utilizzo. APIs Consulta la Guida per l'utente di ciascuna applicazione AWS gestita distribuita per confermare se è necessario aggiungere autorizzazioni specifiche per le chiavi KMS.
### Specificate una chiave KMS quando abilitate una nuova istanza organizzativa di IAM Identity Center
Quando abiliti una nuova istanza organizzativa di IAM Identity Center, puoi specificare una chiave KMS gestita dal cliente durante la configurazione. Ciò garantisce che l'istanza utilizzi la tua chiave per la crittografia inattiva sin dall'inizio. Prima di iniziare, consulta[Considerazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate](considerations-for-customer-managed-kms-keys-advanced.md).
1. Nella pagina **Abilita IAM Identity Center**, espandi la sezione **Encryption at rest**.
1. Scegli **Manage Encryption (Gestisci crittografia)**.
1. Scegli la **chiave gestita dal cliente**.
1. Per la **chiave KMS**, esegui una delle seguenti operazioni:
1. Scegli **Seleziona dalle tue chiavi KMS** e seleziona la chiave che hai creato dall'elenco a discesa.
1. Scegli **Inserisci l'ARN della chiave KMS** e inserisci l'ARN completo della tua chiave.
1. Scegli **Save** (Salva).
1. Scegli **Abilita** per completare la configurazione.
Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html).
### Modifica la configurazione chiave per un'istanza organizzativa esistente di IAM Identity Center
Puoi cambiare la chiave KMS gestita dal cliente con un'altra chiave o passare a una chiave AWS di proprietà in qualsiasi momento.
------
#### [ Console ]
**Per modificare la configurazione della chiave KMS**
1. Apri la console IAM Identity Center all'indirizzo [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Vai alla scheda **Impostazioni aggiuntive**.
1. Scegli **Gestisci la crittografia**.
1. Seleziona una delle seguenti opzioni:
1. **Chiave gestita dal cliente**: seleziona una chiave gestita dal cliente diversa dal menu a discesa o inserisci una nuova chiave ARN.
1. **AWS chiave proprietaria**: passa all'opzione di crittografia predefinita.
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
**Per modificare un'istanza organizzativa esistente di IAM Identity Center per utilizzare la chiave gestita dal cliente KMS**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration \
KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
**Per modificare un'istanza organizzativa esistente di IAM Identity Center per utilizzare una chiave AWS proprietaria**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```
------
**Considerazioni chiave gestite dal cliente**
+ L'aggiornamento della configurazione delle chiavi KMS per il funzionamento di IAM Identity Center non ha alcun effetto sulle sessioni utente attive nel tuo IAM Identity Center. Puoi continuare a utilizzare il portale di AWS accesso, la console IAM Identity Center e il servizio IAM Identity Center APIs durante questo processo.
+ Quando si passa a una nuova chiave KMS, IAM Identity Center verifica di poter utilizzare correttamente la chiave per la crittografia e la decrittografia. Se hai commesso un errore durante la configurazione della policy chiave o della policy IAM, la console mostrerà un messaggio di errore esplicativo e la chiave KMS precedente rimarrà in uso.
+ La rotazione annuale predefinita delle chiavi KMS avverrà automaticamente. Puoi fare riferimento alla [Guida per gli AWS KMS sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) per informazioni su argomenti come la [rotazione delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), il [monitoraggio delle AWS KMS chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html) e [il controllo dell'accesso all'eliminazione delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html).
**Importante**
Se la chiave KMS gestita dal cliente utilizzata dall'istanza di IAM Identity Center viene eliminata, disabilitata o inaccessibile a causa di una politica di chiave KMS errata, gli utenti della forza lavoro e gli amministratori di IAM Identity Center non saranno in grado di utilizzare IAM Identity Center. La perdita di accesso può essere temporanea (una policy chiave può essere corretta) o permanente (una chiave eliminata non può essere ripristinata) a seconda delle circostanze. Ti consigliamo di [limitare l'accesso](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) a operazioni critiche, come l'eliminazione o la disabilitazione della chiave KMS. Inoltre, consigliamo alla tua organizzazione di impostare [procedure di accesso AWS ininterrotte per garantire che gli utenti privilegiati possano accedere](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) nel caso AWS in cui IAM Identity Center sia inaccessibile.
## Dove trovare gli identificatori richiesti
Quando configuri le autorizzazioni per la tua chiave KMS gestita dal cliente, avrai bisogno di identificatori di AWS risorsa specifici per completare i modelli di policy chiave e di dichiarazione delle policy IAM. Inserisci gli identificatori richiesti (ad esempio, l'ID dell'organizzazione) e i nomi principali IAM nelle dichiarazioni politiche chiave del KMS.
Di seguito è riportata una guida per individuare questi identificatori nella console di gestione. AWS
**IAM Identity Center Amazon Resource Name (ARN) e Identity Store ARN**
Un'istanza di IAM Identity Center è una AWS risorsa con un proprio ARN univoco come arn:aws:sso: :instance/ssoins-1234567890abcdef. L'ARN segue lo schema documentato nella sezione dei tipi di risorse di IAM Identity Center del Service Authorization Reference.
A ogni istanza di IAM Identity Center è associato un Identity Store che memorizza le identità degli utenti e dei gruppi. Un Identity Store ha un identificatore univoco chiamato Identity Store ID (ad esempio, d-123456789a). L'ARN segue lo schema documentato nella sezione dei tipi di risorse Identity Store del [Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html) Authorization Reference.
Puoi trovare i valori ARN e Identity Store ID nella pagina Impostazioni del tuo IAM Identity Center. L'ID Identity Store si trova nella scheda Identity source.
**AWS Organizations ID**
Se desideri specificare un ID dell'organizzazione (ad esempio, o-example.org1) nella tua policy chiave, puoi trovarne il valore nella pagina Impostazioni delle console IAM Identity Center and Organizations. L'ARN segue lo schema documentato nella sezione Organizations resource types del Service Authorization Reference.
**Chiave KMS ARN**
Puoi trovare l'ARN di una chiave KMS nella console. AWS KMS Scegli Chiavi gestite dal cliente a sinistra, fai clic sulla chiave di cui desideri cercare l'ARN e la vedrai nella sezione Configurazione generale. L'ARN segue lo schema documentato nella sezione sui tipi di AWS KMS risorse del Service Authorization Reference.
Consulta la Guida per gli AWS Key Management Service sviluppatori per ulteriori informazioni sulle politiche chiave AWS KMS e sulla risoluzione dei problemi relativi AWS KMS alle autorizzazioni. Per ulteriori informazioni sulle policy IAM e sulla loro rappresentazione in JSON, consulta la IAM User Guide.
# Dichiarazioni sulla chiave KMS di base e sulle politiche IAM
La chiave KMS di base e le politiche basate sull'identità fornite qui fungono da base per requisiti comuni. Ti consigliamo inoltre di verificare [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md) che forniscano controlli di accesso più granulari, ad esempio garantendo che la chiave KMS sia accessibile solo a una specifica istanza o applicazione gestita di IAM Identity Center. AWS Prima di utilizzare le dichiarazioni politiche chiave avanzate di KMS, consulta il. [Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline)
Le seguenti sezioni forniscono le dichiarazioni politiche di base per ogni caso d'uso. Espandi le sezioni che corrispondono ai tuoi casi d'uso e copia le dichiarazioni politiche chiave del KMS. Quindi, torna a. [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements)
## Dichiarazioni politiche chiave di Baseline KMS per l'uso di IAM Identity Center (obbligatorio)
Utilizza il seguente modello di dichiarazione di policy chiave KMS [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) per consentire agli amministratori di IAM Identity Center, dell'Identity Store associato e dell'IAM Identity Center di utilizzare la chiave KMS.
+ Nell'elemento Principal for administrator policy statement, specifica i principali AWS account degli account di amministrazione di IAM Identity Center, che sono l'account di gestione dell' AWS organizzazione e l'account di amministrazione delegata, utilizzando il formato «arn:aws:iam: :111122223333:root».
+ Nell' PrincipalArn elemento, sostituisci l'esempio con i ruoli IAM degli amministratori di IAM Identity Center. ARNs
Puoi specificare uno dei seguenti elementi:
+ Ruolo IAM specifico ARN:
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678"`
+ Pattern Wildcard (consigliato):
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"`
L'uso del wildcard (`*`) previene la perdita di accesso se il set di autorizzazioni viene eliminato e ricreato, poiché Identity Center genera nuovi identificatori univoci per i set di autorizzazioni ricreati. Per un esempio di implementazione, vedere. [Esempio di politica di fiducia personalizzata](referencingpermissionsets.md#custom-trust-policy-example)
+ Nell' SourceAccount elemento, specifica l'ID dell'account IAM Identity Center.
+ Identity Store dispone di un proprio service principal`identitystore.amazonaws.com`, al quale deve essere consentito di utilizzare la chiave KMS.
+ Queste dichiarazioni politiche consentono alle istanze IAM Identity Center in un AWS account specifico di utilizzare la chiave KMS. Per limitare l'accesso a una specifica istanza di IAM Identity Center, consulta. [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md) Puoi avere solo un'istanza IAM Identity Center per ogni AWS account.
Dichiarazioni politiche chiave di KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
Utilizza il seguente modello di dichiarazione delle politiche IAM [Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) per consentire agli amministratori di IAM Identity Center di utilizzare la chiave KMS.
+ Sostituisci la chiave di esempio ARN nell'`Resource`elemento con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, consulta. [Dove trovare gli identificatori richiesti](identity-center-customer-managed-keys.md#find-the-required-identifiers)
+ Queste dichiarazioni politiche IAM concedono l'accesso tramite chiave KMS al principale IAM, ma non limitano il AWS servizio che può effettuare la richiesta. La policy chiave KMS prevede in genere queste restrizioni di servizio. Tuttavia, puoi aggiungere un contesto di crittografia a questa policy IAM per limitare l'utilizzo a una specifica istanza di Identity Center. Fare riferimento a [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md) per ulteriori dettagli.
Dichiarazioni di policy IAM richieste per gli amministratori delegati di IAM Identity Center
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
}
]
}
```
## Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso delle applicazioni gestite AWS
**Nota**
Alcune applicazioni AWS gestite non possono essere utilizzate con IAM Identity Center configurato con una chiave KMS gestita dal cliente. Per ulteriori informazioni, consulta [Applicazioni AWS gestite che funzionano con IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Utilizza il seguente modello di dichiarazione di policy chiave KMS [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) per consentire sia alle applicazioni AWS gestite che ai relativi amministratori di utilizzare la chiave KMS.
+ Inserisci il tuo AWS Organizations ID nell'ID e nelle condizioni PrincipalOrg. SourceOrgId Per informazioni su come trovare i valori degli identificatori di riferimento, consulta. [Dove trovare gli identificatori richiesti](identity-center-customer-managed-keys.md#find-the-required-identifiers)
+ Queste dichiarazioni politiche consentono a tutte le applicazioni AWS gestite e a tutti i responsabili IAM (amministratori delle applicazioni) dell' AWS organizzazione di utilizzare kms: Decrypt utilizzando IAM Identity Center e Identity Store. Per limitare queste dichiarazioni politiche a specifiche applicazioni AWS gestite, account o istanze IAM Identity Center, consulta. [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md)
Puoi limitare l'accesso a specifici amministratori di applicazioni sostituendoli ` *` con principi IAM specifici. Per proteggerti dalle modifiche ai nomi dei ruoli IAM quando vengono ricreati i set di autorizzazioni, utilizza l'approccio descritto in. [Esempio di politica di fiducia personalizzata](referencingpermissionsets.md#custom-trust-policy-example) Per ulteriori informazioni, consulta [Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
Dichiarazioni politiche chiave di KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
Utilizza il seguente modello di dichiarazione delle politiche IAM [Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) per consentire agli amministratori delle applicazioni AWS gestite di utilizzare la chiave KMS di un account membro.
+ Sostituisci l'ARN di esempio nell'elemento Resource con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, vedere. [Dove trovare gli identificatori richiesti](identity-center-customer-managed-keys.md#find-the-required-identifiers)
+ Alcune applicazioni AWS gestite richiedono la configurazione delle autorizzazioni per il servizio IAM Identity Center. APIs Prima di configurare una chiave gestita dal cliente in IAM Identity Center, verifica che queste autorizzazioni consentano anche l'uso della chiave KMS. Per requisiti specifici di autorizzazione delle chiavi KMS, consulta la documentazione per ogni applicazione AWS gestita che hai distribuito.
Dichiarazioni politiche IAM richieste per gli amministratori delle AWS applicazioni gestite:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Dichiarazione chiave KMS di base per l'uso di AWS Control Tower
Utilizza i seguenti modelli di istruzioni chiave KMS [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) per consentire agli amministratori di AWS Control Tower di utilizzare la chiave KMS.
+ Nell'elemento Principal, specifica i principi IAM utilizzati per l'accesso al servizio IAM Identity Center. APIs Per ulteriori informazioni sui principi IAM, consulta [Specificing a principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) nella *IAM* User Guide.
+ Queste dichiarazioni politiche consentono agli amministratori di AWS Control Tower di utilizzare la chiave KMS tramite qualsiasi istanza di IAM Identity Center. Tuttavia, AWS Control Tower limita l'accesso all'istanza organizzativa di IAM Identity Center nella stessa AWS organizzazione. A causa di questa restrizione, non vi è alcun vantaggio pratico nel limitare ulteriormente la chiave KMS a un'istanza specifica di IAM Identity Center, come descritto in. [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md)
+ Per proteggerti dalle modifiche ai nomi dei ruoli IAM quando vengono ricreati i set di autorizzazioni, utilizza l'approccio descritto in. [Esempio di politica di fiducia personalizzata](referencingpermissionsets.md#custom-trust-policy-example)
Dichiarazione della policy della chiave KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
AWS Control Tower non supporta l'amministrazione delegata e, pertanto, non è necessario configurare una policy IAM per i suoi amministratori.
**Importante**
La precedente dichiarazione sulla politica riguarda le operazioni AWS Control Tower gestite dai servizi, come la registrazione automatica degli account, dove assume il ruolo. AWS Control Tower `AWSControlTowerAdmin` Tuttavia, per le operazioni avviate dal cliente, come il provisioning degli account tramite Account Factory o le chiamate AWS Control Tower APIs dirette, AWS Control Tower utilizza [sessioni di accesso inoltrato (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) e opera secondo il ruolo IAM del cliente. Ciò significa che il ruolo IAM utilizzato per avviare queste operazioni necessita anche delle `kms:Decrypt` autorizzazioni sulla chiave KMS gestita dal cliente.
Aggiungi le seguenti dichiarazioni politiche chiave di KMS insieme alle dichiarazioni precedenti. `AWSControlTowerAdmin` Sostituisci *MyControlTowerRole* con l'ARN del ruolo IAM con cui utilizzi per interagire AWS Control Tower, ad esempio un ruolo del set di autorizzazioni IAM Identity Center (ad esempio,`AWSReservedSSO_PermissionSetName_*`), un ruolo IAM personalizzato per l'automazione o qualsiasi altro ruolo utilizzato per chiamare AWS Control Tower o. AWS Service Catalog APIs
Dichiarazione politica chiave di KMS per le operazioni avviate dal cliente AWS Control Tower :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityCenterForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityStoreForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
## Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso di IAM Identity Center per le istanze Amazon EC2
Utilizza il seguente modello di dichiarazione sulla politica delle chiavi KMS [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) per consentire agli utenti di Single Sign-On (SSO) per le istanze Amazon EC2 di utilizzare la chiave KMS tra gli account.
+ Specificare i principali IAM utilizzati per l'accesso a IAM Identity Center nel campo Principal. Per ulteriori informazioni sui principi IAM, consulta [Specificing a principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) nella *IAM* User Guide.
+ Questa dichiarazione politica consente a qualsiasi istanza IAM Identity Center di utilizzare la chiave KMS. Per limitare l'accesso a una specifica istanza di IAM Identity Center, consulta. [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md)
+ Per proteggerti dalle modifiche ai nomi dei ruoli IAM quando vengono ricreati i set di autorizzazioni, utilizza l'approccio descritto nell'esempio della politica di fiducia personalizzata.
Dichiarazione della policy della chiave KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Utilizza il seguente modello di dichiarazione di policy IAM [Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) per consentire alle istanze da SSO a EC2 di utilizzare la chiave KMS.
Allega la dichiarazione della policy IAM al set di autorizzazioni esistente in IAM Identity Center che stai utilizzando per consentire l'accesso SSO alle istanze Amazon EC2. Per esempi di policy IAM, consulta le [connessioni Remote Desktop Protocol](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-iam-policy-examples) nella *AWS Systems Manager User Guide*.
+ Sostituisci l'ARN di esempio nell'elemento Resource con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, vedere. [Dove trovare gli identificatori richiesti](identity-center-customer-managed-keys.md#find-the-required-identifiers)
Policy IAM relativa al set di autorizzazioni:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Chiave KMS di base e dichiarazioni sulle policy IAM per l'uso di flussi di lavoro personalizzati con IAM Identity Center
Utilizza i seguenti modelli di dichiarazioni politiche chiave KMS [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) per consentire ai flussi di lavoro personalizzati, come le applicazioni gestite dai clienti, nell'account di AWS Organizations gestione o nell'account di amministrazione delegata di utilizzare la chiave KMS. Tieni presente che la federazione SAML nelle applicazioni gestite dai clienti non richiede le autorizzazioni relative alle chiavi KMS.
+ Nell'elemento Principal, specifica i principi IAM utilizzati per accedere al servizio IAM Identity Center. APIs Per ulteriori informazioni sui principi IAM, consulta [Specificing a principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) nella *IAM* User Guide.
+ Queste dichiarazioni politiche consentono al flusso di lavoro di utilizzare la chiave KMS tramite qualsiasi istanza di IAM Identity Center. Per limitare l'accesso a una specifica istanza di IAM Identity Center, consulta. [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md)
+ Per proteggerti dalle modifiche ai nomi dei ruoli IAM quando vengono ricreati i set di autorizzazioni, utilizza l'approccio descritto in. [Esempio di politica di fiducia personalizzata](referencingpermissionsets.md#custom-trust-policy-example)
Dichiarazione della policy della chiave KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Utilizza il seguente modello di dichiarazione delle politiche IAM [Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) per consentire al principale IAM associato al flusso di lavoro personalizzato di utilizzare la chiave KMS tra gli account. Aggiungi la dichiarazione di policy IAM all'IAM principal.
+ Sostituisci l'ARN di esempio nell'elemento Resource con la tua chiave KMS ARN effettiva. Per informazioni su come trovare i valori degli identificatori di riferimento, vedere. [Dove trovare gli identificatori richiesti](identity-center-customer-managed-keys.md#find-the-required-identifiers)
Dichiarazione sulla politica IAM (richiesta solo per l'utilizzo su più account):
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Esempi di dichiarazioni politiche chiave di KMS per casi d'uso comuni
### IAM Identity Center con amministratori delegati e applicazioni gestite AWS
Questa sezione contiene esempi di dichiarazioni politiche chiave KMS che è possibile utilizzare per un'istanza di IAM Identity Center con amministratori delegati e applicazioni gestite. AWS
**Importante**
Le dichiarazioni politiche chiave del KMS presuppongono che l'istanza di IAM Identity Center non venga utilizzata in altri casi d'uso che richiedono le autorizzazioni della chiave KMS. [Per confermare, puoi esaminare tutti i casi d'uso.](identity-center-customer-managed-keys.md#identify-use-cases) Inoltre, per confermare se le applicazioni AWS gestite richiedono una configurazione aggiuntiva, consulta [Configurazione aggiuntiva in alcune applicazioni AWS gestite](identity-center-customer-managed-keys.md#additional-config-in-some-aws-apps)
Copia le dichiarazioni chiave sulla politica KMS sotto la tabella e aggiungile alla politica chiave del KMS. Questo esempio utilizza i seguenti valori di esempio:
+ `111122223333`- ID account dell'istanza IAM Identity Center
+ `444455556666`- ID dell'account di amministrazione delegato
+ `o-a1b2c3d4e5`- ID AWS dell'organizzazione
+ ` arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*`- Un pattern jolly del ruolo IAM di un amministratore di IAM Identity Center fornito dal set di autorizzazioni. *Admin* Tale ruolo contiene il codice regionale della regione principale (us-east-1 in questo esempio).
+ ` arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*`- Un pattern jolly del ruolo IAM di un amministratore delegato di IAM Identity Center fornito dal set di autorizzazioni. *DelegatedAdmin* Tale ruolo contiene il codice regionale della regione principale (us-east-1 in questo esempio).
Se il ruolo IAM non è stato generato da un set di autorizzazioni, il ruolo IAM avrà l'aspetto di un ruolo normale, ad esempio. `arn:aws:iam::111122223333:role/idcadmin`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
# Dichiarazioni politiche chiave di Advanced KMS
Utilizza le dichiarazioni politiche chiave avanzate per implementare controlli di accesso più granulari per la chiave KMS gestita dal cliente. Queste politiche si basano sull'aggiunta di condizioni [Dichiarazioni sulla chiave KMS di base e sulle politiche IAM](baseline-KMS-key-policy.md) di contesto di crittografia e restrizioni specifiche del servizio. Prima di decidere se utilizzare le dichiarazioni chiave avanzate sulle politiche KMS, assicurati di esaminare le considerazioni pertinenti.
## Utilizzo del contesto di crittografia per limitare l'accesso
Puoi limitare l'utilizzo della chiave KMS a una specifica istanza di IAM Identity Center specificando una condizione del contesto di crittografia nelle istruzioni chiave delle policy. Le dichiarazioni politiche chiave di base includono già questo contesto con un valore generico. Sostituisci il carattere jolly «\$1» con l'ARN e l'ARN di Identity Store di un'istanza di Identity Center specifici per assicurarti che la chiave funzioni solo con l'istanza desiderata. Puoi anche aggiungere le stesse condizioni di contesto di crittografia alla policy IAM configurata per l'uso della chiave KMS su più account.
Centro identità
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Archivio identità
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
Se hai bisogno di aiuto per trovare questi identificatori, consulta. [Dove trovare gli identificatori richiesti](identity-center-customer-managed-keys.md#find-the-required-identifiers)
**Nota**
Puoi utilizzare una chiave KMS gestita dal cliente solo con un'istanza organizzativa di IAM Identity Center. La chiave gestita dal cliente deve trovarsi nell'account di gestione dell' AWS organizzazione, il che aiuta a garantire che venga utilizzata con una singola istanza di IAM Identity Center. Tuttavia, il meccanismo del contesto di crittografia fornisce una protezione tecnica indipendente per l'utilizzo di una singola istanza. È inoltre possibile utilizzare la chiave di `aws:SourceArn` condizione nelle dichiarazioni politiche chiave del KMS destinate ai principali servizi Identity Center e Identity Store.
### Considerazioni sull'implementazione delle condizioni del contesto di crittografia
Prima di implementare le condizioni del contesto di crittografia, esamina questi requisiti:
+ **DescribeKey azione.** Il contesto di crittografia non può essere applicato all'azione «kms:DescribeKey», che può essere utilizzata dagli amministratori di IAM Identity Center. Quando configuri la policy delle chiavi KMS, escludi il contesto di crittografia per questa azione specifica per garantire il corretto funzionamento dell'istanza di IAM Identity Center.
+ **Configurazione di una nuova istanza.** Se stai abilitando una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente, vedi[Considerazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate](considerations-for-customer-managed-kms-keys-advanced.md).
+ **Modifiche alla fonte dell'identità.** Quando si modifica l'origine dell'identità da o verso Active Directory, il contesto di crittografia richiede un'attenzione speciale. Per informazioni, consulta [Considerazioni sulla modifica dell'origine dell'identità](manage-your-identity-source-considerations.md).
## Modelli di policy
Scegli tra questi modelli di policy avanzati in base ai tuoi requisiti di sicurezza. Bilancia i controlli granulari degli accessi con il sovraccarico amministrativo che introducono.
Argomenti trattati qui:
+ [Dichiarazioni sulle policy KMS per l'uso in sola lettura di un'istanza specifica di IAM Identity Center](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). Questa sezione illustra l'uso del contesto di crittografia per l'accesso in sola lettura a IAM Identity Center.
+ [Dichiarazioni politiche chiave raffinate di KMS per l'uso delle applicazioni gestite AWS](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). Questa sezione illustra come perfezionare le politiche delle chiavi KMS per le applicazioni AWS gestite utilizzando il contesto di crittografia e le informazioni sull'applicazione, come il principale del servizio dell'applicazione, l'ARN dell'applicazione e l'ID dell'account. AWS
## Dichiarazioni sulle policy KMS per l'uso in sola lettura di un'istanza specifica di IAM Identity Center
Questa policy consente [ai revisori di sicurezza](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) e ad altro personale che necessita solo dell'accesso in lettura a IAM Identity Center di utilizzare la chiave KMS.
Per utilizzare questa politica:
1. Sostituisci l'esempio di amministratore IAM principals di sola lettura con i tuoi amministratori IAM principals effettivi
1. Sostituisci l'ARN dell'istanza IAM Identity Center di esempio con l'ARN dell'istanza attuale
1. Sostituisci l'esempio di Identity Store ARN con l'attuale ARN di Identity Store
1. Se si utilizza l'amministrazione [delegata, vedere](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) [Passaggio 4: configura le politiche IAM per l'uso della chiave KMS su più account](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)
Se hai bisogno di aiuto per trovare i valori di questi identificatori, consulta. [Dove trovare gli identificatori richiesti](identity-center-customer-managed-keys.md#find-the-required-identifiers)
Dopo aver aggiornato il modello con i tuoi valori, torna [Fase 2: Preparare le dichiarazioni politiche chiave del KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) a preparare le dichiarazioni politiche chiave del KMS aggiuntive, se necessario.
L'azione kms: Decrypt da sola non limita l'accesso alle operazioni di sola lettura. La policy IAM deve imporre l'accesso in sola lettura al servizio IAM Identity Center. APIs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## Dichiarazioni politiche chiave raffinate di KMS per l'uso delle applicazioni gestite AWS
Questi modelli di policy forniscono un controllo più granulare su quali applicazioni AWS gestite possono utilizzare la chiave KMS.
**Nota**
Alcune applicazioni AWS gestite non possono essere utilizzate con IAM Identity Center configurato con una chiave KMS gestita dal cliente. Scopri [le applicazioni AWS gestite che puoi utilizzare con IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
[Dichiarazioni sulla chiave KMS di base e sulle policy IAM per l'uso delle applicazioni gestite AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)Consenti AWS a qualsiasi applicazione gestita di qualsiasi account della stessa AWS organizzazione di utilizzare la chiave KMS. Utilizza queste politiche raffinate per limitare l'accesso in base a:
+ Responsabile del servizio applicativo
+ Istanza dell'applicazione ARNs
+ AWS account IDs
+ Contesto di crittografia per istanze IAM Identity Center specifiche
**Nota**
Un service principal è un identificatore univoco per un AWS servizio, in genere formattato come servicename.amazonaws.com (ad esempio, elasticmapreduce.amazonaws.com per Amazon EMR).
### Limita per account
Questo modello di dichiarazione delle politiche chiave KMS consente AWS a un'applicazione gestita in AWS account specifici di utilizzare la chiave KMS utilizzando un'istanza specifica di IAM Identity Center.
Per utilizzare questa politica:
1. Sostituisci il service principal di esempio con il service principal effettivo dell'applicazione
1. Sostituisci l'account di esempio IDs con l'account effettivo IDs in cui vengono AWS distribuite le applicazioni gestite
1. Sostituisci l'esempio di Identity Store ARN con l'attuale ARN di Identity Store
1. Sostituisci l'ARN dell'istanza IAM Identity Center di esempio con l'ARN dell'istanza attuale
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### Limita per istanza dell'applicazione
Questo modello di dichiarazione di policy chiave KMS consente a una specifica istanza di applicazione AWS gestita di utilizzare la chiave KMS utilizzando un'istanza specifica di IAM Identity Center.
Per utilizzare questa policy:
1. Sostituisci il service principal di esempio con il service principal effettivo dell'applicazione
1. Sostituisci l'ARN dell'applicazione di esempio con l'ARN dell'istanza dell'applicazione effettiva
1. Sostituisci l'esempio di Identity Store ARN con l'attuale ARN di Identity Store
1. Sostituisci l'ARN dell'istanza IAM Identity Center di esempio con l'ARN dell'istanza attuale
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# Considerazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate
Quando implementi chiavi KMS gestite dal cliente con IAM Identity Center, considera questi fattori che influiscono sulla configurazione, sulla sicurezza e sulla manutenzione continua della configurazione di crittografia.
## Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate
Quando decidi se rendere più specifico l'utilizzo delle autorizzazioni chiave KMS[Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md), considera il sovraccarico di gestione e le esigenze di sicurezza della tua organizzazione. Dichiarazioni politiche più specifiche forniscono un controllo più preciso su chi può utilizzare la chiave e per quali scopi; tuttavia, richiedono una manutenzione continua man mano che la configurazione di IAM Identity Center si evolve. Ad esempio, se limiti l'uso della chiave KMS a specifiche implementazioni di applicazioni AWS gestite, dovrai aggiornare la policy chiave ogni volta che l'organizzazione desidera distribuire o annullare la distribuzione di un'applicazione. Policy meno restrittive riducono l'onere amministrativo, ma possono concedere autorizzazioni più ampie di quelle necessarie per i requisiti di sicurezza.
## Considerazioni sull'abilitazione di una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente
Le considerazioni riportate qui si applicano se si utilizza il contesto di crittografia descritto in [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md) per limitare l'uso della chiave KMS a una specifica istanza di IAM Identity Center.
Quando si abilita una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente, IAM Identity Center e Identity Store ARNs sono disponibili solo dopo la configurazione. Sono disponibili le seguenti opzioni:
+ Utilizzate temporaneamente modelli ARN generici, quindi sostituiteli con completi ARNs dopo l'attivazione dell'istanza. Ricordatevi di passare da un StringLike operatore StringEquals all'altro secondo necessità.
+ Per IAM Identity Center SPN: «arn: \$1 \$1Partition\$1 :sso: ::instance/\$1».
+ Per Identity Store SPN: «arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :identitystore/\$1».
+ Usa temporaneamente «Purpose:key\$1configuration» nell'ARN. Funziona solo per l'abilitazione delle istanze e deve essere sostituita con l'ARN effettivo affinché l'istanza IAM Identity Center funzioni normalmente. Il vantaggio di questo approccio è che non puoi dimenticare di sostituirlo dopo aver abilitato l'istanza.
+ Per IAM Identity Center SPN, usa: «arn: \$1 \$1Partition\$1 :sso: :instance/purpose:key\$1configuration»
+ Per Identity Store SPN, usa: «arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :identitystore/purpose:key\$1configuration»
**Importante**
Non applicare questa configurazione a una chiave KMS già in uso in un'istanza IAM Identity Center esistente, poiché potrebbe interromperne le normali operazioni.
+ Ometti la condizione del contesto di crittografia dalla politica della chiave KMS fino a quando l'istanza non è abilitata.