翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 保管中の暗号化
IAM アイデンティティセンターは、次のキータイプを使用して保管中の顧客データを保護するための暗号化を提供します。
+ **AWS 所有のキー (デフォルトキータイプ)** — IAM Identity Center は、デフォルトでこれらのキーを使用してデータを自動的に暗号化します。その使用を表示、管理、監査したり、 AWS 所有キーを他の目的で使用することはできません。IAM アイデンティティセンターは、ユーザーがアクションを実行することなく、データの安全性を維持するためにキー管理を完全に処理します。詳細については、「[https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」の「[AWS 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
+ **カスタマーマネージドキー** — IAM アイデンティティセンターの組織インスタンスでは、ユーザー属性やグループ属性などのワークフォース ID データの保管時の暗号化用に対称カスタマーマネージドキーを選択できます。これらの暗号化キーを作成、所有、管理します。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。
+ キーへのアクセスを、IAM Identity Center や [AWS マネージドアプリケーション](awsapps.md) など、アクセスを必要とする IAM プリンシパルとその管理者のみに制限するキーポリシーを確立および維持 AWS Organizations します。
+ クロスアカウントアクセスを含むキーへのアクセスのための IAM ポリシーの確立と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ キーアクセスを必要とするデータへのアクセスの監査
+ タグを追加する
+ キーエイリアスの作成
+ 削除のためのキースケジューリング
IAM アイデンティティセンターでカスタマーマネージド KMS キーを実装する方法については、「[でのカスタマーマネージド KMS キーの実装 AWS IAM アイデンティティセンター](identity-center-customer-managed-keys.md)」を参照してください。カスタマーマネージドキーの詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
**注記**
IAM Identity Center は、 AWS 所有の KMS キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。ただし、カスタマーマネージドキーを使用する場合、 AWS KMS 料金が適用されます。料金の詳細については、「[AWS Key Management Service 料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
**カスタマーマネージドキーの実装に関する考慮事項:**
+ **専用キー**: 既存のキーを再利用するのではなく、IAM アイデンティティセンターインスタンスごとに新しいカスタマーマネージド KMS キーを作成することをお勧めします。このアプローチは、職務の分離を明確にし、アクセスコントロール管理を簡素化し、セキュリティ監査をより簡単にします。専用キーを使用すると、キー変更の影響を単一の IAM アイデンティティセンターインスタンスに制限することで、リスクも軽減されます。
+ **複数の にまたがる IAM アイデンティティセンターの使用 AWS リージョン**: IAM アイデンティティセンターインスタンスを追加にレプリケートする場合は AWS リージョン、保管時の暗号化にカスタマーマネージド KMS キーを使用する必要があります。デフォルトの AWS 所有 KMS キータイプは、マルチリージョン IAM アイデンティティセンターではサポートされていません。詳細については、「[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)」を参照してください。
**注記**
IAM アイデンティティセンターは、従業員 ID データの暗号化に[エンベロープ暗号化](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption)を使用します。KMS キーは、データの暗号化に実際に使用されるデータキーを暗号化するラッピングキーの役割を果たします。
KMS の詳細については、 AWS [AWS 「Key Management Service とは」を参照してください。](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## IAM アイデンティティセンターの暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)は、データに関する追加のコンテキスト情報を含むシークレット以外のキーと値のペアのオプションセットです。 は、認証された暗号化をサポートする追加の認証済みデータとして暗号化コンテキスト AWS KMS を使用します。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。暗号化の詳細については、「[AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)」を参照してください。
IAM アイデンティティセンターは、aws:sso:instance-arn、aws:identitystore:identitystore-arn、tenant-key-id の暗号化コンテキストキーを使用します。たとえば、次の暗号化コンテキストは、IAM Identity Center AWS KMS API によって呼び出される API オペレーションに表示されます。 [https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
次の暗号化コンテキストは、Identity Store AWS KMS API によって呼び出される API オペレーションに表示されます。 [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## 暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。[高度な KMS キーポリシーステートメント](advanced-kms-policy.md) の一部のキーポリシーテンプレートには、キーが特定の IAM アイデンティティセンターインスタンスでのみ使用されるように、このような条件が含まれています。
## IAM アイデンティティセンターの暗号化キーのモニタリング
カスタマーマネージド KMS キーを IAM アイデンティティセンターインスタンスで使用する場合、[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、IAM アイデンティティセンターから AWS KMSに送信されたリクエストを追跡できます。IAM アイデンティティセンターが呼び出す KMS API オペレーションは、[ステップ 2: KMS キーポリシーステートメントを準備する](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) に記載されています。これらの API オペレーションの CloudTrail イベントには暗号化コンテキストが含まれており、IAM Identity Center インスタンスによって呼び出された AWS KMS API オペレーションをモニタリングして、カスタマーマネージドキーによって暗号化されたデータにアクセスできます。
AWS KMS API オペレーションの CloudTrail イベントの暗号化コンテキストの例:
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS マネージドアプリケーションの IAM Identity Center ID 属性のストレージ、暗号化、削除
AWS Systems Manager や Amazon CodeCatalyst など AWS IAM アイデンティティセンター、デプロイする一部の AWS マネージドアプリケーションは、IAM Identity Center の特定のユーザー属性とグループ属性を独自のデータストアに保存します。IAM アイデンティティセンターのカスタマーマネージド KMS キーによる保管時の暗号化は、 AWS マネージドアプリケーションに保存されている IAM アイデンティティセンターのユーザー属性とグループ属性には適用されません。 AWS マネージドアプリケーションは、保存するデータに対してさまざまな暗号化方法をサポートしています。最後に、IAM Identity Center 内のユーザー属性とグループ属性を削除すると、これらの AWS マネージドアプリケーションは、削除後もこの情報を IAM Identity Center に保存し続ける可能性があります。アプリケーションに保存されているデータの暗号化とセキュリティについては、 AWS マネージドアプリケーションのユーザーガイドを参照してください。