保管中の暗号化 - AWS IAM アイデンティティセンター
IAM アイデンティティセンターの暗号化コンテキスト暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御するIAM アイデンティティセンターの暗号化キーのモニタリングAWS マネージドアプリケーションの IAM Identity Center ID 属性のストレージ、暗号化、削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の暗号化

IAM アイデンティティセンターは、次のキータイプを使用して保管中の顧客データを保護するための暗号化を提供します。

  • AWS 所有のキー (デフォルトキータイプ) — IAM Identity Center は、デフォルトでこれらのキーを使用してデータを自動的に暗号化します。その使用を表示、管理、監査したり、 AWS 所有キーを他の目的で使用することはできません。IAM アイデンティティセンターは、ユーザーがアクションを実行することなく、データの安全性を維持するためにキー管理を完全に処理します。詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS 所有キー」を参照してください。

  • カスタマーマネージドキー — IAM アイデンティティセンターの組織インスタンスでは、ユーザー属性やグループ属性などのワークフォース ID データの保管時の暗号化用に対称カスタマーマネージドキーを選択できます。これらの暗号化キーを作成、所有、管理します。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

    • キーへのアクセスを、IAM Identity Center や などのアクセスを必要とする IAM プリンシパルとその管理者のみに制限するキーポリシーを確立および維持AWS マネージドアプリケーション AWS Organizations します。

    • クロスアカウントアクセスを含むキーへのアクセスのための IAM ポリシーの確立と維持

    • キーポリシーの有効化と無効化

    • キー暗号化マテリアルのローテーション

    • キーアクセスを必要とするデータへのアクセスの監査

    • タグの追加

    • キーエイリアスの作成

    • 削除のためのキースケジューリング

IAM アイデンティティセンターでカスタマーマネージド KMS キーを実装する方法については、「でのカスタマーマネージド KMS キーの実装 AWS IAM アイデンティティセンター」を参照してください。カスタマーマネージドキーの詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

注記

IAM Identity Center は、 AWS 所有 KMS キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。ただし、カスタマーマネージドキーを使用する場合は AWS KMS 料金が適用されます。料金の詳細については、「AWS Key Management Service 料金」を参照してください。

カスタマーマネージドキーの実装に関する考慮事項:

  • 専用キー: 既存のキーを再利用するのではなく、IAM アイデンティティセンターインスタンスごとに新しいカスタマーマネージド KMS キーを作成することをお勧めします。このアプローチは、職務の分離を明確にし、アクセスコントロール管理を簡素化し、セキュリティ監査をより簡単にします。専用キーを使用すると、キー変更の影響を単一の IAM アイデンティティセンターインスタンスに制限することで、リスクも軽減されます。

  • 複数の にまたがる IAM アイデンティティセンターの使用 AWS リージョン: IAM アイデンティティセンターインスタンスを追加にレプリケートする場合は AWS リージョン、保管時の暗号化にカスタマーマネージド KMS キーを使用する必要があります。デフォルトの AWS 所有 KMS キータイプは、マルチリージョン IAM アイデンティティセンターではサポートされていません。詳細については、「複数の で IAM Identity Center を使用する AWS リージョン」を参照してください。

注記

IAM アイデンティティセンターは、従業員 ID データの暗号化にエンベロープ暗号化を使用します。KMS キーは、データの暗号化に実際に使用されるデータキーを暗号化するラッピングキーの役割を果たします。

KMS の詳細については、 AWS AWS 「Key Management Service とは」を参照してください。

IAM アイデンティティセンターの暗号化コンテキスト

暗号化コンテキストは、データに関する追加のコンテキスト情報を含むシークレット以外のキーと値のペアのオプションセットです。 は、認証された暗号化をサポートする追加の認証済みデータとして暗号化コンテキスト AWS KMS を使用します。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。暗号化の詳細については、「AWS KMS デベロッパーガイド」を参照してください。

IAM アイデンティティセンターは、aws:sso:instance-arn、aws:identitystore:identitystore-arn、tenant-key-id の暗号化コンテキストキーを使用します。たとえば、次の暗号化コンテキストは、IAM Identity Center AWS KMS API によって呼び出される API オペレーションに表示されます。 https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

次の暗号化コンテキストは、Identity Store AWS KMS API によって呼び出される API オペレーションに表示されます。 https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する

対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。高度な KMS キーポリシーステートメント の一部のキーポリシーテンプレートには、キーが特定の IAM アイデンティティセンターインスタンスでのみ使用されるように、このような条件が含まれています。

IAM アイデンティティセンターの暗号化キーのモニタリング

カスタマーマネージド KMS キーを IAM アイデンティティセンターインスタンスで使用する場合、AWS CloudTrail または Amazon CloudWatch Logs を使用して、IAM アイデンティティセンターから AWS KMSに送信されたリクエストを追跡できます。IAM アイデンティティセンターが呼び出す KMS API オペレーションは、ステップ 2: KMS キーポリシーステートメントを準備する に記載されています。これらの API オペレーションの CloudTrail イベントには暗号化コンテキストが含まれており、IAM Identity Center インスタンスによって呼び出された AWS KMS API オペレーションをモニタリングして、カスタマーマネージドキーによって暗号化されたデータにアクセスできます。

AWS KMS API オペレーションの CloudTrail イベントの暗号化コンテキストの例: 

{
"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }
}

AWS マネージドアプリケーションの IAM Identity Center ID 属性のストレージ、暗号化、削除

AWS Systems Manager や Amazon CodeCatalyst など AWS IAM アイデンティティセンター、デプロイする一部の AWS マネージドアプリケーションは、IAM Identity Center の特定のユーザー属性とグループ属性を独自のデータストアに保存します。IAM アイデンティティセンターのカスタマーマネージド KMS キーによる保管時の暗号化は、 AWS マネージドアプリケーションに保存されている IAM アイデンティティセンターのユーザー属性とグループ属性には適用されません。 AWS マネージドアプリケーションは、保存するデータに対してさまざまな暗号化方法をサポートしています。最後に、IAM Identity Center 内のユーザー属性とグループ属性を削除すると、これらの AWS マネージドアプリケーションは、削除後にこの情報を IAM Identity Center に引き続き保存することがあります。アプリケーションに保存されているデータの暗号化とセキュリティについては、 AWS マネージドアプリケーションのユーザーガイドを参照してください。