でのカスタマーマネージド KMS キーの実装 AWS IAM Identity Center - AWS IAM Identity Center
ステップ 1: 組織のユースケースを特定するステップ 2: KMS キーポリシーステートメントを準備するステップ 3: KMS キーを作成するステップ 4: IAM ポリシーを設定するステップ 5: IAM Identity Center で KMS キーを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのカスタマーマネージド KMS キーの実装 AWS IAM Identity Center

注記

のカスタマーマネージド KMS キー AWS IAM Identity Center は、現在、一部の AWS リージョンで利用できます。

カスタマーマネージドキーは、ユーザーが作成、所有、管理する AWS Key Management Service キーです。IAM Identity Center で保管時の暗号化用のカスタマーマネージド KMS AWS キーを実装するには、次の手順に従います。

重要

一部の AWS マネージドアプリケーションは、カスタマーマネージド AWS KMS キーで設定された IAM Identity Center では使用できません。「AWS IAM Identity Center で使用できる マネージドアプリケーション」を参照してください。

  1. ステップ 1: 組織のユースケースを特定する - KMS キーを使用するための正しいアクセス許可を定義するには、組織全体の関連するユースケースを特定する必要があります。KMS キーのアクセス許可は、適切な IAM プリンシパルが特定のユースケースで KMS キーを使用できるように連携する KMS キーポリシーステートメントとアイデンティティベースのポリシーで構成されます。

  2. ステップ 2: KMS キーポリシーステートメントを準備する - ステップ 1 で特定したユースケースに基づいて関連する KMS キーポリシーステートメントテンプレートを選択し、必要な識別子と IAM プリンシパル名を入力します。ベースライン KMS キーポリシーステートメントから開始し、セキュリティポリシーで必要な場合は、「アドバンスト KMS キーポリシーステートメント」の説明に従って絞り込みます。

  3. ステップ 3: カスタマーマネージド KMS キーを作成する - IAM Identity Center 要件を満たす AWS KMS で KMS キーを作成し、ステップ 2 で準備した KMS キーポリシーステートメントを KMS キーポリシーに追加します。

  4. ステップ 4: KMS キーをクロスアカウントで使用するように IAM ポリシーを設定する - ステップ 1 で特定したユースケースに基づいて関連する IAM ポリシーステートメントテンプレートを選択し、キー ARN を入力して使用できるように準備します。次に、準備された IAM ポリシーステートメントをプリンシパルの IAM ポリシーに追加することで、各ユースケースの IAM プリンシパルがアカウント間で KMS キーを使用できるようにします。

  5. ステップ 5: IAM Identity Center で KMS キーを設定する - 重要: このステップに進む前に、前のステップで設定したすべての KMS キーのアクセス許可を徹底的に検証します。完了すると、IAM Identity Center は保管時の暗号化に KMS キーの使用を開始します。

ステップ 1: 組織のユースケースを特定する

カスタマーマネージド KMS キーを作成して設定する前に、ユースケースを特定し、必要な KMS キーのアクセス許可を準備します。AWS KMS キーポリシーの詳細については、「KMS デベロッパーガイド」を参照してください。

IAM Identity Center および Identity Store APIs を呼び出す IAM プリンシパルには、 アクセス許可が必要です。たとえば、委任管理者は、アクセス許可セットポリシーを使用してこれらの APIsを使用する権限を付与できます。IAM Identity Center がカスタマーマネージドキーで設定されている場合、IAM プリンシパルには、IAM Identity Center および Identity Store API を介して KMS APIs を使用するアクセス許可も必要です。これらの KMS API アクセス許可は、KMS キーポリシーと IAM プリンシパルに関連付けられた IAM ポリシーの 2 つの場所で定義します。

KMS キーのアクセス許可は、以下で構成されます。

  1. での作成時に KMS キーで指定した KMS キーポリシーステートメントステップ 3: カスタマーマネージド KMS キーを作成する

  2. KMS キーの作成ステップ 4: KMS キーをクロスアカウントで使用するように IAM ポリシーを設定する後に で指定した IAM プリンシパルの IAM ポリシーステートメント。

次の表は、KMS キーを使用するためのアクセス許可が必要な関連するユースケースと IAM プリンシパルを示しています。

ユースケース KMS キーを使用するためのアクセス許可が必要な IAM プリンシパル 必須/オプション
IAM Identity Center AWS の使用

  • IAM Identity Center AWS の管理者

  • IAM Identity Center サービスおよび関連する Identity Store サービス

 必須
IAM Identity Center での AWS マネージドアプリケーションの使用

  • AWS マネージドアプリケーションの管理者

  • AWS マネージドアプリケーション

  • AWS マネージドアプリケーションが IAM Identity Center および Identity Store APIs を呼び出すために引き受けるサービスロール

オプションです。
有効にした IAM Identity Center AWS インスタンス AWS Control Tower での の使用

  • AWS Control Tower 管理者

 オプションです。
IAM アイデンティティセンターを使用した Amazon EC2 Windows AWS インスタンスへの SSO

  • Amazon EC2 Windows インスタンスへの SSO の実行を許可された IAM プリンシパル

 オプションです。
アクセス許可セットのプロビジョニングワークフローや AWS Lambda 関数など、IAM Identity Center API または Identity Store API を呼び出すその他のユースケース

  • これらのワークフローで IAM Identity Center API と Identity Store API を呼び出すために使用される IAM プリンシパル

 オプションです。
注記

テーブルにリストされている複数の IAM プリンシパルには、KMS API AWS アクセス許可が必要です。ただし、IAM Identity Center でユーザーとグループのデータを保護するために、IAM Identity Center と Identity Store のサービスのみが KMS API AWS を直接呼び出します。

ステップ 2: KMS キーポリシーステートメントを準備する

組織に関連するユースケースを特定したら、対応する KMS キーポリシーステートメントを準備できます。

  1. 組織のユースケースに一致する KMS キーポリシーステートメントを選択します。ベースラインポリシーテンプレートから始めます。セキュリティ要件に基づいてより具体的なポリシーが必要な場合は、「」の例を使用してポリシーステートメントを変更できます高度な KMS キーポリシーステートメント。この決定に関するガイダンスについては、「」を参照してくださいベースラインとアドバンスト KMS キーポリシーステートメントの選択に関する考慮事項。さらに、 の各ベースラインセクションには、関連する考慮事項ベースライン KMS キーと IAM ポリシーステートメントが含まれています。

  2. 関連するポリシーをエディタにコピーし、必要な識別子と IAM プリンシパル名を KMS キーポリシーステートメントに挿入します。参照される識別子の値を見つける方法については、「」を参照してください必要な識別子を検索する

以下は、各ユースケースのベースラインポリシーテンプレートです。KMS AWS キーを使用するには、IAM Identity Center の最初のアクセス許可セットのみが必要です。ユースケース固有の追加情報については、該当するサブセクションを確認することをお勧めします。

重要

IAM Identity Center で既に使用されているキーの KMS キーポリシーを変更するときは注意が必要です。IAM Identity Center は、最初に KMS キーを設定するときに暗号化と復号のアクセス許可を検証しますが、それ以降のポリシー変更を検証することはできません。必要なアクセス許可を誤って削除すると、IAM Identity Center の通常のオペレーションが中断される可能性があります。IAM Identity Center のカスタマーマネージドキーに関連する一般的なエラーのトラブルシューティングのガイダンスについては、「」を参照してくださいでのカスタマーマネージドキーのトラブルシューティング AWS IAM Identity Center

注記

IAM Identity Center および関連する Identity Store には、カスタマーマネージド KMS キーを使用するためのサービスレベルのアクセス許可が必要です。この要件は、サービス認証情報を使用して IAM Identity Center の APIs を呼び出す AWS マネージドアプリケーションにも適用されます。転送アクセスセッションで IAM Identity Center の APIs が呼び出されるその他のユースケースでは、開始する IAM プリンシパル (管理者など) にのみ KMS キーのアクセス許可が必要です。特に、 AWS アクセスポータルと AWS マネージドアプリケーションを使用するエンドユーザーは、それぞれのサービスを通じて付与されるため、直接 KMS キーのアクセス許可を必要としません。

ステップ 3: カスタマーマネージド KMS キーを作成する

カスタマーマネージドキーは、 AWS マネジメントコンソールまたは KMS APIs AWS を使用して作成できます。キーの作成中に、ステップ 2 で準備した KMS キーポリシーステートメントを KMS キーポリシーに追加します。デフォルトの KMS キーポリシーに関するガイダンスを含む詳細な手順については、AWS 「 Key Management Service デベロッパーガイド」を参照してください。

キーは、次の要件を満たしている必要があります。

  • KMS キーは IAM Identity Center インスタンスと同じ AWS リージョンにある必要があります

  • マルチリージョンキーまたは単一リージョンキーのいずれかを選択できます。複数の AWS リージョンで将来のユースケースとの前方互換性を維持するには、マルチリージョンキーを選択することをお勧めします。

  • KMS キーは、「暗号化と復号」の使用用に設定された対称キーである必要があります

  • KMS キーは、IAM Identity Center の組織インスタンスと同じ AWS Organizations 管理アカウントにある必要があります

ステップ 4: KMS キーをクロスアカウントで使用するように IAM ポリシーを設定する

IAM Identity Center 委任管理者など、別の AWS アカウントの IAM Identity Center API と Identity Store APIs を使用する IAM プリンシパルには、これらの APIs を介した KMS キーの使用を許可する IAM ポリシーステートメントも必要です。

ステップ 1 で特定した各ユースケースについて:

  1. ベースライン KMS キーと IAM ポリシーステートメントで、関連する IAM ポリシーステートメントテンプレートを見つけます。

  2. テンプレートをエディタにコピーし、キー ARN を入力します。この ARN は、ステップ 3 の KMS キーの作成後に使用可能になりました。キー ARN 値の検索については、「」を参照してください必要な識別子を検索する

  3. で AWS Management Console、ユースケースに関連付けられている IAM プリンシパルの IAM ポリシーを見つけます。このポリシーの場所は、ユースケースとアクセス許可の付与方法によって異なります。

    • IAM で直接付与されたアクセスについては、IAM コンソールで IAM ロールなどの IAM プリンシパルを見つけることができます。

    • IAM Identity Center を通じて付与されたアクセスについては、IAM Identity Center コンソールで関連するアクセス許可セットを見つけることができます。

  4. ユースケース固有の IAM ポリシーステートメントを IAM ロールに追加し、変更を保存します。

注記

ここで説明する IAM ポリシーは、アイデンティティベースのポリシーです。このようなポリシーは IAM ユーザー、グループ、ロールにアタッチできますが、可能な場合は IAM ロールを使用することをお勧めします。IAM ロールと IAM ユーザーの詳細については、IAM ユーザーガイドを参照してください。

一部の AWS マネージドアプリケーションの追加設定

一部の AWS マネージドアプリケーションでは、IAM Identity Center および Identity Store APIs の使用をアプリケーションに許可するようにサービスロールを設定する必要があります。組織が IAM Identity Center で AWS マネージドアプリケーションを使用している場合は、デプロイされたアプリケーションごとに次の手順を実行します。

  1. IAM Identity Center でアプリケーションを使用するための KMS キー関連のアクセス許可を含めるようにアクセス許可が更新されているかどうかを確認するには、アプリケーションのユーザーガイドを参照してください。

  2. その場合は、アプリケーションのユーザーガイドの指示に従ってアクセス許可を更新し、アプリケーションのオペレーションが中断されないようにします。

注記

AWS マネージドアプリケーションがこれらのアクセス許可を使用しているかどうか不明な場合は、デプロイされたすべての AWS マネージドアプリケーションのユーザーガイドを確認することをお勧めします。この設定を実行する必要があるのは、設定が必要なアプリケーションごとに 1 回だけです。

ステップ 5: IAM Identity Center で KMS キーを設定する

重要

このステップに進む前に:

  • AWS マネージドアプリケーションがカスタマーマネージド KMS キーと互換性があることを確認します。互換性のあるアプリケーションのリストについては、AWS 「IAM Identity Center で使用できるマネージドアプリケーション」を参照してください。互換性のないアプリケーションがある場合は、続行しないでください。

  • KMS キーを使用するために必要なアクセス許可を設定します。適切なアクセス許可がないと、このステップが失敗したり、IAM Identity Center の管理アプリケーションや AWS マネージドアプリケーションが中断されたりする可能性があります。詳細については、「ステップ 1: 組織のユースケースを特定する」を参照してください。

  • AWS マネージドアプリケーションのアクセス許可で、IAM Identity Center および Identity Store APIs を介した KMS キーの使用も許可されていることを確認します。一部の AWS マネージドアプリケーションでは、これらの APIs を使用するためのサービスロールなどのアクセス許可を設定する必要があります。特定の KMS キーアクセス許可を追加する必要があるかどうかを確認するには、デプロイされた各 AWS マネージドアプリケーションのユーザーガイドを参照してください。

Console

IAM Identity Center の新しい組織インスタンスを有効にするときに KMS キーを指定するには

IAM Identity Center の新しい組織インスタンスを有効にする場合、セットアップ時にカスタマーマネージド KMS キーを指定できます。これにより、インスタンスは最初から保管時の暗号化にキーを使用します。開始する前に、「」を参照してくださいカスタマーマネージド KMS キーと高度な KMS キーポリシーに関する考慮事項

  1. IAM アイデンティティセンターの有効化ページで、保管時の暗号化セクションを展開します。

  2. [暗号化の管理] を選択します。

  3. カスタマーマネージドキーを選択します。

  4. KMS キーの場合は、次のいずれかを実行します。

    1. KMS キーから選択を選択し、ドロップダウンリストから作成したキーを選択します。

    2. Enter KMS key ARN を選択し、キーの完全な ARN を入力します。

  5. [保存] を選択します。

  6. Enable を選択してセットアップを完了します。

詳細については、「IAM Identity Center の有効化」を参照してください。

IAM Identity Center の既存の組織インスタンスに KMS キーを指定するには

  1. https://console.aws.amazon.com/singlesignon/ で IAM アイデンティティセンターのコンソールを開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. 暗号化セクションの設定ページで、編集を選択します。

  4. 暗号化タイプで、カスタマーマネージドキーを選択します。

  5. KMS キーの場合は、次のいずれかを実行します。

    1. KMS キーから選択を選択し、ドロップダウンリストから作成したキーを選択します。

      注記

      プルダウンリストには、同じ AWS アカウントでアクセスできる KMS キーのみが表示されます。したがって、委任管理アカウントでこれを行う場合は、AWS Organizations 管理アカウントからキーの ARN を指定する必要があります。

    2. Enter KMS key ARN を選択し、キーの完全な ARN を入力します。

  6. [Save changes] (変更の保存) をクリックします。

AWS CLI
aws ssoadmin update-instance \
  --configuration KeyType=string,KmsKeyArn=string \
  --instance-arn string \
  --name string

KMS キー設定を変更する

カスタマーマネージド KMS キーを別のキーに変更することも、 AWS 所有キーに切り替えることもできます。

KMS キー設定を変更するには

  1. IAM Identity Center コンソールを開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [追加の設定] タブを選択します。

  4. 暗号化の管理を選択します。

  5. 次のいずれかを選択します。

    1. カスタマーマネージドキー - ドロップダウンから別のカスタマーマネージドキーを選択するか、新しいキー ARN を入力します。

    2. AWS 所有キー - デフォルトの暗号化オプションに切り替えます。

  6. [保存] を選択します。

カスタマーマネージドキーに関する考慮事項

  • IAM Identity Center オペレーションの KMS キー設定を更新しても、IAM Identity Center のアクティブなユーザーセッションには影響しません。このプロセス中は、 AWS アクセスポータル、IAM Identity Center コンソール、IAM Identity Center APIs引き続き使用できます。

  • 新しい KMS キーに切り替えると、IAM Identity Center はキーを暗号化と復号に正常に使用できることを検証します。キーポリシーまたは IAM ポリシーの設定中にエラーが発生した場合、コンソールに説明エラーメッセージが表示され、以前の KMS キーは引き続き使用されます。

  • デフォルトの年間 KMS キーローテーションは自動的に行われます。キーローテーション、キーのモニタリング、 AWS KMS キー削除へのアクセスの制御などのトピックについては、 AWS KMS デベロッパーガイドを参照してください。

重要

IAM Identity Center インスタンスで使用されているカスタマーマネージド KMS キーが、KMS キーポリシーが正しくないために削除、無効化、またはアクセスできない場合、ワークフォースユーザーと IAM Identity Center 管理者は IAM Identity Center を使用できません。アクセスの喪失は、状況に応じて、一時的 (キーポリシーを修正できる) または永続的 (削除されたキーを復元できない) にすることができます。KMS キーの削除や無効化など、重要なオペレーションへのアクセスを制限することをお勧めします。また、特権ユーザーが AWS 万一 IAM アイデンティティセンターにアクセスできなくなった場合に にアクセスできるように、ブレークAWS グラスアクセス手順を組織で設定することをお勧めします。

必要な識別子を検索する

カスタマーマネージド KMS キーのアクセス許可を設定する場合、キーポリシーと IAM ポリシーステートメントテンプレートを完了するには、特定の AWS リソース識別子が必要です。必要な識別子 (組織 ID など) と IAM プリンシパル名を KMS キーポリシーステートメントに挿入します。

以下は、 AWS マネジメントコンソールでこれらの識別子を見つけるためのガイドです。

IAM Identity Center Amazon リソースネーム (ARN) と Identity Store ARN

IAM Identity Center インスタンスは、arn:aws:sso:::instance/ssoins-1234567890abcdef などの独自の ARN を持つ AWS リソースです。ARN は、「サービス認可リファレンス」の「IAM Identity Center resource types」セクションに記載されているパターンに従います。

すべての IAM Identity Center インスタンスには、ユーザー ID とグループ ID を保存する Identity Store が関連付けられています。Identity Store には、Identity Store ID と呼ばれる一意の識別子があります (例: d-123456789a)。ARN は、「サービス認可リファレンス」の「Identity Store リソースタイプ」セクションに記載されているパターンに従います。

ARN と Identity Store ID の両方の値は、IAM Identity Center の設定ページで確認できます。ID ストア ID は ID ソースタブにあることに注意してください。

AWS Organizations ID

キーポリシーで組織 ID (o-exampleorg1 など) を指定する場合は、IAM アイデンティティセンターと Organizations コンソールの設定ページでその値を確認できます。ARN は、「サービス認可リファレンス」の「Organizations リソースタイプ」セクションに記載されているパターンに従います。

KMS キー ARN

KMS キーの ARN は AWS KMS コンソールで確認できます。左側のカスタマーマネージドキーを選択し、ARN を検索するキーをクリックすると、全般設定セクションに表示されます。ARN は、「サービス認可リファレンス」の AWS KMS 「リソースタイプ」セクションに記載されているパターンに従います。

のキーポリシー AWS KMS とトラブルシューティング AWS KMS アクセス許可の詳細については、 AWS Key Management Service 「サービスデベロッパーガイド」を参照してください。IAM ポリシーとその JSON 表現の詳細については、IAM ユーザーガイドを参照してください。