As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Proteção de dados no IAM Identity Center
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no AWS IAM Identity Center. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa toda a AWS nuvem. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos AWS serviços que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Perguntas frequentes sobre privacidade de dados](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte o artigo do blog [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
É recomendável também que você proteja seus dados da seguinte maneira:
+ Use a autenticação multifator (MFA) com o IAM Identity Center.
+ Use o TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções AWS de criptografia, juntamente com todos os controles de segurança padrão nos AWS serviços.
Recomendamos fortemente que você nunca insira informações confidenciais ou sensíveis, como os endereços de e-mail de clientes, em tags ou campos de texto livre, como um campo **Nome**. Isso inclui quando você trabalha com Centro de Identidade do AWS IAM ou outros AWS serviços usando o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de diagnóstico.
## Criptografia em trânsito
O IAM Identity Center protege os dados em trânsito, à medida que viajam de e para o serviço, criptografando automaticamente todos os dados entre redes usando o protocolo de criptografia Transport Layer Security (TLS) 1.2 ou TLS 1.3. As solicitações HTTPS diretas autenticadas com o IAM e enviadas para o IAM Identity Center APIs, a API Identity Store ou a API OIDC são assinadas usando o [algoritmo AWS Signature versão 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) para estabelecer uma conexão segura.
## Privacidade de dados
Com o IAM Identity Center, você retém o controle dos dados da organização. Suas identidades de usuário e grupo armazenadas no IAM Identity Center são compartilhadas com outros AWS serviços, como [aplicativos AWS gerenciados](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html), somente se você habilitá-las com o IAM Identity Center e se necessário para esses serviços.
Para obter informações adicionais, consulte as [Perguntas frequentes sobre privacidade de dados na AWS](https://aws.amazon.com/compliance/data-privacy-faq/).
## Retenção de dados
O IAM Identity Center armazena os dados, como identidades de usuários e grupos e metadados, até que você os exclua do serviço. Quando você exclui uma instância do IAM Identity Center, os dados que ela contém também são excluídos.
# Criptografia em repouso
O IAM Identity Center fornece criptografia para proteger os dados em repouso do cliente usando os seguintes tipos de chaves:
+ **Chaves pertencentes à AWS (tipo de chave padrão)** — O IAM Identity Center usa essas chaves por padrão para criptografar automaticamente seus dados. Você não pode visualizar, gerenciar, auditar seu uso ou usar chaves AWS próprias para outros fins. O IAM Identity Center gerencia totalmente o gerenciamento de chaves para manter os dados seguros, sem que você precise realizar qualquer ação. Para obter mais informações, consulte [Chaves de propriedade da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) no [https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ **Chaves gerenciadas pelo cliente** — Nas instâncias de organização do IAM Identity Center, você pode escolher uma chave simétrica gerenciada pelo cliente para criptografia do resto dos dados de identidade da força de trabalho, como atributos de usuário e grupo. É possível criar, possuir e gerenciar essas chaves de criptografia. Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
+ Estabelecer e manter políticas de chave para restringir o acesso à chave somente aos diretores do IAM que precisam de acesso, como o IAM Identity Center AWS Organizations e [AWS aplicativos gerenciados](awsapps.md) a seus administradores.
+ Como estabelecer e manter políticas do IAM para acesso à chave, incluindo acesso entre contas
+ Habilitar e desabilitar políticas de chaves
+ Alternar os materiais de criptografia de chave
+ Como auditar o acesso aos dados que exigem chave de acesso
+ Adicionar etiquetas
+ Criar réplicas de chaves
+ Chaves de agendamento para exclusão
Para saber como implementar uma chave KMS gerenciada pelo cliente no IAM Identity Center, consulte [Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM](identity-center-customer-managed-keys.md). Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte [Chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
**nota**
O IAM Identity Center habilita automaticamente a criptografia em repouso usando chaves KMS AWS próprias para proteger os dados do cliente sem nenhum custo. No entanto, AWS KMS cobranças se aplicam ao usar uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte [definição de preços da AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Considerações sobre a implementação de chaves gerenciadas pelo cliente:**
+ **Chaves dedicadas**: recomendamos criar uma nova chave KMS dedicada gerenciada pelo cliente para cada instância do IAM Identity Center, em vez de reutilizar uma chave existente. Essa abordagem fornece uma separação mais clara das tarefas, simplifica o gerenciamento do controle de acesso e torna a auditoria de segurança mais simples. Ter uma chave dedicada também reduz o risco ao limitar o impacto das alterações de chave em uma única instância do IAM Identity Center.
+ **Uso do IAM Identity Center em vários Regiões da AWS**: Se você planeja replicar sua instância do IAM Identity Center para outras Regiões da AWS, precisará usar uma chave KMS gerenciada pelo cliente para criptografia em repouso. O tipo de chave KMS de AWS propriedade padrão não é suportado em um IAM Identity Center multirregional. Para obter mais informações, consulte [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md).
**nota**
O IAM Identity Center usa criptografia de [criptografia envelopada](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption) dos dados de identidade da força de trabalho. A chave KMS cumpre a função de uma chave de empacotamento que criptografa a chave de dados que é realmente usada para criptografar os dados.
Para obter mais informações sobre o AWS KMS, consulte [O que é o AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)?
## Contexto de criptografia do IAM Identity Center
Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) é um conjunto opcional de pares de valores-chave não secretos que contêm informações contextuais adicionais sobre os dados. AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação. Consulte o [Guia do desenvolvedor do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) para obter mais informações sobre o contexto de criptografia.
O IAM Identity Center usa chaves de contexto de criptografia das seguintes: aws:sso:instance-arn, aws:identitystore:identitystore-arn e. tenant-key-id Por exemplo, o contexto de criptografia a seguir pode aparecer nas operações de AWS KMS API invocadas pela [API do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html).
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
O contexto de criptografia a seguir pode aparecer nas operações de AWS KMS API invocadas pela [API do Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html).
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Alguns dos modelos de política de chave do [Declarações de política de chave KMS avançadas](advanced-kms-policy.md) incluem essas condições para garantir que a chave seja usada somente com uma instância específica do IAM Identity Center.
## Como monitorar chaves de criptografia para o IAM Identity Center
Ao usar uma chave KMS gerenciada pelo cliente com sua instância do IAM Identity Center, você pode usar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)o [Amazon CloudWatch Logs para rastrear as solicitações para as](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) quais o IAM Identity Center envia. AWS KMS As operações da API KMS que o IAM Identity Center chama estão listadas em[Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements). CloudTrail os eventos dessas operações de API contêm o contexto de criptografia, que permite monitorar as operações de AWS KMS API chamadas pela instância do IAM Identity Center para acessar dados criptografados pela chave gerenciada pelo cliente.
Exemplo de contexto de criptografia em um CloudTrail evento de uma operação de AWS KMS API:
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS armazenamento, criptografia e exclusão dos atributos de identidade do IAM Identity Center em aplicativos gerenciados
Alguns aplicativos AWS gerenciados com os quais você implanta Centro de Identidade do AWS IAM, como AWS Systems Manager e Amazon CodeCatalyst, armazenam atributos específicos de usuários e grupos do IAM Identity Center em seu próprio armazenamento de dados. A criptografia em repouso com uma chave KMS gerenciada pelo cliente no IAM Identity Center não se estende aos atributos de usuário e grupo do IAM Identity Center armazenados em aplicativos AWS gerenciados. AWS os aplicativos gerenciados oferecem suporte a diferentes métodos de criptografia para os dados que eles armazenam. Por fim, quando você exclui atributos de usuário e grupo no IAM Identity Center, esses aplicativos AWS gerenciados podem continuar armazenando essas informações após sua exclusão no IAM Identity Center. Consulte o guia do usuário de seus aplicativos AWS gerenciados para ver a criptografia e a segurança dos dados armazenados nos aplicativos.
# Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM
As chaves gerenciadas pelo cliente são AWS chaves do Serviço de Gerenciamento de Chaves que você cria, possui e gerencia. Para implementar uma chave KMS gerenciada pelo cliente para criptografia em repouso no AWS IAM Identity Center, siga estas etapas:
**Importante**
Alguns aplicativos AWS gerenciados não podem ser usados com o AWS IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Consulte [AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md).
1. [Etapa 1: identificar casos de uso para a organização](#identify-use-cases) — Para definir as permissões corretas para o uso da chave KMS, você precisa identificar os casos de uso relevantes na organização. As permissões da chave KMS consistem em declarações de política de chave KMS e políticas baseadas em identidade que trabalham juntas para permitir que as entidades principais apropriadas do IAM usem a chave KMS para casos de uso específicos.
1. [Etapa 2: preparar as declarações de política de chave KMS](#choose-kms-key-policy-statements) — Escolha modelos de declaração de política de chave KMS pertinentes com base nos casos de uso identificados na Etapa 1 e preencha os identificadores obrigatórios e os nomes da entidade principal do IAM. Comece com as declarações de política de chave KMS de linha de base e, se as políticas de segurança exigirem, refine-as conforme descrito nas declarações de política de chaves avançadas do KMS.
1. [Etapa 3: criar uma chave KMS gerenciada pelo cliente](#create-customer-managed-kms-key)- Crie uma chave KMS no AWS KMS que atenda aos requisitos do IAM Identity Center e adicione as declarações de política de chaves do KMS preparadas na Etapa 2 à política de chaves do KMS.
1. [Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS](#configure-iam-policies-kms-key) — Escolha modelos de declaração de política do IAM pertinentes com base nos casos de uso identificados na Etapa 1 e prepare-os para uso preenchendo a chave ARN. Em seguida, permita que as entidades principais do IAM de cada caso de uso específico usem a chave KMS em todas as contas, adicionando as declarações de política do IAM preparadas às políticas do IAM das entidades principais.
1. [Etapa 5: configurar a chave KMS no IAM Identity Center](#configure-kms-key-in-iam-identity-center) — Habilite a chave KMS gerenciada pelo cliente na instância do IAM Identity Center para usá-la para criptografia em repouso.
## Etapa 1: identificar casos de uso para a organização
Antes de criar e configurar a chave KMS gerenciada pelo cliente, identifique os casos de uso e prepare as permissões exigidas da chave KMS. Consulte o [Guia do desenvolvedor do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) para obter mais informações sobre a política de chave KMS.
Os diretores do IAM que chamam o serviço IAM Identity Center APIs exigem permissões. Por exemplo, um administrador delegado pode ser autorizado a usá-los APIs por meio de uma política de conjunto de permissões. Quando o IAM Identity Center é configurado com uma chave gerenciada pelo cliente, os diretores do IAM também devem ter permissões para usar a API KMS por meio do serviço IAM Identity Center. APIs Você define essas permissões da API de KMS em dois lugares: na política de chave KMS e nas políticas do IAM associadas às entidades principais do IAM.
As permissões da chave KMS consistem em:
1. Declarações de política de chave KMS que você especifica na chave KMS durante a criação em [Etapa 3: criar uma chave KMS gerenciada pelo cliente](#create-customer-managed-kms-key).
1. Declarações de política do IAM para entidade principais do IAM que você especifica em [Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS](#configure-iam-policies-kms-key) depois de criar a chave KMS.
A tabela a seguir especifica os casos de uso relevantes e as entidades principais do IAM que precisam de permissões para usar a chave KMS.
| Caso de uso | Entidades principais do IAM que precisam de permissões para usar a chave KMS | Obrigatório/opcional |
| --- | --- | --- |
| Uso do AWS IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Obrigatório |
| Uso de aplicativos AWS gerenciados com o IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
| Uso de AWS Control Tower na instância do AWS IAM Identity Center que ele habilitou | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
| SSO para instâncias do Amazon EC2 AWS com o IAM Identity Center | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
| Qualquer outro caso de uso que faça chamadas para o serviço IAM Identity Center APIs com diretores do IAM, como aplicativos gerenciados pelo cliente, fluxos de trabalho de provisionamento de conjuntos de permissões ou funções AWS Lambda | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | Opcional |
**nota**
Vários diretores do IAM listados na tabela exigem permissões da API AWS KMS. No entanto, para proteger seus dados de usuários e grupos no IAM Identity Center, somente os serviços IAM Identity Center e Identity Store chamam diretamente a API AWS KMS.
## Etapa 2: preparar as declarações de política de chave KMS
Depois de identificar os casos de uso relevantes para a organização, você pode preparar as declarações de política de chave KMS correspondentes.
1. Escolha as declarações de política de chave KMS que correspondam aos casos de uso da organização. Comece com os modelos de política de linha de base. Se você precisar de políticas mais específicas com base nos requisitos de segurança, poderá modificar as declarações de política usando os exemplos em [Declarações de política de chave KMS avançadas](advanced-kms-policy.md). Para obter orientação sobre essa decisão, consulte [Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline). Além disso, cada seção de linha de base em [Declarações de chave KMS e de política do IAM de linha de base](baseline-KMS-key-policy.md) inclui considerações relevantes.
1. Copie as políticas relevantes para um editor e insira os identificadores exigidos e os nomes das entidades principais do IAM nas declarações de política de chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte [Onde encontrar os identificadores necessários](#find-the-required-identifiers).
A seguir estão os modelos de política de linha de base para cada caso de uso. Somente o primeiro conjunto de permissões do AWS IAM Identity Center é necessário para usar uma chave KMS. Recomendamos analisar as subseções aplicáveis para obter informações adicionais específicas do caso de uso.
+ [Declarações da política de chave KMS de linha de base para uso do IAM Identity Center (obrigatório)](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-iam-identity-center-mandatory)
+ [Chave básica do KMS e declarações de política do IAM para uso de AWS aplicativos gerenciados](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)
+ [Declaração chave básica do KMS para uso de AWS Control Tower](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-specific-use-cases)
+ [Chave básica do KMS e declarações de política do IAM para uso do IAM Identity Center em instâncias do Amazon EC2](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-sso-to-amazon-ec2-windows-instances)
+ [Chave KMS de linha de base e declarações de política do IAM para uso de fluxos de trabalho personalizados com o IAM Identity Center](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**Importante**
Tenha cuidado ao modificar as políticas de chave KMS para chaves já em uso pelo IAM Identity Center. Embora o IAM Identity Center valide as permissões de criptografia e descriptografia quando você configura inicialmente uma chave KMS, ele não pode verificar alterações de política subsequentes. A remoção inadvertida das permissões necessárias pode interromper a operação normal do IAM Identity Center. Para obter orientação sobre como solucionar erros comuns relacionados às chaves gerenciadas pelo cliente no IAM Identity Center, consulte [Solucione problemas de chaves gerenciadas pelo cliente em Centro de Identidade do AWS IAM](cmk-related-errors.md).
**nota**
O IAM Identity Center e o Identity Store associado exigem permissões de nível de serviço para usar a chave KMS gerenciada pelo cliente. Esse requisito se estende aos aplicativos AWS gerenciados que chamam o serviço IAM Identity Center APIs usando credenciais de serviço. Para outros casos de uso em que o serviço IAM Identity Center APIs é chamado com [sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), somente o principal do IAM iniciante (como um administrador) precisa de permissões de chave KMS. Notavelmente, os usuários finais que usam o portal de AWS acesso e os aplicativos AWS gerenciados não precisam de permissões diretas da chave KMS, pois elas são concedidas por meio dos respectivos serviços.
## Etapa 3: criar uma chave KMS gerenciada pelo cliente
Você pode criar uma chave gerenciada pelo cliente usando o AWS Management Console ou o AWS KMS. APIs Ao criar a chave, adicione as declarações de política de chave KMS que você preparou na Etapa 2 à política de chave KMS. Para obter instruções detalhadas, incluindo orientações sobre a política de chave padrão do KMS, consulte o [Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
A chave deve atender aos seguintes requisitos:
+ A chave KMS deve estar na mesma AWS região da instância do IAM Identity Center
+ Você pode criar um cluster de região única ou multirregional. No entanto, se você planeja usar o IAM Identity Center em vários, Regiões da AWS você deve criar uma chave KMS multirregional. Você não pode converter uma chave KMS de região única em uma de várias regiões, portanto, recomendamos começar com uma chave KMS de várias regiões, a menos que você tenha requisitos específicos para usar uma chave KMS de região única.
+ A chave KMS deve ser uma chave simétrica configurada para o uso de “criptografar e descriptografar”
+ A chave KMS deve estar na mesma conta AWS Organizations de gerenciamento da instância organizacional do IAM Identity Center
**nota**
Se você planeja replicar essa chave do KMS para regiões nas quais deseja replicar sua Central de Identidades do IAM, recomendamos que você primeiro conclua a configuração nesta seção e, em seguida, siga as orientações em [Replique o IAM Identity Center para uma região adicional](replicate-to-additional-region.md)
## Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS
Qualquer diretor do IAM que usa o serviço IAM Identity Center APIs de outra AWS conta, como administradores delegados do IAM Identity Center, também precisa de uma declaração de política do IAM que permita o uso da chave KMS por meio deles. APIs
Para cada caso de uso identificado na etapa 1:
1. Localize os modelos de declaração de política do IAM pertinentes na chave KMS da linha de base e nas declarações de política do IAM.
1. Copie os modelos para um editor e preencha a chave ARN, que agora está disponível após a criação da chave KMS na etapa 3. Para obter ajuda para encontrar o valor ARN da chave, consulte [Onde encontrar os identificadores necessários](#find-the-required-identifiers).
1. No Console de gerenciamento da AWS, localize a política do IAM do principal do IAM que está associada ao caso de uso. O local da política varia de acordo com o caso de uso e como o acesso é concedido.
+ Para o acesso concedido diretamente no IAM, você pode localizar as entidades principais do IAM, como perfis do IAM no console do IAM.
+ Para acesso concedido pelo IAM Identity Center, você pode localizar o conjunto de permissões pertinente no console do IAM Identity Center.
1. Adicione as declarações de política do IAM específicas do caso de uso ao perfil do IAM e salve a alteração.
**nota**
As políticas do IAM descritas aqui são políticas baseadas em identidade. Embora essas políticas possam ser anexadas a usuários, grupos e perfis do IAM, recomendamos o uso de perfis do IAM sempre que possível. Consulte o Guia do Usuário do IAM para obter mais informações sobre perfis do IAM versus usuários do IAM.
### Configuração adicional em alguns aplicativos AWS gerenciados
Alguns aplicativos AWS gerenciados exigem que você configure uma função de serviço para permitir que os aplicativos usem o serviço IAM Identity Center APIs. Se sua organização usa aplicativos AWS gerenciados com o IAM Identity Center, conclua as etapas a seguir para cada aplicativo implantado:
1. Consulte o guia do usuário da aplicação para confirmar se as permissões foram atualizadas para incluir permissões relacionadas à chave KMS para uso da aplicação com o IAM Identity Center.
1. Nesse caso, atualize as permissões conforme as instruções no guia do usuário do @aplicação para evitar interrupções nas operações da aplicação.
**nota**
Se você não tiver certeza se um aplicativo AWS gerenciado usa essas permissões, recomendamos que você verifique os guias do usuário de todos os aplicativos AWS gerenciados implantados. Você só precisa realizar essa configuração uma vez para cada aplicação que requer a configuração.
## Etapa 5: configurar a chave KMS no IAM Identity Center
**Importante**
Antes de prosseguir com esta etapa:
Verifique se seus aplicativos AWS gerenciados são compatíveis com as chaves KMS gerenciadas pelo cliente. Para obter uma lista de aplicações compatíveis, consulte [Aplicações gerenciadas pela AWS que você pode usar com o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html). Se você tiver aplicações incompatíveis, não continue.
Configure as permissões necessárias para o uso da chave KMS. Sem as permissões adequadas, essa etapa pode falhar ou interromper a administração do IAM Identity Center, o uso de aplicações gerenciadas pela AWS e outros casos de uso que exigem permissões de chave KMS. Para obter mais informações, consulte [Etapa 1: identificar casos de uso para a organização](#identify-use-cases).
Certifique-se de que as permissões para aplicativos AWS gerenciados e aplicativos gerenciados pelo cliente que chamam o serviço IAM Identity Center APIs com funções do IAM também permitam o uso da chave KMS por meio do serviço APIs IAM Identity Center. Alguns aplicativos AWS gerenciados exigem que você configure permissões, como uma função de serviço, para o uso deles APIs. Consulte o Guia do usuário de cada aplicativo AWS gerenciado implantado para confirmar se você precisa adicionar permissões específicas da chave KMS.
### Especificar uma chave KMS ao habilitar uma nova instância de organização do IAM Identity Center
Ao habilitar uma nova instância de organização do IAM Identity Center, você pode especificar uma chave KMS gerenciada pelo cliente durante a configuração. Isso garante que a instância use a chave para criptografia em repouso desde o início. Antes de começar, consulte [Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS](considerations-for-customer-managed-kms-keys-advanced.md).
1. Na página **Habilitar IAM Identity Center**, expanda a seção **Criptografia em repouso**.
1. Escolha **Manage Encryption (Gerenciar criptografia)**.
1. Escolha **Chave gerenciada pelo cliente**.
1. Em **Chave KMS**, realize um destes procedimentos:
1. Escolha **Selecionar nas chaves KMS** e selecione a chave que você criou na lista suspensa.
1. Escolha **Inserir ARN da chave KMS** e insira o ARN completo da chave.
1. Escolha **Salvar**.
1. Escolha **Habilitar** para concluir a configuração.
Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html).
### Alterar a configuração de chaves para uma instância de organização existente do IAM Identity Center
Você pode alterar a chave KMS gerenciada pelo cliente para outra chave ou mudar para uma chave de propriedade da AWS a qualquer momento.
------
#### [ Console ]
**Para alterar a configuração da chave KMS**
1. Abra o console do IAM Identity Center em [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. No painel de navegação, selecione **Configurações**.
1. Selecione a guia **Configurações adicionais**.
1. Escolha **Gerenciar criptografia**.
1. Escolha uma das seguintes opções:
1. **Chave gerenciada pelo cliente** — Selecione uma chave gerenciada pelo cliente diferente na lista suspensa ou insira um novo ARN da chave.
1. **AWS chave própria** - Mude para a opção de criptografia padrão.
1. Escolha **Salvar**.
------
#### [ AWS CLI ]
**Para alterar uma instância de organização existente do IAM Identity Center para usar a chave KMS gerenciada pelo cliente**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration \
KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
**Para alterar uma instância de organização existente do IAM Identity Center para usar a chave de propriedade da AWS **
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```
------
**Considerações sobre chave gerenciada pelo cliente**
+ Atualizar a configuração da chave KMS para a operação do IAM Identity Center não tem efeito nas sessões ativas do usuário no IAM Identity Center. Você pode continuar usando o portal de AWS acesso, o console do IAM Identity Center e o serviço IAM Identity Center APIs durante esse processo.
+ Ao mudar para uma nova chave KMS, o IAM Identity Center valida que pode usar a chave com sucesso para criptografia e descriptografia. Se você cometeu um erro durante a configuração da política de chave ou da política do IAM, o console mostrará uma mensagem de erro explicativa e a chave KMS anterior permanecerá em uso.
+ A rotação anual padrão de chaves KMS ocorrerá automaticamente. Você pode consultar o [Guia do desenvolvedor do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) para obter informações sobre tópicos como [rotação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), [monitoramento de chaves AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html) e [controle do acesso à exclusão de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html).
**Importante**
Se a chave KMS gerenciada pelo cliente em uso pela instância do IAM Identity Center for excluída, desabilitada ou tornar-se inacessível devido a uma política de chave KMS incorreta, os usuários da força de trabalho e os administradores do IAM Identity Center não poderão usar o IAM Identity Center. A perda de acesso pode ser temporária (uma política de chave pode ser corrigida) ou permanente (uma chave excluída não pode ser restaurada), dependendo das circunstâncias. Recomendamos que você [restrinja o acesso](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) a operações críticas, como excluir ou desativar a chave KMS. Além disso, recomendamos que sua organização configure [procedimentos de acesso AWS rápidos](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) para garantir que seus usuários privilegiados possam acessar AWS caso o IAM Identity Center esteja inacessível.
## Onde encontrar os identificadores necessários
Ao configurar as permissões para a chave KMS gerenciada pelo cliente, você precisará de identificadores de recursos da AWS específicos para atender à política de chave e os modelos de declaração de política do IAM. Insira os identificadores exigidos (por exemplo, ID da organização) e os nomes das entidades principais do IAM nas declarações de política de chave KMS.
Abaixo está um guia para localizar esses identificadores no AWS Management Console.
**IAM Identity Center: nome do recurso da Amazon (ARN) e ARN do Identity Store**
Uma instância do IAM Identity Center é um AWS recurso com seu próprio ARN exclusivo, como arn:aws:sso: ::instance/ssoins-1234567890abcdef. O ARN segue o padrão documentado na seção de tipos de recursos do IAM Identity Center da Referência de autorização de serviço.
Cada instância do IAM Identity Center tem um Identity Store associado que armazena as identidades do usuário e do grupo. Um Identity Store tem um identificador exclusivo chamado Identity Store ID (por exemplo, d-123456789a). O ARN segue o padrão documentado na seção Tipos de recursos do Identity Store da [Referência de autorização de serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html).
Você pode encontrar os valores do ARN e do ID do Identity Store na página Configurações do IAM Identity Center. O ID do repositório de identidades está na aba Fonte de identidade.
**AWS Organizations ID**
Se você quiser especificar um ID da organização (por exemplo, o-exampleorg1) na política de chave, pode encontrar o valor na página Configurações dos consoles IAM Identity Center e Organizations. O ARN segue o padrão documentado na seção Tipos de recursos do Organizations da Referência de autorização de serviço.
**ARN da chave KMS**
Você pode encontrar o ARN de uma chave KMS no console. AWS KMS Escolha Chaves gerenciadas pelo cliente à esquerda, clique na chave cujo ARN você deseja pesquisar e você a verá na seção Configuração geral. O ARN segue o padrão documentado na seção de tipos de AWS KMS recursos da Referência de Autorização de Serviço.
Consulte o Guia do AWS Key Management Service desenvolvedor para obter mais informações sobre as principais políticas AWS KMS e a solução de problemas de AWS KMS permissões. Para obter mais informações sobre as políticas do IAM e a representação em JSON, consulte o Guia do usuário do IAM.
# Declarações de chave KMS e de política do IAM de linha de base
A chave KMS de linha de base e as políticas baseadas em identidade fornecidas aqui servem como base para requisitos comuns. Também recomendamos que você revise se [Declarações de política de chave KMS avançadas](advanced-kms-policy.md) fornece controles de acesso mais granulares, como garantir que a chave KMS seja acessível somente para uma instância específica do IAM Identity Center ou aplicação gerenciada pela AWS . Antes de usar declarações avançadas de política de chave KMS, revise [Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
As seções a seguir fornecem declarações de política de linha de base para cada caso de uso. Expanda as seções que correspondem aos seus casos de uso e copie as principais declarações de política do KMS. Em seguida, volte para[Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements).
## Declarações da política de chave KMS de linha de base para uso do IAM Identity Center (obrigatório)
Use o seguinte modelo de declaração de política de chave KMS em [Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que os administradores do IAM Identity Center, do Identity Store associado e do IAM Identity Center usem a chave KMS.
+ No elemento Principal das declarações de política do administrador, especifique os diretores das contas de administração do IAM Identity Center, que são a AWS conta de gerenciamento da AWS organização e a conta de administração delegada, usando o formato “arn:aws:iam: :111122223333:root”.
+ No PrincipalArn elemento, substitua o exemplo pelas ARNs funções do IAM dos administradores do IAM Identity Center.
Você pode especificar:
+ ARN específico de perfil do IAM:
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678"`
+ Padrão curinga (recomendado):
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"`
O uso do curinga (`*`) evita a perda de acesso se o conjunto de permissões for excluído e recriado, pois o Identity Center gera novos identificadores exclusivos para conjuntos de permissões recriados. Para ver um exemplo de implementação, consulte[Exemplos de políticas personalizadas](referencingpermissionsets.md#custom-trust-policy-example).
+ No SourceAccount elemento, especifique o ID da conta do IAM Identity Center.
+ O Identity Store tem a própria entidade principal de serviço, `identitystore.amazonaws.com`, que deve ter permissão para usar a chave KMS.
+ Essas declarações de política permitem que suas instâncias do IAM Identity Center em uma AWS conta específica usem a chave KMS. Para restringir o acesso a uma instância específica do IAM Identity Center, consulte [Declarações de política de chave KMS avançadas](advanced-kms-policy.md). Você pode ter somente uma instância do IAM Identity Center para cada AWS conta.
Declarações de política de chave KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
Use o seguinte modelo de declaração de política do IAM em [Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que os administradores do IAM Identity Center usem a chave KMS.
+ Substitua o exemplo da chave ARN no elemento `Resource` pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte [Onde encontrar os identificadores necessários](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Essas declarações de política do IAM concedem acesso à chave KMS ao principal do IAM, mas não restringem qual AWS serviço pode fazer a solicitação. A política de chave KMS normalmente fornece essas restrições de serviço. No entanto, você pode adicionar contexto de criptografia a essa política do IAM para limitar o uso a uma instância específica do Identity Center. Para obter detalhes, consulte [Declarações de política de chave KMS avançadas](advanced-kms-policy.md).
Declarações de política do IAM exigidas para administradores delegados do IAM Identity Center
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
}
]
}
```
## Chave básica do KMS e declarações de política do IAM para uso de AWS aplicativos gerenciados
**nota**
Alguns aplicativos AWS gerenciados não podem ser usados com o IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Para obter mais informações, consulte as [Aplicações gerenciadas pela AWS que funcionam com o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Use o seguinte modelo de declaração de política de chaves do KMS [Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que os aplicativos AWS gerenciados e seus administradores usem a chave KMS.
+ Insira seu AWS Organizations ID no PrincipalOrg ID e SourceOrgId nas condições. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte [Onde encontrar os identificadores necessários](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Essas declarações de política permitem que qualquer um dos seus aplicativos AWS gerenciados e quaisquer diretores do IAM (administradores de aplicativos) na AWS organização usem o kms: Decrypt usando o IAM Identity Center e o Identity Store. Para restringir essas declarações de política a aplicações gerenciadas pela AWS específicas, contas ou instâncias do IAM Identity Center, consulte [Declarações de política de chave KMS avançadas](advanced-kms-policy.md).
Você pode restringir o acesso a administradores de aplicações específicas substituindo o ` *` pelas entidades principais específicas do IAM. Para se proteger contra alterações no nome do perfil do IAM quando os conjuntos de permissões são recriados, use a abordagem mostrada em [Exemplos de políticas personalizadas](referencingpermissionsets.md#custom-trust-policy-example). Para obter mais informações, consulte [Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline).
Declarações de política de chave KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
Use o seguinte modelo de declaração de política do IAM [Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que administradores de aplicações gerenciadas pela AWS usem a chave KMS de uma conta de membro.
+ Substitua o ARN de exemplo no elemento Resource pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte [Onde encontrar os identificadores necessários](identity-center-customer-managed-keys.md#find-the-required-identifiers).
+ Alguns aplicativos AWS gerenciados exigem que você configure permissões para o serviço IAM Identity Center APIs. Antes de configurar uma chave gerenciada pelo cliente no IAM Identity Center, verifique se essas permissões também permitem o uso da chave KMS. Para requisitos específicos de permissão da chave KMS, consulte a documentação de cada aplicação gerenciada pela AWS que você implantou.
Declarações de política do IAM necessárias para administradores de aplicativos AWS gerenciados:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Declaração chave básica do KMS para uso de AWS Control Tower
Use os seguintes modelos de declaração de chave KMS [Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que os administradores do AWS Control Tower usem a chave KMS.
+ No elemento Principal, especifique os principais do IAM usados para acessar o serviço APIs do IAM Identity Center. Para obter mais informações sobre as entidades principais do IAM, consulte [Como especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) no *Guia do usuário do IAM*.
+ Essas declarações de política permitem que os administradores do AWS Control Tower usem a chave KMS por meio de qualquer uma das suas instâncias do IAM Identity Center. No entanto, AWS o Control Tower restringe o acesso à instância organizacional do IAM Identity Center na mesma AWS organização. Por causa dessa restrição, não há nenhum benefício prático em restringir ainda mais a chave KMS a uma instância específica do IAM Identity Center, conforme descrito em. [Declarações de política de chave KMS avançadas](advanced-kms-policy.md)
+ Para ajudar a se proteger contra alterações no nome da função do IAM quando os conjuntos de permissões são recriados, use a abordagem descrita no[Exemplos de políticas personalizadas](referencingpermissionsets.md#custom-trust-policy-example).
Declaração de política de chaves do KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
AWS Control Tower não oferece suporte à administração delegada e, portanto, você não precisa configurar uma política do IAM para seus administradores.
**Importante**
A declaração de política anterior abrange operações AWS Control Tower gerenciadas por serviços, como inscrição automática de contas, onde AWS Control Tower assume a função. `AWSControlTowerAdmin` No entanto, para operações iniciadas pelo cliente, como provisionar contas por meio do Account Factory ou ligar AWS Control Tower APIs diretamente, AWS Control Tower usa [sessões de acesso direto (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) e opera sob a função IAM do próprio cliente. Isso significa que a função do IAM que você usa para iniciar essas operações também precisa de `kms:Decrypt` permissões na chave KMS gerenciada pelo cliente.
Adicione as seguintes declarações de política chave do KMS ao lado das `AWSControlTowerAdmin` declarações acima. *MyControlTowerRole*Substitua pelo ARN da função do IAM com a qual você usa para interagir AWS Control Tower, como uma função do conjunto de permissões do IAM Identity Center (por exemplo,`AWSReservedSSO_PermissionSetName_*`), uma função personalizada do IAM para automação ou qualquer outra função usada para chamar AWS Control Tower ou. AWS Service Catalog APIs
Declaração de política chave do KMS para operações iniciadas pelo cliente AWS Control Tower :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityCenterForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityStoreForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
## Chave básica do KMS e declarações de política do IAM para uso do IAM Identity Center em instâncias do Amazon EC2
Use o seguinte modelo de declaração de política de chaves do KMS [Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que usuários de login único (SSO) nas instâncias do Amazon EC2 usem a chave KMS em todas as contas.
+ Especifique as entidades principais do IAM usadas para acessar o IAM Identity Center no campo Entidade principal. Para obter mais informações sobre as entidades principais do IAM, consulte [Como especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) no *Guia do usuário do IAM*.
+ Essa declaração de política permite que qualquer uma das instâncias do IAM Identity Center use a chave KMS. Para restringir o acesso a uma instância específica do IAM Identity Center, consulte [Declarações de política de chave KMS avançadas](advanced-kms-policy.md).
+ Para ajudar a se proteger contra alterações no nome do perfil do IAM quando os conjuntos de permissões são recriados, use a abordagem descrita no Exemplo de política de confiança personalizada.
Declaração de política de chaves do KMS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Use o seguinte modelo de declaração de política do IAM [Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que o SSO para instâncias do EC2 usem a chave KMS.
Anexe a declaração de política do IAM ao conjunto de permissões existente no IAM Identity Center que você está usando para permitir o acesso por SSO às instâncias do Amazon EC2. Para exemplos de políticas do IAM, consulte [Conexões do protocolo de desktop remoto](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-iam-policy-examples) no *Guia do usuário do AWS Systems Manager*.
+ Substitua o ARN de exemplo no elemento Resource pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte [Onde encontrar os identificadores necessários](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Política do IAM do conjunto de permissões:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Chave KMS de linha de base e declarações de política do IAM para uso de fluxos de trabalho personalizados com o IAM Identity Center
Use os seguintes modelos de declaração de política de chaves do KMS [Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para permitir que fluxos de trabalho personalizados, como aplicativos gerenciados pelo cliente, na conta de AWS Organizations gerenciamento ou na conta de administração delegada usem a chave KMS. Observe que a federação do SAML em aplicativos gerenciados pelo cliente não exige permissões de chave KMS.
+ No elemento Principal, especifique os principais do IAM usados para acessar o serviço APIs do IAM Identity Center. Para obter mais informações sobre as entidades principais do IAM, consulte [Como especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) no *Guia do usuário do IAM*.
+ Essas declarações de política permitem que o fluxo de trabalho use a chave KMS em qualquer uma das instâncias do IAM Identity Center. Para restringir o acesso a uma instância específica do IAM Identity Center, consulte [Declarações de política de chave KMS avançadas](advanced-kms-policy.md).
+ Para ajudar a se proteger contra alterações no nome da função do IAM quando os conjuntos de permissões são recriados, use a abordagem descrita no[Exemplos de políticas personalizadas](referencingpermissionsets.md#custom-trust-policy-example).
Declaração de política de chaves do KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
Use o seguinte modelo de declaração de política do IAM em [Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) para permitir que a entidade principal do IAM associada ao fluxo de trabalho personalizado use a chave KMS em todas as contas. Adicione a declaração de política do IAM à entidade principal do IAM.
+ Substitua o ARN de exemplo no elemento Resource pelo ARN real da chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte [Onde encontrar os identificadores necessários](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Declaração de política do IAM (exigida somente para uso entre contas):
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## Exemplos de declarações de política chave do KMS para casos de uso comuns
### IAM Identity Center com administradores delegados e AWS aplicativos gerenciados
Esta seção contém exemplos de declarações de política de chaves do KMS que você pode usar para uma instância do IAM Identity Center que tenha administradores delegados e AWS aplicativos gerenciados.
**Importante**
As declarações de política de chaves do KMS presumem que sua instância do IAM Identity Center não é usada em nenhum outro caso de uso que exija permissões de chave do KMS. Para confirmar, você pode analisar todos os [casos de uso](identity-center-customer-managed-keys.md#identify-use-cases). Além disso, para confirmar se seus aplicativos AWS gerenciados exigem configuração adicional, consulte [Configuração adicional em alguns aplicativos AWS gerenciados](identity-center-customer-managed-keys.md#additional-config-in-some-aws-apps)
Copie as declarações da política de chaves do KMS abaixo da tabela e adicione-as à sua política de chaves do KMS. Este exemplo usa os seguintes valores de exemplo:
+ `111122223333`- ID da conta da instância do IAM Identity Center
+ `444455556666`- ID da conta de administração delegada
+ `o-a1b2c3d4e5`- ID AWS da organização
+ ` arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*`- Um padrão curinga da função IAM de um administrador do IAM Identity Center provisionado a partir do conjunto de permissões. *Admin* Essa função contém o código de região da região primária (us-east-1 neste exemplo).
+ ` arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*`- Um padrão curinga da função IAM de administrador delegado do IAM Identity Center provisionado a partir do conjunto de permissões. *DelegatedAdmin* Essa função contém o código de região da região primária (us-east-1 neste exemplo).
Se a função do IAM não foi gerada a partir de um conjunto de permissões, a função do IAM parecerá uma função normal, como`arn:aws:iam::111122223333:role/idcadmin`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
# Declarações de política de chave KMS avançadas
Use declarações de política de chave KMS avançadas para implementar controles de acesso mais granulares para a chave KMS gerenciada pelo cliente. Essas políticas se baseiam em [Declarações de chave KMS e de política do IAM de linha de base](baseline-KMS-key-policy.md) adicionando condições de contexto de criptografia e restrições específicas do serviço. Antes de decidir se você deve usar declarações de política de chave KMS avançadas, analise as considerações pertinentes.
## Como usar o contexto de criptografia para restringir o acesso
Você pode restringir o uso da chave KMS a uma instância específica do IAM Identity Center especificando uma condição de contexto de criptografia nas declarações de política de chave. As declarações políticas de chave de linha de base já incluem esse contexto com um valor genérico. Substitua o caractere curinga “\$1” por um ARN específico da instância do Identity Center e pelo ARN do Identity Store para garantir que a chave funcione somente com a instância pretendida. Você também pode adicionar as mesmas condições de contexto de criptografia à política do IAM configurada para o uso entre contas da chave KMS.
Identity Center
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Armazenamento de identidades
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
Se precisar de ajuda para encontrar esses identificadores, consulte[Onde encontrar os identificadores necessários](identity-center-customer-managed-keys.md#find-the-required-identifiers).
**nota**
Você pode usar uma chave KMS gerenciada pelo cliente somente com uma instância de organização do IAM Identity Center. A chave gerenciada pelo cliente deve estar localizada na conta de gerenciamento da AWS organização, o que ajuda a garantir que a chave seja usada com uma única instância do IAM Identity Center. No entanto, o mecanismo de contexto de criptografia fornece uma proteção técnica independente do uso de uma única instância. Você também pode usar a chave de condição `aws:SourceArn` nas declarações de política de chave KMS destinadas às entidades principais de serviço do Identity Center e do Identity Store.
### Considerações para implementar condições de contexto de criptografia
Antes de implementar as condições de contexto de criptografia, analise estes requisitos:
+ **DescribeKey ação.** O contexto de criptografia não pode ser aplicado à ação “kms:DescribeKey”, que pode ser usada pelos administradores do IAM Identity Center. Ao configurar a política de chave KMS, exclua o contexto de criptografia dessa ação específica para garantir as operações adequadas da instância do IAM Identity Center.
+ **Configuração da nova instância.** Se for habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente, consulte [Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS](considerations-for-customer-managed-kms-keys-advanced.md).
+ **Alterações na fonte de identidade.** Ao alterar a fonte de identidade de ou para o Active Directory, o contexto de criptografia requer atenção especial. Consulte [Considerações para alterar sua fonte de identidade](manage-your-identity-source-considerations.md).
## Modelos de políticas
Escolha entre esses modelos de política avançada com base nos requisitos de segurança. Equilibre os controles de acesso granulares com a sobrecarga administrativa que eles introduzem.
Tópicos abordados aqui:
+ [Declarações de política do KMS para uso somente para leitura de uma instância específica do IAM Identity Center](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). Esta seção demonstra o uso do contexto de criptografia para acesso somente leitura ao IAM Identity Center.
+ [Declarações de política chave do KMS refinadas para uso de aplicativos AWS gerenciados](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). Esta seção demonstra como refinar as políticas de chaves do KMS para aplicativos AWS gerenciados usando o contexto de criptografia e as informações do aplicativo, como o principal do serviço do aplicativo, o ARN do aplicativo e o ID da conta. AWS
## Declarações de política do KMS para uso somente para leitura de uma instância específica do IAM Identity Center
Essa política permite que [auditores de segurança](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) e outros funcionários que precisam apenas de acesso de leitura ao IAM Identity Center usem a chave KMS.
Para usar essa política:
1. Substituir as amostras de entidades principais do IAM de administrador somente leitura pelas entidades principais do IAM de administrador reais
1. Substituir o exemplo de ARN da instância do IAM Identity Center pelo ARN da instância real
1. Substituir o exemplo do Identity Store ARN pelo ARN real do Identity Store
1. Se estiver usando a [administração delegada](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html), consulte [Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)
Se precisar de ajuda para encontrar os valores desses identificadores, consulte[Onde encontrar os identificadores necessários](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Depois de atualizar o modelo com os valores, volte a [Etapa 2: preparar as declarações de política de chave KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) para preparar declarações adicionais de política de chave KMS, conforme necessário.
A ação kms: Decrypt sozinha não restringe o acesso às operações somente para leitura. A política do IAM deve impor o acesso somente de leitura no serviço IAM Identity Center. APIs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## Declarações de política chave do KMS refinadas para uso de aplicativos AWS gerenciados
Esses modelos de política fornecem um controle mais granular sobre quais aplicativos AWS gerenciados podem usar sua chave KMS.
**nota**
Alguns aplicativos AWS gerenciados não podem ser usados com o IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Consulte [Aplicações gerenciadas pela AWS que você pode usar com o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
Eles [Chave básica do KMS e declarações de política do IAM para uso de AWS aplicativos gerenciados](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications) permitem que qualquer aplicativo AWS gerenciado de qualquer conta na mesma AWS organização use a chave KMS. Use essas políticas refinadas para restringir o acesso por meio de:
+ Entidade principal do serviço de aplicação
+ Instância do aplicativo ARNs
+ AWS account IDs
+ Contexto de criptografia para instâncias específicas do IAM Identity Center
**nota**
Um principal de serviço é um identificador exclusivo para um AWS serviço, normalmente formatado como servicename.amazonaws.com (por exemplo, elasticmapreduce.amazonaws.com para Amazon EMR).
### Restringir por conta
Esse modelo de declaração de política de chaves do KMS permite que um aplicativo AWS gerenciado em AWS contas específicas use a chave KMS usando uma instância específica do IAM Identity Center.
Para usar essa política:
1. Substituir a amostra da entidade principal de serviço pela entidade principal de serviço da aplicação real
1. Substitua a conta IDs de exemplo pela conta real em IDs que seus aplicativos AWS gerenciados são implantados
1. Substituir o exemplo do Identity Store ARN pelo ARN real do Identity Store
1. Substituir o exemplo de ARN da instância do IAM Identity Center pelo ARN da instância real
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### Restringir por instância da aplicação
Esse modelo de declaração de política de chaves do KMS permite que uma instância específica do aplicativo AWS gerenciado use a chave KMS usando uma instância específica do IAM Identity Center.
Para usar essa política:
1. Substituir a amostra da entidade principal de serviço pela entidade principal de serviço da aplicação real
1. Substituir o ARN da aplicação de exemplo pelo ARN real da instância da aplicação
1. Substituir o exemplo do Identity Store ARN pelo ARN real do Identity Store
1. Substituir o exemplo de ARN da instância do IAM Identity Center pelo ARN da instância real
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS
Ao implementar chaves KMS gerenciadas pelo cliente com o IAM Identity Center, considere esses fatores que afetam a configuração, a segurança e a manutenção contínua de a configuração de criptografia.
## Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas
Ao decidir se deve tornar as permissões da chave KMS mais específicas usando [Declarações de política de chave KMS avançadas](advanced-kms-policy.md), considere a sobrecarga de gerenciamento e as necessidades de segurança da organização. Declarações de política mais específicas fornecem um controle mais refinado sobre quem pode usar a chave e para quais propósitos; no entanto, elas exigem manutenção contínua à medida que a configuração do IAM Identity Center evolui. Por exemplo, se você restringir o uso da chave KMS a implantações específicas de aplicativos AWS gerenciados, precisará atualizar a política de chaves sempre que sua organização quiser implantar ou desimplantar um aplicativo. Políticas menos restritivas reduzem a carga administrativa, mas podem conceder permissões mais amplas do que as necessárias para os requisitos de segurança.
## Considerações para habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente
As considerações aqui se aplicam se você estiver usando o contexto de criptografia conforme descrito em [Declarações de política de chave KMS avançadas](advanced-kms-policy.md) para restringir o uso da chave KMS a uma instância específica do IAM Identity Center.
Ao habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente, o IAM Identity Center e o Identity Store ARNs não estarão disponíveis até a configuração. Você tem as seguintes opções:
+ Use padrões ARN genéricos temporariamente e, em seguida, substitua por full ARNs depois que a instância for ativada. Lembre-se de alternar entre StringLike operadores StringEquals e conforme necessário.
+ Para o IAM Identity Center SPN: "arn:\$1\$1Partition\$1:sso:::instance/\$1".
+ Para o Identity Store SPN: "arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/\$1".
+ Use “Purpose:KEY\$1CONFIGURATION” no ARN temporariamente. Isso funciona somente para habilitação de instâncias e deve ser substituído pelo ARN real para que a instância do IAM Identity Center funcione normalmente. A vantagem dessa abordagem é que você não pode esquecer de substituí-la depois que a instância estiver habilitada.
+ Para o IAM Identity Center SPN, use: "arn:\$1\$1Partition\$1:sso:::instance/purpose:KEY\$1CONFIGURATION"
+ Para o Identity Store SPN, use: "arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/purpose:KEY\$1CONFIGURATION"
**Importante**
Não aplique essa configuração a uma chave KMS já em uso em uma instância existente do IAM Identity Center, pois isso pode interromper as operações normais.
+ Omita a condição do contexto de criptografia da política de chave KMS até que a instância seja habilitada.