Crittografia a riposo - AWS IAM Identity Center
Contesto di crittografia IAM Identity CenterUtilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal clienteMonitoraggio delle chiavi di crittografia per IAM Identity CenterAWS archiviazione, crittografia ed eliminazione degli attributi di identità di IAM Identity Center da parte delle applicazioni gestite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia a riposo

Nota

Le chiavi KMS gestite dal cliente per AWS IAM Identity Center sono attualmente disponibili in alcune AWS regioni.

IAM Identity Center fornisce la crittografia per proteggere i dati archiviati dei clienti utilizzando i seguenti tipi di chiavi:

  • Chiavi di proprietà di AWS (tipo di chiave predefinito): IAM Identity Center utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati. Non puoi visualizzarne, gestirne, verificarne l'utilizzo o utilizzare le chiavi AWS di proprietà per altri scopi. IAM Identity Center gestisce interamente la gestione delle chiavi per proteggere i tuoi dati, senza che tu debba intraprendere alcuna azione. Per ulteriori informazioni, consulta la pagina chiavi di proprietàAWS nella Guida per gli sviluppatori di AWS Key Management Service .

  • Chiavi gestite dal cliente: nelle istanze organizzative di IAM Identity Center, puoi scegliere una chiave simmetrica gestita dal cliente per la crittografia del resto dei dati relativi all'identità della forza lavoro, come gli attributi di utenti e gruppi. Sei tu a creare, possedere e gestire queste chiavi di crittografia. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:

    • Stabilire e mantenere politiche chiave per limitare l'accesso alla chiave solo ai responsabili IAM che ne hanno bisogno, come IAM Identity Center e le applicazioni AWS gestite nello stesso AWS Organizations e ai relativi amministratori.

    • Stabilire e mantenere le politiche IAM per l'accesso alla chiave, incluso l'accesso tra più account

    • Abilitare e disabilitare le policy delle chiavi

    • Ruotare i materiali crittografici delle chiavi

    • Verifica dell'accesso ai dati che richiedono l'accesso tramite chiave

    • Aggiungere tag

    • Creare alias delle chiavi

    • Pianificare l’eliminazione delle chiavi

Per scoprire come implementare una chiave KMS gestita dal cliente in IAM Identity Center, consulta. Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta la chiave gestita dal cliente nella Guida per gli AWS Key Management Service sviluppatori.

Nota

IAM Identity Center abilita automaticamente la crittografia dei dati AWS inattivi utilizzando chiavi KMS di proprietà per proteggere gratuitamente i dati dei clienti. Tuttavia, quando si utilizza una chiave gestita dal cliente, vengono applicati dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i AWS Key Management Service prezzi.

Considerazioni sull'implementazione delle chiavi gestite dal cliente:

  • Eccezione per le sessioni esistenti: la crittografia inattiva con una chiave gestita dal cliente si applica anche ai dati sull'identità della forza lavoro, come gli attributi di utenti e gruppi, archiviati temporaneamente nelle sessioni utente. Quando si configura una chiave gestita dal cliente in IAM Identity Center, la chiave gestita dal cliente viene utilizzata per crittografare i dati sull'identità della forza lavoro nelle nuove sessioni. Nelle sessioni iniziate prima del rilascio di questa funzionalità, i dati relativi all'identità della forza lavoro rimangono crittografati per impostazione predefinita Chiavi di proprietà di AWS fino alla scadenza della sessione (massimo 90 giorni) o al termine, dopodiché questi dati vengono eliminati automaticamente.

  • Chiavi dedicate: consigliamo di creare una nuova chiave KMS dedicata gestita dal cliente per ogni istanza di IAM Identity Center anziché riutilizzare una chiave esistente. Questo approccio offre una separazione più chiara dei compiti, semplifica la gestione del controllo degli accessi e rende più semplici i controlli di sicurezza. Disporre di una chiave dedicata riduce anche i rischi limitando l'impatto delle modifiche chiave a una singola istanza di IAM Identity Center.

Nota

IAM Identity Center utilizza la crittografia a busta per crittografare i dati di identità della forza lavoro. La chiave KMS svolge il ruolo di chiave di avvolgimento che crittografa la chiave dati effettivamente utilizzata per crittografare i dati.

Per ulteriori informazioni su AWS KMS, consulta Cos'è il servizio di gestione delle chiavi? AWS

Contesto di crittografia IAM Identity Center

Un contesto di crittografia è un insieme opzionale di coppie chiave-valore non segrete che contengono informazioni contestuali aggiuntive sui dati. AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia. Consulta la KMS Developer Guide per ulteriori informazioni sul contesto di crittografia.

IAM Identity Center utilizza chiavi contestuali di crittografia tra le seguenti: aws:sso:instance-arn, aws:identitystore:identitystore-arn e. tenant-key-id Ad esempio, il AWS KMS seguente contesto di crittografia può apparire nelle operazioni API richiamate dall'API IAM Identity Center. 


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

Il seguente contesto di crittografia può apparire nelle operazioni AWS KMS API richiamate dall'API Identity Store. 


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente

È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l'accesso alla chiave simmetrica gestita dal cliente. Alcuni dei modelli di policy chiave Dichiarazioni politiche chiave di Advanced KMS inclusi includono tali condizioni per garantire che la chiave venga utilizzata solo con un'istanza specifica di IAM Identity Center.

Monitoraggio delle chiavi di crittografia per IAM Identity Center

Quando utilizzi una chiave KMS gestita dal cliente con la tua istanza IAM Identity Center, puoi utilizzare AWS CloudTrailo Amazon CloudWatch Logs per tenere traccia delle richieste inviate da IAM Identity Center. AWS KMS Le operazioni dell'API KMS in cui sono elencate le chiamate di IAM Identity Center. Fase 2: Preparare le dichiarazioni politiche chiave del KMS CloudTrail gli eventi per queste operazioni API contengono il contesto di crittografia, che consente di monitorare le operazioni AWS KMS API richiamate dall'istanza di IAM Identity Center per accedere ai dati crittografati dalla chiave gestita dal cliente.

Esempio di contesto di crittografia in un CloudTrail caso di operazione dell' AWS KMS API: 


"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }

AWS archiviazione, crittografia ed eliminazione degli attributi di identità di IAM Identity Center da parte delle applicazioni gestite

Alcune applicazioni AWS gestite con cui esegui la distribuzione AWS IAM Identity Center, come AWS Systems Manager e Amazon CodeCatalyst, memorizzano attributi di utenti e gruppi specifici di IAM Identity Center nel proprio data store. La crittografia inattiva con una chiave KMS gestita dal cliente in IAM Identity Center non si estende agli attributi di utenti e gruppi di IAM Identity Center archiviati nelle applicazioni AWS gestite. AWS le applicazioni gestite supportano diversi metodi di crittografia per i dati che archiviano. Infine, quando elimini gli attributi di utenti e gruppi all'interno di IAM Identity Center, queste applicazioni AWS gestite possono continuare a archiviare queste informazioni anche dopo l'eliminazione in IAM Identity Center. Fai riferimento alla guida per l'utente delle tue applicazioni AWS gestite per la crittografia e la sicurezza dei dati archiviati all'interno delle applicazioni.