As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso
O IAM Identity Center fornece criptografia para proteger os dados do cliente em repouso usando os seguintes tipos de chave:
-
Chaves pertencentes à AWS (tipo de chave padrão) — O IAM Identity Center usa essas chaves por padrão para criptografar automaticamente seus dados. Você não pode visualizar, gerenciar, auditar seu uso ou usar chaves AWS próprias para outros fins. O IAM Identity Center lida inteiramente com o gerenciamento de chaves para manter seus dados seguros, sem que você precise realizar nenhuma ação. Para obter mais informações, consulte AWS owned keys no Guia do Desenvolvedor do AWS Key Management Service .
-
Chaves gerenciadas pelo cliente — Nas instâncias organizacionais do IAM Identity Center, você pode escolher uma chave simétrica gerenciada pelo cliente para criptografia do resto dos dados de identidade da sua força de trabalho, como atributos de usuário e grupo. Você cria, possui e gerencia essas chaves de criptografia. Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
-
Estabelecer e manter políticas importantes para restringir o acesso à chave somente aos diretores do IAM que precisam de acesso, como o IAM Identity Center AWS Organizations e AWS aplicativos gerenciados a seus administradores.
-
Estabelecer e manter políticas do IAM para acesso à chave, incluindo acesso entre contas
-
Habilitar e desabilitar políticas de chaves
-
Alternar os materiais de criptografia de chave
-
Auditando o acesso aos seus dados que exigem acesso chave
-
Adicionar etiquetas
-
Criar réplicas de chaves
-
Chaves de agendamento para exclusão
-
Para saber como implementar uma chave KMS gerenciada pelo cliente no IAM Identity Center, consulteImplementando chaves KMS gerenciadas pelo cliente em AWS IAM Identity Center. Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte a chave gerenciada pelo cliente no Guia do AWS Key Management Service desenvolvedor.
nota
O IAM Identity Center habilita automaticamente a criptografia em repouso usando chaves KMS AWS próprias para proteger os dados do cliente sem nenhum custo. No entanto, AWS KMS cobranças se aplicam ao usar uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte definição de preços da AWS Key Management Service
Considerações sobre a implementação de chaves gerenciadas pelo cliente:
-
Exceção para sessões existentes: a criptografia em repouso com uma chave gerenciada pelo cliente também se aplica aos dados de identidade da força de trabalho, como atributos de usuário e grupo, armazenados temporariamente nas sessões do usuário. Quando você configura uma chave gerenciada pelo cliente no IAM Identity Center, a chave gerenciada pelo cliente é usada para criptografar dados de identidade da força de trabalho em novas sessões. Nas sessões iniciadas antes do lançamento desse recurso, os dados de identidade da força de trabalho permanecem criptografados com o padrão Chaves pertencentes à AWS até a expiração da sessão (máximo de 90 dias) ou o encerramento, momento em que esses dados são excluídos automaticamente.
-
Chaves dedicadas: recomendamos criar uma nova chave KMS dedicada gerenciada pelo cliente para cada instância do IAM Identity Center, em vez de reutilizar uma chave existente. Essa abordagem fornece uma separação mais clara das tarefas, simplifica o gerenciamento do controle de acesso e torna a auditoria de segurança mais simples. Ter uma chave dedicada também reduz o risco ao limitar o impacto das alterações de chave em uma única instância do IAM Identity Center.
nota
O IAM Identity Center usa criptografia de envelope na criptografia dos dados de identidade da sua força de trabalho. Sua chave KMS desempenha o papel de uma chave de empacotamento que criptografa a chave de dados que é realmente usada para criptografar os dados.
Para obter mais informações sobre o AWS KMS, consulte O que é o AWS Key Management Service?
Contexto de criptografia do IAM Identity Center
Um contexto de criptografia é um conjunto opcional de pares de valores-chave não secretos que contêm informações contextuais adicionais sobre os dados. AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação. Consulte o Guia do AWS KMS desenvolvedor para obter mais informações sobre o contexto de criptografia.
O IAM Identity Center usa chaves de contexto de criptografia das seguintes: aws:sso:instance-arn, aws:identitystore:identitystore-arn e. tenant-key-id Por exemplo, o contexto de criptografia a seguir pode aparecer nas operações de AWS KMS API invocadas pela API do IAM Identity Center.
"encryptionContext": { "tenant-key-id": "ssoins-1234567890abcdef", "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }
O contexto de criptografia a seguir pode aparecer nas operações de AWS KMS API invocadas pela API do Identity Store.
"encryptionContext": { "tenant-key-id": "12345678-1234-1234-1234-123456789012", "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890" }
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Alguns dos principais modelos de política do Declarações de política chave avançadas do KMS incluem essas condições para garantir que a chave seja usada somente com uma instância específica do IAM Identity Center.
Monitorando suas chaves de criptografia para o IAM Identity Center
Ao usar uma chave KMS gerenciada pelo cliente com sua instância do IAM Identity Center, você pode usar AWS CloudTrailo Amazon CloudWatch Logs para rastrear as solicitações para as quais o IAM Identity Center envia. AWS KMS As operações da API KMS que o IAM Identity Center chama estão listadas emEtapa 2: Preparar as principais declarações de política do KMS. CloudTrail os eventos dessas operações de API contêm o contexto de criptografia, que permite monitorar as operações de AWS KMS API chamadas pela instância do IAM Identity Center para acessar dados criptografados pela chave gerenciada pelo cliente.
Exemplo de contexto de criptografia em um CloudTrail evento de uma operação de AWS KMS API:
{ "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx", "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx" } } }
AWS armazenamento, criptografia e exclusão dos atributos de identidade do IAM Identity Center em aplicativos gerenciados
Alguns aplicativos AWS gerenciados com os quais você implanta AWS IAM Identity Center, como AWS Systems Manager e Amazon CodeCatalyst, armazenam atributos específicos de usuários e grupos do IAM Identity Center em seu próprio armazenamento de dados. A criptografia em repouso com uma chave KMS gerenciada pelo cliente no IAM Identity Center não se estende aos atributos de usuário e grupo do IAM Identity Center armazenados em aplicativos AWS gerenciados. AWS os aplicativos gerenciados oferecem suporte a diferentes métodos de criptografia para os dados que eles armazenam. Por fim, quando você exclui atributos de usuário e grupo no IAM Identity Center, esses aplicativos AWS gerenciados podem continuar armazenando essas informações após sua exclusão no IAM Identity Center. Consulte o guia do usuário de seus aplicativos AWS gerenciados para ver a criptografia e a segurança dos dados armazenados nos aplicativos.
