Declarações básicas da chave KMS e da política do IAM - AWS IAM Identity Center
Declarações básicas da política principal do KMS para uso do IAM Identity Center (obrigatório)Chave básica do KMS e declarações de política do IAM para uso de AWS aplicativos gerenciadosDeclaração chave básica do KMS para uso de AWS Control TowerChave básica do KMS e declarações de política do IAM para uso do IAM Identity Center em instâncias Windows do Amazon Elastic Compute CloudChave básica do KMS e declarações de política do IAM para uso de fluxos de trabalho personalizados com o IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Declarações básicas da chave KMS e da política do IAM

nota

As chaves KMS AWS IAM Identity Center gerenciadas pelo cliente estão atualmente disponíveis em AWS regiões selecionadas.

A chave básica do KMS e as políticas baseadas em identidade fornecidas aqui servem como base para requisitos comuns. Também recomendamos que você revise se fornece controles de acesso mais granulares, como garantir Declarações de política chave avançadas do KMS que a chave KMS seja acessível somente para uma instância específica do IAM Identity Center ou aplicativo AWS gerenciado. Antes de usar declarações avançadas de política de chaves do KMS, revise o. Considerações sobre a escolha das principais declarações de política do KMS em comparação com as avançadas

As seções a seguir fornecem declarações de políticas básicas para cada caso de uso. Copie as declarações de política de chaves do KMS que correspondam aos seus casos de uso e, em seguida, retorne paraEtapa 2: Preparar as principais declarações de política do KMS.

Declarações básicas da política principal do KMS para uso do IAM Identity Center (obrigatório)

Use o seguinte modelo de declaração de política de chaves do KMS Etapa 2: Preparar as principais declarações de política do KMS para permitir que os administradores do IAM Identity Center, do Identity Store associado e do IAM Identity Center usem a chave KMS.

  • Especifique os diretores do IAM dos administradores do IAM Identity Center no elemento Principal. Para obter mais informações sobre os diretores do IAM, consulte Especificação de um diretor no Guia do usuário do IAM.

  • O Identity Store tem seu próprio diretor de serviçoidentitystore.amazonaws.com, que deve ter permissão para usar a chave KMS.

  • Essas declarações de política permitem que qualquer uma das instâncias do IAM Identity Center use a chave KMS. Para restringir o acesso a uma instância específica do IAM Identity Center, consulteDeclarações de política chave avançadas do KMS.

Declarações de política chave do KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*",
          "kms:ViaService": "identitystore.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityStoreToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "identitystore.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    }
  ]
}

Use o seguinte modelo de declaração de política do IAM Etapa 4: configurar as políticas do IAM para o uso da chave KMS em várias contas para permitir que os administradores do IAM Identity Center usem a chave KMS.

  • Substitua o exemplo de ARN da chave no elemento Resource pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte. Encontre os identificadores necessários

Declarações de política do IAM obrigatórias para administradores delegados do IAM Identity Center

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}

Chave básica do KMS e declarações de política do IAM para uso de AWS aplicativos gerenciados

nota

Alguns aplicativos AWS gerenciados não podem ser usados com o IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Para obter mais informações, consulte Aplicativos AWS gerenciados que funcionam com o IAM Identity Center.

Use o seguinte modelo de declaração de política de chaves do KMS Etapa 2: Preparar as principais declarações de política do KMS para permitir que os aplicativos AWS gerenciados e seus administradores usem a chave KMS.

  • Insira seu AWS Organizations ID na condição PrincipalOrg de ID. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte. Encontre os identificadores necessários

  • Essas declarações de política permitem que qualquer um dos seus aplicativos AWS gerenciados no mesmo use AWS Organizations a chave KMS. Para restringir essas declarações de política a aplicativos AWS gerenciados específicos, contas ou instâncias do IAM Identity Center, consulteDeclarações de política chave avançadas do KMS.

Declarações de política chave do KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Use o seguinte modelo de declaração de política do IAM Etapa 4: configurar as políticas do IAM para o uso da chave KMS em várias contas para permitir que administradores de aplicativos AWS gerenciados usem a chave KMS de uma conta membro.

  • Substitua o ARN de exemplo no elemento Resource pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte. Encontre os identificadores necessários

  • Alguns aplicativos AWS gerenciados exigem que você configure permissões para o IAM Identity Center e o Identity Store APIs. Antes de configurar uma chave gerenciada pelo cliente em seu IAM Identity Center, certifique-se de que essas permissões também permitam o uso da chave KMS. Para requisitos específicos de permissão da chave KMS, consulte a documentação de cada aplicativo AWS gerenciado que você implantou.

Declarações de política do IAM necessárias para administradores de aplicativos AWS gerenciados:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Declaração chave básica do KMS para uso de AWS Control Tower

Use os seguintes modelos de declaração de chave KMS Etapa 2: Preparar as principais declarações de política do KMS para permitir que os administradores do AWS Control Tower usem a chave KMS.

  • Especifique os principais do IAM usados para acessar o APIs do IAM Identity Center no campo Principal. Para obter mais informações sobre os diretores do IAM, consulte Especificação de um diretor no Guia do usuário do IAM.

  • Essas declarações de política permitem que os administradores do AWS Control Tower usem a chave KMS por meio de qualquer uma das suas instâncias do IAM Identity Center. No entanto, AWS o Control Tower restringe o acesso à instância organizacional do IAM Identity Center na mesma AWS organização. Por causa dessa restrição, não há nenhum benefício prático em restringir ainda mais a chave KMS a uma instância específica do IAM Identity Center, conforme descrito em. Declarações de política chave avançadas do KMS

Declaração de política de chaves do KMS:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

AWS Control Tower não oferece suporte à administração delegada e, portanto, você não precisa configurar uma política do IAM para seus administradores.

Chave básica do KMS e declarações de política do IAM para uso do IAM Identity Center em instâncias Windows do Amazon Elastic Compute Cloud

Use o seguinte modelo de declaração de política de chaves do KMS Etapa 2: Preparar as principais declarações de política do KMS para permitir que os usuários de login único (SSO) nas instâncias EC2 do Amazon Windows usem a chave KMS em todas as contas.

  • Especifique os principais do IAM usados para acessar o IAM Identity Center no campo Principal. Para obter mais informações sobre os diretores do IAM, consulte Especificação de um diretor no Guia do usuário do IAM.

  • Essa declaração de política permite que qualquer uma das suas instâncias do IAM Identity Center use a chave KMS. Para restringir o acesso a uma instância específica do IAM Identity Center, consulteModelos de políticas .

Declaração de política de chaves do KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Use o seguinte modelo de declaração de política do IAM Etapa 4: configurar as políticas do IAM para o uso da chave KMS em várias contas para permitir que o SSO para instâncias EC2 do Windows usem a chave KMS.

Anexe a declaração de política do IAM ao conjunto de permissões existente no IAM Identity Center que você está usando para permitir o acesso por SSO às instâncias EC2 do Amazon Windows. Para exemplos de políticas do IAM, consulte Conexões do protocolo de desktop remoto no Guia do usuário do AWS Systems Manager.

  • Substitua o ARN de exemplo no elemento Resource pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte. Encontre os identificadores necessários

Política do IAM definida de permissões:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Chave básica do KMS e declarações de política do IAM para uso de fluxos de trabalho personalizados com o IAM Identity Center

Use os seguintes modelos de declaração de política de chaves do KMS Etapa 2: Preparar as principais declarações de política do KMS para permitir que fluxos de trabalho personalizados na conta de gerenciamento do AWS Organizations ou na conta de administração delegada usem a chave KMS.

  • Especifique os principais do IAM usados para acessar o IAM Identity Center APIs no elemento Principal. Para obter mais informações sobre os diretores do IAM, consulte Especificação de um diretor no Guia do usuário do IAM.

  • Essas declarações de política permitem que seu fluxo de trabalho use a chave KMS por meio de qualquer uma das instâncias do IAM Identity Center. Para restringir o acesso a uma instância específica do IAM Identity Center, consulteModelos de políticas .

Declaração de política de chaves do KMS:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Use o seguinte modelo de declaração de política do IAM Etapa 4: configurar as políticas do IAM para o uso da chave KMS em várias contas para permitir que o diretor do IAM associado ao fluxo de trabalho personalizado use a chave KMS em todas as contas. Adicione a declaração de política do IAM ao diretor do IAM.

  • Substitua o ARN de exemplo no elemento Resource pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte. Encontre os identificadores necessários

Declaração de política do IAM (necessária somente para uso entre contas):

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}