保管中の暗号化 - AWS IAM Identity Center
IAM アイデンティティセンターの暗号化コンテキスト暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御するIAM Identity Center の暗号化キーのモニタリングAWS マネージドアプリケーションの IAM Identity Center ID 属性のストレージ、暗号化、削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の暗号化

IAM Identity Center は、次のキータイプを使用して保管中の顧客データを保護するための暗号化を提供します。

  • AWS 所有のキー (デフォルトキータイプ) — IAM Identity Center は、デフォルトでこれらのキーを使用してデータを自動的に暗号化します。その使用を表示、管理、監査したり、 AWS 所有キーを他の目的で使用することはできません。IAM Identity Center は、ユーザーがアクションを実行することなく、データの安全性を維持するためにキー管理を完全に処理します。詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS 所有キー」を参照してください。

  • カスタマーマネージドキー — IAM アイデンティティセンターの組織インスタンスでは、ユーザー属性やグループ属性などのワークフォース ID データの保管時の暗号化用に対称カスタマーマネージドキーを選択できます。これらの暗号化キーを作成、所有、管理します。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

    • キーへのアクセスを、IAM Identity Center や AWS マネージドアプリケーション など、アクセスを必要とする IAM プリンシパルとその管理者のみに制限するキーポリシーを確立および維持 AWS Organizations します。

    • クロスアカウントアクセスを含むキーへのアクセスのための IAM ポリシーの確立と維持

    • キーポリシーの有効化と無効化

    • キー暗号化マテリアルのローテーション

    • キーアクセスを必要とするデータへのアクセスの監査

    • タグを追加する

    • キーエイリアスの作成

    • 削除のためのキースケジューリング

IAM Identity Center でカスタマーマネージド KMS キーを実装する方法については、「」を参照してくださいでのカスタマーマネージド KMS キーの実装 AWS IAM Identity Center。カスタマーマネージドキーの詳細については、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

注記

IAM Identity Center は、 AWS 所有 KMS キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。ただし、カスタマーマネージドキーを使用する場合、 AWS KMS 料金が適用されます。料金の詳細については、「AWS Key Management Service 料金」を参照してください。

カスタマーマネージドキーの実装に関する考慮事項:

  • 既存のセッションの例外: カスタマーマネージドキーによる保管時の暗号化は、ユーザーセッションに一時的に保存されるユーザー属性やグループ属性などのワークフォースアイデンティティデータにも適用されます。IAM アイデンティティセンターでカスタマーマネージドキーを設定すると、新しいセッションでワークフォース ID データを暗号化するためにカスタマーマネージドキーが使用されます。この機能のリリース前に開始されたセッションでは、ワークフォース ID データはセッションの有効期限 (最大 90 日) または終了 AWS 所有のキー までデフォルトの で暗号化されたままになり、その時点でこのデータは自動的に削除されます。

  • 専用キー: 既存のキーを再利用するのではなく、IAM Identity Center インスタンスごとに新しい専用カスタマーマネージド KMS キーを作成することをお勧めします。このアプローチにより、職務の分離が明確になり、アクセスコントロール管理が簡素化され、セキュリティ監査がより簡単になります。専用キーを使用すると、キーの変更による影響を単一の IAM Identity Center インスタンスに制限することで、リスクも軽減されます。

注記

IAM Identity Center は、ワークフォース ID データの暗号化にエンベロープ暗号化を使用します。KMS キーは、データの暗号化に実際に使用されるデータキーを暗号化するラッピングキーの役割を果たします。

KMS の詳細については、 AWS AWS 「 Key Management Service とは」を参照してください。

IAM アイデンティティセンターの暗号化コンテキスト

暗号化コンテキストは、データに関する追加のコンテキスト情報を含むシークレット以外のキーと値のペアのオプションセットです。 は、認証された暗号化をサポートする追加の認証済みデータとして暗号化コンテキスト AWS KMS を使用します。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。暗号化コンテキストの詳細については、 AWS KMS デベロッパーガイドを参照してください。

IAM アイデンティティセンターは、aws:sso:instance-arn、aws:identitystore:identitystore-arn、tenant-key-id の暗号化コンテキストキーを使用します。たとえば、次の暗号化コンテキストは、IAM Identity Center AWS KMS API によって呼び出される API オペレーションに表示されます。 https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

次の暗号化コンテキストは、Identity Store AWS KMS API によって呼び出される API オペレーションに表示されます。 https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する

対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。の一部のキーポリシーテンプレートには、キーが特定の IAM Identity Center インスタンスでのみ使用されるように、このような条件高度な KMS キーポリシーステートメントが含まれています。

IAM Identity Center の暗号化キーのモニタリング

IAM アイデンティティセンターインスタンスでカスタマーマネージド KMS キーを使用する場合、 AWS CloudTrailまたは Amazon CloudWatch Logs を使用して、IAM アイデンティティセンターが送信するリクエストを追跡できます AWS KMS。IAM Identity Center が呼び出す KMS API オペレーションは、 に記載されていますステップ 2: KMS キーポリシーステートメントを準備する。これらの API オペレーションの CloudTrail イベントには暗号化コンテキストが含まれており、IAM Identity Center インスタンスによって呼び出された AWS KMS API オペレーションをモニタリングして、カスタマーマネージドキーによって暗号化されたデータにアクセスできます。

AWS KMS API オペレーションの CloudTrail イベントの暗号化コンテキストの例: 

{
"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }
}

AWS マネージドアプリケーションの IAM Identity Center ID 属性のストレージ、暗号化、削除

AWS Systems Manager や Amazon CodeCatalyst など AWS IAM Identity Center、デプロイする一部の AWS マネージドアプリケーションは、IAM Identity Center の特定のユーザー属性とグループ属性を独自のデータストアに保存します。IAM アイデンティティセンターのカスタマーマネージド KMS キーによる保管時の暗号化は、 AWS マネージドアプリケーションに保存されている IAM アイデンティティセンターのユーザー属性とグループ属性には適用されません。 AWS マネージドアプリケーションは、保存するデータに対して異なる暗号化方法をサポートしています。最後に、IAM Identity Center 内のユーザー属性とグループ属性を削除すると、これらの AWS マネージドアプリケーションは、削除後にこの情報を IAM Identity Center に引き続き保存することがあります。アプリケーションに保存されているデータの暗号化とセキュリティについては、 AWS マネージドアプリケーションのユーザーガイドを参照してください。