Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS - AWS IAM Identity Center
Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadasConsiderações para habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS

Ao implementar chaves KMS gerenciadas pelo cliente com o IAM Identity Center, considere esses fatores que afetam a configuração, a segurança e a manutenção contínua de a configuração de criptografia.

Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas

Ao decidir se deve tornar as permissões da chave KMS mais específicas usando Declarações de política de chave KMS avançadas, considere a sobrecarga de gerenciamento e as necessidades de segurança da organização. Declarações de política mais específicas fornecem um controle mais refinado sobre quem pode usar a chave e para quais propósitos; no entanto, elas exigem manutenção contínua à medida que a configuração do IAM Identity Center evolui. Por exemplo, se você restringir o uso da chave KMS a implantações específicas de aplicações gerenciadas pela AWS, precisará atualizar a política de chave sempre que a organização quiser implantar ou desimplantar uma aplicação. Políticas menos restritivas reduzem a carga administrativa, mas podem conceder permissões mais amplas do que as necessárias para os requisitos de segurança.

Considerações para habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente

As considerações aqui se aplicam se você estiver usando o contexto de criptografia conforme descrito em Declarações de política de chave KMS avançadas para restringir o uso da chave KMS a uma instância específica do IAM Identity Center.

Ao habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente, os ARNs do IAM Identity Center e do Identity Store não estarão disponíveis até a configuração. Você tem as seguintes opções:

  • Use padrões de ARN genéricos temporariamente e substitua por ARNs completos depois que a instância for habilitada. Lembre-se de alternar entre os operadores StringEquals e StringLike conforme necessário.

    • Para o IAM Identity Center SPN: "arn:${Partition}:sso:::instance/*".

    • Para o Identity Store SPN: "arn:${Partition}:identitystore::${Account}:identitystore/*".

  • Use “Purpose:KEY_CONFIGURATION” no ARN temporariamente. Isso funciona somente para habilitação de instâncias e deve ser substituído pelo ARN real para que a instância do IAM Identity Center funcione normalmente. A vantagem dessa abordagem é que você não pode esquecer de substituí-la depois que a instância estiver habilitada.

    • Para o IAM Identity Center SPN, use: "arn:${Partition}:sso:::instance/purpose:KEY_CONFIGURATION"

    • Para o Identity Store SPN, use: "arn:${Partition}:identitystore::${Account}:identitystore/purpose:KEY_CONFIGURATION"

    Importante

    Não aplique essa configuração a uma chave KMS já em uso em uma instância existente do IAM Identity Center, pois isso pode interromper as operações normais.

  • Omita a condição do contexto de criptografia da política de chave KMS até que a instância seja habilitada.