保管中の暗号化 - AWS IAM Identity Center
IAM アイデンティティセンターの暗号化コンテキスト暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御するIAM アイデンティティセンターの暗号化キーのモニタリングAWS マネージドアプリケーションの IAM アイデンティティセンター ID 属性のストレージ、暗号化、削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の暗号化

IAM アイデンティティセンターは、次のキータイプを使用して保管中の顧客データを保護するための暗号化を提供します。

  • AWS 所有のキー (デフォルトキータイプ) — IAM アイデンティティセンターは、デフォルトでこれらのキーを使用してデータを自動的に暗号化します。AWS 所有キーの使用状況を表示、管理、監査したり、他の目的で使用したりすることはできません。IAM アイデンティティセンターは、ユーザーがアクションを実行することなく、データの安全性を維持するためにキー管理を完全に処理します。詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS 所有キー」を参照してください。

  • カスタマーマネージドキー — IAM アイデンティティセンターの組織インスタンスでは、ユーザー属性やグループ属性などのワークフォース ID データの保管時の暗号化用に対称カスタマーマネージドキーを選択できます。これらの暗号化キーを作成、所有、管理します。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

    • キーへのアクセスを、IAM アイデンティティセンターや 同じ AWS Organizations 内の AWS マネージドアプリケーション など、アクセスを必要とする IAM プリンシパルとその管理者のみに制限するキーポリシーを確立および維持します。

    • クロスアカウントアクセスを含むキーへのアクセスのための IAM ポリシーの確立と維持

    • キーポリシーの有効化と無効化

    • キー暗号化マテリアルのローテーション

    • キーアクセスを必要とするデータへのアクセスの監査

    • タグの追加

    • キーエイリアスの作成

    • 削除のためのキースケジューリング

IAM アイデンティティセンターでカスタマーマネージド KMS キーを実装する方法については、「AWS IAM Identity Center でのカスタマーマネージド KMS キーの実装」を参照してください。カスタマーマネージドキーの詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

注記

IAM アイデンティティセンターでは、AWS 所有の KMS キーを使用した保管中の暗号化が自動的に有効になり、顧客データを無料で保護します。ただし、カスタマーマネージドキーを使用する際には AWS KMS 料金が適用されます。料金の詳細については、「AWS Key Management Service 料金」を参照してください。

カスタマーマネージドキーの実装に関する考慮事項:

  • 既存のセッションの例外: カスタマーマネージドキーによる保管時の暗号化は、ユーザーセッションに一時的に保存されるユーザー属性やグループ属性などのワークフォースアイデンティティデータにも適用されます。IAM アイデンティティセンターでカスタマーマネージドキーを設定すると、カスタマーマネージドキーは新しいセッションでワークフォース ID データを暗号化するために使用されます。この機能のリリース前に開始されたセッションでは、ワークフォース ID データはセッションの有効期限 (最大 90 日間) または終了するまでデフォルトの AWS 所有のキー で暗号化されたままになり、その時点でこのデータは自動的に削除されます。

  • 専用キー: 既存のキーを再利用するのではなく、IAM アイデンティティセンターインスタンスごとに新しいカスタマーマネージド KMS キーを作成することをお勧めします。このアプローチは、職務の分離を明確にし、アクセスコントロール管理を簡素化し、セキュリティ監査をより簡単にします。専用キーを使用すると、キー変更の影響を単一の IAM アイデンティティセンターインスタンスに制限することで、リスクも軽減されます。

注記

IAM アイデンティティセンターは、従業員 ID データの暗号化にエンベロープ暗号化を使用します。KMS キーは、データの暗号化に実際に使用されるデータキーを暗号化するラッピングキーの役割を果たします。

AWS KMS の詳細については、「 AWS Key Management Service とは」を参照してください。

IAM アイデンティティセンターの暗号化コンテキスト

暗号化コンテキストとは、データに関する追加のコンテキスト情報を含むオプションの非秘密のキーと値のペアのセットです。AWS KMS は、暗号化コンテキストを追加の認証済みデータとして使用し、暗号化の認証をサポートします。データの暗号化リクエストに暗号化コンテキストを組み込むと、AWS KMS は暗号化コンテキストを暗号化後のデータにバインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。暗号化の詳細については、「AWS KMS デベロッパーガイド」を参照してください。

IAM アイデンティティセンターは、aws:sso:instance-arn、aws:identitystore:identitystore-arn、tenant-key-id の暗号化コンテキストキーを使用します。例えば、次の暗号化コンテキストは、 IAM アイデンティティセンター API によって呼び出される AWS KMS API オペレーションに表示されます。


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

次の暗号化コンテキストは、アイデンティティセンター API によって呼び出される AWS KMS API オペレーションに表示されます。


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する

対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。高度な KMS キーポリシーステートメント の一部のキーポリシーテンプレートには、キーが特定の IAM アイデンティティセンターインスタンスでのみ使用されるように、このような条件が含まれています。

IAM アイデンティティセンターの暗号化キーのモニタリング

カスタマーマネージド KMS キーを IAM アイデンティティセンターインスタンスで使用する場合、AWS CloudTrail または Amazon CloudWatch Logs を使用して、IAM アイデンティティセンターから AWS KMS に送信されたリクエストを追跡できます。IAM アイデンティティセンターが呼び出す KMS API オペレーションは、ステップ 2: KMS キーポリシーステートメントを準備する に記載されています。これらの API オペレーションの CloudTrail イベントには暗号化コンテキストが含まれており、IAM アイデンティティセンターインスタンスによって呼び出された AWS KMS API オペレーションをモニタリングして、カスタマーマネージドキーによって暗号化されたデータにアクセスできます。

AWS KMS API オペレーションの CloudTrail イベントの暗号化コンテキストの例: 

{
"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }
}

AWS マネージドアプリケーションの IAM アイデンティティセンター ID 属性のストレージ、暗号化、削除

AWS Systems Manager や Amazon CodeCatalyst など、AWS IAM Identity Center でデプロイする一部の AWS マネージドアプリケーションは、IAM アイデンティティセンターの特定のユーザー属性とグループ属性を独自のデータストアに保存します。IAM アイデンティティセンターのカスタマーマネージド KMS キーによる保管時の暗号化は、AWS マネージドアプリケーションに保存されている IAM アイデンティティセンターのユーザー属性とグループ属性には適用されません。 AWS マネージドアプリケーションは、保存するデータに対してさまざまな暗号化方法をサポートしています。最後に、IAM アイデンティティセンター内のユーザー属性とグループ属性を削除すると、これらの AWS マネージドアプリケーションは、削除後にこの情報を IAM アイデンティティセンターに引き続き保存することがあります。アプリケーションに保存されているデータの暗号化とセキュリティについては、AWS マネージドアプリケーションのユーザーガイドを参照してください。