Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center - AWS IAM Identity Center
Fase 1: Identifica i casi d'uso per la tua organizzazioneFase 2: Preparare le dichiarazioni politiche chiave del KMSFase 3: Creare una chiave KMSFase 4: Configurazione delle politiche IAMPassaggio 5: configura la chiave KMS in IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center

Le chiavi gestite dal cliente sono AWS chiavi del servizio di gestione delle chiavi che puoi creare, possedere e gestire. Per implementare una chiave KMS gestita dal cliente per la crittografia inattiva in AWS IAM Identity Center, segui questi passaggi:

Importante

Alcune applicazioni AWS gestite non possono essere utilizzate con AWS IAM Identity Center configurato con una chiave KMS gestita dal cliente. Per informazioni, consulta AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center.

  1. Fase 1: Identifica i casi d'uso per la tua organizzazione- Per definire le autorizzazioni corrette per l'uso della chiave KMS è necessario identificare i casi d'uso pertinenti all'interno dell'organizzazione. Le autorizzazioni chiave KMS consistono in dichiarazioni politiche chiave KMS e politiche basate sull'identità che interagiscono per consentire ai responsabili IAM appropriati di utilizzare la chiave KMS per i loro casi d'uso specifici.

  2. Fase 2: Preparare le dichiarazioni politiche chiave del KMS- Scegliete i modelli di policy chiave KMS pertinenti in base ai casi d'uso identificati nella Fase 1 e inserite gli identificatori richiesti e i nomi principali IAM. Inizia con le dichiarazioni politiche chiave del KMS di base e, se le tue politiche di sicurezza lo richiedono, perfezionale come descritto nelle dichiarazioni chiave di Advanced KMS.

  3. Fase 3: Creare una chiave KMS gestita dal cliente- Crea una chiave KMS in AWS KMS che soddisfi i requisiti di IAM Identity Center e aggiungi le dichiarazioni politiche chiave del KMS preparate nella fase 2 alla politica chiave KMS.

  4. Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account- Scegli modelli di policy IAM pertinenti in base ai casi d'uso identificati nella Fase 1 e preparali per l'uso compilando l'ARN chiave. Quindi, consenti ai responsabili IAM per ogni caso d'uso specifico di utilizzare la chiave KMS per tutti gli account aggiungendo le dichiarazioni delle politiche IAM preparate alle politiche IAM dei principali.

  5. Passaggio 5: configura la chiave KMS in IAM Identity Center- Abilita la chiave KMS gestita dal cliente nella tua istanza IAM Identity Center di utilizzarla per la crittografia a riposo.

    Importante

    Prima di procedere con questo passaggio, convalida accuratamente tutte le autorizzazioni delle chiavi KMS configurate nei passaggi precedenti. Una volta completata, IAM Identity Center inizierà a utilizzare la chiave KMS per la crittografia a riposo.

Fase 1: Identifica i casi d'uso per la tua organizzazione

Prima di creare e configurare la chiave KMS gestita dal cliente, identifica i casi d'uso e prepara le autorizzazioni necessarie per la chiave KMS. Consulta la AWS KMS Developer Guide per ulteriori informazioni sulla politica chiave KMS.

I presidi IAM che richiamano il servizio APIs IAM Identity Center richiedono autorizzazioni. Ad esempio, un amministratore delegato può essere autorizzato a utilizzarle APIs tramite una politica di set di autorizzazioni. Quando IAM Identity Center è configurato con una chiave gestita dal cliente, i responsabili IAM devono inoltre disporre delle autorizzazioni per utilizzare l'API KMS tramite il servizio IAM Identity Center. APIs Queste autorizzazioni dell'API KMS vengono definite in due punti: nella policy chiave KMS e nelle politiche IAM associate ai principi IAM.

Le autorizzazioni chiave KMS sono costituite da:

  1. Dichiarazioni sulla politica chiave KMS specificate nella chiave KMS durante la sua creazione in. Fase 3: Creare una chiave KMS gestita dal cliente

  2. Dichiarazioni sulle politiche IAM per i principi IAM che specifichi Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account dopo aver creato la chiave KMS.

La tabella seguente specifica i casi d'uso e i principi IAM pertinenti che richiedono le autorizzazioni per utilizzare la chiave KMS.

Caso d'uso Principi IAM che necessitano di autorizzazioni per utilizzare la chiave KMS Obbligatorio/facoltativo
Utilizzo di IAM Identity AWS Center

  • Amministratori di AWS IAM Identity Center

  • Servizio IAM Identity Center e servizio Identity Store associato

 Richiesto
Utilizzo di applicazioni AWS gestite con IAM Identity Center

  • Amministratori di applicazioni AWS gestite

  • AWS applicazioni gestite

  • Ruoli di servizio che le applicazioni AWS gestite assumono per chiamare il servizio IAM Identity Center APIs

 Facoltativo
Utilizzo AWS Control Tower sull'istanza AWS IAM Identity Center che ha abilitato

  • AWS Control Tower amministratori

 Facoltativo
Istanze da SSO ad Amazon EC2 Windows con AWS IAM Identity Center

  • Responsabili IAM autorizzati a eseguire SSO su istanze Amazon Windows EC2

Facoltativo
Qualsiasi altro caso d'uso che effettui chiamate al servizio IAM Identity Center APIs con presidi IAM, ad esempio applicazioni gestite dai clienti, flussi di lavoro per la fornitura di set di autorizzazioni, flussi di lavoro o funzioni AWS Lambda

  • Principi IAM utilizzati da questi flussi di lavoro per chiamare il servizio IAM Identity Center APIs

 Facoltativo
Nota

I principali IAM elencati nella tabella richiedono le autorizzazioni dell'API AWS KMS. Tuttavia, per proteggere i dati di utenti e gruppi in IAM Identity Center, solo i servizi IAM Identity Center e Identity Store chiamano direttamente l' AWS API KMS.

Fase 2: Preparare le dichiarazioni politiche chiave del KMS

Dopo aver identificato i casi d'uso pertinenti alla propria organizzazione, è possibile preparare le dichiarazioni politiche chiave del KMS corrispondenti.

  1. Scegliete le dichiarazioni politiche chiave del KMS che corrispondono ai casi d'uso per la vostra organizzazione. Inizia con i modelli di policy di base. Se hai bisogno di politiche più specifiche in base ai tuoi requisiti di sicurezza, puoi modificare le dichiarazioni delle politiche utilizzando gli esempi riportati inDichiarazioni politiche chiave di Advanced KMS. Per indicazioni su questa decisione, vedereConsiderazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate. Inoltre, ogni sezione di base Dichiarazioni sulla chiave KMS di base e sulle politiche IAM include considerazioni pertinenti.

  2. Copia le politiche pertinenti in un editor e inserisci gli identificatori richiesti e i nomi principali IAM nelle dichiarazioni politiche chiave del KMS. Per informazioni su come trovare i valori degli identificatori di riferimento, consulta. Trova gli identificatori richiesti

Di seguito sono riportati i modelli di policy di base per ogni caso d'uso. Per utilizzare una chiave KMS è necessario solo il primo set di autorizzazioni per AWS IAM Identity Center. Ti consigliamo di consultare le sottosezioni applicabili per ulteriori informazioni specifiche sui casi d'uso.

Importante

Fai attenzione quando modifichi le politiche chiave KMS per le chiavi già utilizzate da IAM Identity Center. Sebbene IAM Identity Center convalidi le autorizzazioni di crittografia e decrittografia quando configuri inizialmente una chiave KMS, non può verificare le successive modifiche alle politiche. La rimozione inavvertitamente delle autorizzazioni necessarie potrebbe interrompere il normale funzionamento dell'IAM Identity Center. Per indicazioni sulla risoluzione degli errori comuni relativi alle chiavi gestite dai clienti in IAM Identity Center, consulta. Risolvi i problemi relativi alle chiavi gestite dal cliente in AWS IAM Identity Center

Nota

IAM Identity Center e l'Identity Store associato richiedono autorizzazioni a livello di servizio per utilizzare la chiave KMS gestita dal cliente. Questo requisito si estende alle applicazioni AWS gestite che richiamano il servizio IAM Identity Center utilizzando le credenziali di servizio APIs . Per altri casi d'uso in cui il servizio IAM Identity Center APIs viene richiamato con sessioni di accesso diretto, solo il principale IAM iniziante (ad esempio un amministratore) necessita delle autorizzazioni relative alla chiave KMS. In particolare, gli utenti finali che utilizzano il portale di AWS accesso e le applicazioni AWS gestite non necessitano di autorizzazioni dirette con chiave KMS, poiché vengono concesse tramite i rispettivi servizi.

Fase 3: Creare una chiave KMS gestita dal cliente

Puoi creare una chiave gestita dal cliente utilizzando la console di AWS gestione o il KMS. AWS APIs Durante la creazione della chiave, aggiungi le dichiarazioni chiave sulla politica KMS che hai preparato nel passaggio 2 alla politica chiave del KMS. Per istruzioni dettagliate, incluse indicazioni sulla politica delle chiavi KMS predefinita, consulta la AWS Key Management Service Developer Guide.

La chiave deve soddisfare i seguenti requisiti:

  • La chiave KMS deve trovarsi nella stessa AWS regione dell'istanza IAM Identity Center

  • Puoi scegliere una chiave multiregionale o una chiave a regione singola. Per mantenere la compatibilità futura con i tuoi futuri casi d'uso in più AWS regioni, ti consigliamo di scegliere una chiave multiregionale

  • La chiave KMS deve essere una chiave simmetrica configurata per l'utilizzo di «crittografia e decrittografia»

  • La chiave KMS deve trovarsi nello stesso account di AWS Organizations gestione dell'istanza organizzativa di IAM Identity Center

Fase 4: Configurare le policy IAM per l'uso della chiave KMS su più account

Qualsiasi responsabile IAM che utilizzi il servizio IAM Identity Center APIs da un altro AWS account, ad esempio gli amministratori delegati di IAM Identity Center, necessita inoltre di una dichiarazione di policy IAM che consenta l'uso della chiave KMS attraverso questi account. APIs

Per ogni caso d'uso identificato nella fase 1:

  1. Individua i modelli di policy IAM pertinenti in Baseline KMS key e IAM policy statements.

  2. Copia i modelli in un editor e inserisci la chiave ARN, che è ora disponibile dopo la creazione della chiave KMS nel passaggio 3. Per informazioni su come trovare il valore ARN chiave, vedere. Trova gli identificatori richiesti

  3. Nella AWS Management Console, individua la policy IAM del principale IAM associata allo use case. La posizione di questa policy varia a seconda del caso d'uso e del modo in cui viene concesso l'accesso.

    • Per l'accesso concesso direttamente in IAM, puoi individuare i principali IAM, come i ruoli IAM, nella console IAM.

    • Per l'accesso concesso tramite IAM Identity Center, puoi individuare il set di autorizzazioni pertinente nella console IAM Identity Center.

  4. Aggiungi le istruzioni di policy IAM specifiche del caso d'uso al ruolo IAM e salva la modifica.

Nota

Le politiche IAM descritte qui sono politiche basate sull'identità. Sebbene tali policy possano essere associate a utenti, gruppi e ruoli IAM, consigliamo l'uso di ruoli IAM quando possibile. Consulta la guida per l'utente IAM per ulteriori informazioni sui ruoli IAM rispetto agli utenti IAM.

Configurazione aggiuntiva in alcune applicazioni AWS gestite

Alcune applicazioni AWS gestite richiedono la configurazione di un ruolo di servizio per consentire alle applicazioni di utilizzare il servizio IAM Identity Center APIs. Se la tua organizzazione utilizza applicazioni AWS gestite con IAM Identity Center, completa i seguenti passaggi per ciascuna applicazione distribuita:

  1. Consulta la guida per l'utente dell'applicazione per confermare se le autorizzazioni sono state aggiornate per includere le autorizzazioni relative alla chiave KMS per l'uso dell'applicazione con IAM Identity Center.

  2. In tal caso, aggiorna le autorizzazioni come indicato nella guida per l'utente dell'applicazione per evitare interruzioni delle operazioni dell'applicazione.

Nota

Se non sei sicuro che un'applicazione AWS gestita utilizzi queste autorizzazioni, ti consigliamo di consultare i manuali utente di tutte le applicazioni gestite distribuite. AWS È necessario eseguire questa configurazione solo una volta per ogni applicazione che richiede la configurazione.

Passaggio 5: configura la chiave KMS in IAM Identity Center

Importante

Prima di procedere con questo passaggio:

  • Verifica che le tue applicazioni AWS gestite siano compatibili con le chiavi KMS gestite dal cliente. Per un elenco di applicazioni compatibili, consulta Applicazioni AWS gestite che puoi utilizzare con IAM Identity Center. Se hai applicazioni incompatibili, non procedere.

  • Configura le autorizzazioni necessarie per l'uso della chiave KMS. Senza le autorizzazioni appropriate, questo passaggio potrebbe fallire o interrompere l'amministrazione di IAM Identity Center, l'uso di applicazioni AWS gestite e altri casi d'uso che richiedono le autorizzazioni delle chiavi KMS. Per ulteriori informazioni, consulta Fase 1: Identifica i casi d'uso per la tua organizzazione.

  • Assicurati che le autorizzazioni per le applicazioni AWS gestite e le applicazioni gestite dai clienti che richiamano il servizio IAM Identity Center APIs con ruoli IAM consentano anche l'uso della chiave KMS tramite il servizio IAM Identity Center. APIs Alcune applicazioni AWS gestite richiedono la configurazione delle autorizzazioni, ad esempio un ruolo di servizio, per il loro utilizzo. APIs Consulta la Guida per l'utente di ciascuna applicazione AWS gestita distribuita per confermare se è necessario aggiungere autorizzazioni specifiche per le chiavi KMS.

Specificate una chiave KMS quando abilitate una nuova istanza organizzativa di IAM Identity Center

Quando abiliti una nuova istanza organizzativa di IAM Identity Center, puoi specificare una chiave KMS gestita dal cliente durante la configurazione. Ciò garantisce che l'istanza utilizzi la tua chiave per la crittografia inattiva sin dall'inizio. Prima di iniziare, consultaConsiderazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate.

  1. Nella pagina Abilita IAM Identity Center, espandi la sezione Encryption at rest.

  2. Scegli Manage Encryption (Gestisci crittografia).

  3. Scegli la chiave gestita dal cliente.

  4. Per la chiave KMS, esegui una delle seguenti operazioni:

    1. Scegli Seleziona dalle tue chiavi KMS e seleziona la chiave che hai creato dall'elenco a discesa.

    2. Scegli Inserisci l'ARN della chiave KMS e inserisci l'ARN completo della tua chiave.

  5. Scegli Save (Salva).

  6. Scegli Abilita per completare la configurazione.

Per ulteriori informazioni, consulta Enable IAM Identity Center.

Modifica la configurazione chiave per un'istanza organizzativa esistente di IAM Identity Center

Puoi cambiare la chiave KMS gestita dal cliente con un'altra chiave o passare a una chiave AWS di proprietà in qualsiasi momento.

Console

Per modificare la configurazione della chiave KMS

  1. Apri la console IAM Identity Center all'indirizzo https://console.aws.amazon.com/singlesignon/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegli la scheda Impostazioni aggiuntive.

  4. Scegli Gestisci la crittografia.

  5. Scegliere una delle seguenti opzioni:

    1. Chiave gestita dal cliente: seleziona una chiave gestita dal cliente diversa dal menu a discesa o inserisci una nuova chiave ARN.

    2. AWS chiave proprietaria: passa all'opzione di crittografia predefinita.

  6. Scegli Save (Salva).

AWS CLI

Per modificare un'istanza organizzativa esistente di IAM Identity Center per utilizzare la chiave gestita dal cliente KMS

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration \
        KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab

Per modificare un'istanza organizzativa esistente di IAM Identity Center per utilizzare una chiave AWS proprietaria

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration KeyType=AWS_OWNED_KMS_KEY

Considerazioni chiave gestite dal cliente

  • L'aggiornamento della configurazione delle chiavi KMS per il funzionamento di IAM Identity Center non ha alcun effetto sulle sessioni utente attive nel tuo IAM Identity Center. Puoi continuare a utilizzare il portale di AWS accesso, la console IAM Identity Center e il servizio IAM Identity Center APIs durante questo processo.

  • Quando si passa a una nuova chiave KMS, IAM Identity Center verifica di poter utilizzare correttamente la chiave per la crittografia e la decrittografia. Se hai commesso un errore durante la configurazione della policy chiave o della policy IAM, la console mostrerà un messaggio di errore esplicativo e la chiave KMS precedente rimarrà in uso.

  • La rotazione annuale predefinita delle chiavi KMS avverrà automaticamente. Puoi fare riferimento alla Guida per gli AWS KMS sviluppatori per informazioni su argomenti come la rotazione delle chiavi, il monitoraggio delle AWS KMS chiavi e il controllo dell'accesso all'eliminazione delle chiavi.

Importante

Se la chiave KMS gestita dal cliente utilizzata dall'istanza di IAM Identity Center viene eliminata, disabilitata o inaccessibile a causa di una politica di chiave KMS errata, gli utenti della forza lavoro e gli amministratori di IAM Identity Center non saranno in grado di utilizzare IAM Identity Center. La perdita di accesso può essere temporanea (una policy chiave può essere corretta) o permanente (una chiave eliminata non può essere ripristinata) a seconda delle circostanze. Ti consigliamo di limitare l'accesso a operazioni critiche, come l'eliminazione o la disabilitazione della chiave KMS. Inoltre, consigliamo alla tua organizzazione di impostare procedure di accesso AWS imprevedibili per garantire che gli utenti privilegiati possano accedere AWS nell'improbabile eventualità che IAM Identity Center sia inaccessibile.

Trova gli identificatori richiesti

Quando configuri le autorizzazioni per la tua chiave KMS gestita dal cliente, avrai bisogno di identificatori di AWS risorsa specifici per completare i modelli di policy chiave e di dichiarazione delle policy IAM. Inserisci gli identificatori richiesti (ad esempio, l'ID dell'organizzazione) e i nomi principali IAM nelle dichiarazioni politiche chiave del KMS.

Di seguito è riportata una guida per individuare questi identificatori nella console di gestione. AWS

IAM Identity Center Amazon Resource Name (ARN) e Identity Store ARN

Un'istanza di IAM Identity Center è una AWS risorsa con un proprio ARN univoco come arn:aws:sso: :instance/ssoins-1234567890abcdef. L'ARN segue lo schema documentato nella sezione dei tipi di risorse di IAM Identity Center del Service Authorization Reference.

A ogni istanza di IAM Identity Center è associato un Identity Store che memorizza le identità degli utenti e dei gruppi. Un Identity Store ha un identificatore univoco chiamato Identity Store ID (ad esempio, d-123456789a). L'ARN segue lo schema documentato nella sezione dei tipi di risorse Identity Store del Service Authorization Reference.

Puoi trovare i valori ARN e Identity Store ID nella pagina Impostazioni del tuo IAM Identity Center. L'ID Identity Store si trova nella scheda Identity source.

AWS Organizations ID

Se desideri specificare un ID dell'organizzazione (ad esempio, o-example.org1) nella tua policy chiave, puoi trovarne il valore nella pagina Impostazioni delle console IAM Identity Center and Organizations. L'ARN segue lo schema documentato nella sezione Organizations resource types del Service Authorization Reference.

Chiave KMS ARN

Puoi trovare l'ARN di una chiave KMS nella console. AWS KMS Scegli Chiavi gestite dal cliente a sinistra, fai clic sulla chiave di cui desideri cercare l'ARN e la vedrai nella sezione Configurazione generale. L'ARN segue lo schema documentato nella sezione sui tipi di AWS KMS risorse del Service Authorization Reference.

Consulta la Guida per gli AWS Key Management Service sviluppatori per ulteriori informazioni sulle politiche chiave AWS KMS e sulla risoluzione dei problemi relativi AWS KMS alle autorizzazioni. Per ulteriori informazioni sulle policy IAM e sulla loro rappresentazione in JSON, consulta la IAM User Guide.