As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso
O IAM Identity Center fornece criptografia para proteger os dados em repouso do cliente usando os seguintes tipos de chaves:
-
Chaves pertencentes à AWS (tipo de chave padrão) — O IAM Identity Center usa essas chaves por padrão para criptografar automaticamente seus dados. Você não pode visualizar, gerenciar, auditar seu uso ou usar chaves AWS próprias para outros fins. O IAM Identity Center gerencia totalmente o gerenciamento de chaves para manter os dados seguros, sem que você precise realizar qualquer ação. Para obter mais informações, consulte Chaves de propriedade da AWS no Guia do desenvolvedor do AWS Key Management Service .
-
Chaves gerenciadas pelo cliente — Nas instâncias de organização do IAM Identity Center, você pode escolher uma chave simétrica gerenciada pelo cliente para criptografia do resto dos dados de identidade da força de trabalho, como atributos de usuário e grupo. É possível criar, possuir e gerenciar essas chaves de criptografia. Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
-
Estabelecer e manter políticas importantes para restringir o acesso à chave somente aos diretores do IAM que precisam de acesso, como o IAM Identity Center AWS Organizations e AWS aplicativos gerenciados a seus administradores.
-
Como estabelecer e manter políticas do IAM para acesso à chave, incluindo acesso entre contas
-
Habilitar e desabilitar políticas de chaves
-
Alternar os materiais de criptografia de chave
-
Como auditar o acesso aos dados que exigem chave de acesso
-
Adicionar etiquetas
-
Criar réplicas de chaves
-
Chaves de agendamento para exclusão
-
Para saber como implementar uma chave KMS gerenciada pelo cliente no IAM Identity Center, consulte Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM. Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Chave gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service .
nota
O IAM Identity Center habilita automaticamente a criptografia em repouso usando chaves KMS AWS próprias para proteger os dados do cliente sem nenhum custo. No entanto, AWS KMS cobranças se aplicam ao usar uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte definição de preços da AWS Key Management Service
Considerações sobre a implementação de chaves gerenciadas pelo cliente:
-
Chaves dedicadas: recomendamos criar uma nova chave KMS dedicada gerenciada pelo cliente para cada instância do IAM Identity Center, em vez de reutilizar uma chave existente. Essa abordagem fornece uma separação mais clara das tarefas, simplifica o gerenciamento do controle de acesso e torna a auditoria de segurança mais simples. Ter uma chave dedicada também reduz o risco ao limitar o impacto das alterações de chave em uma única instância do IAM Identity Center.
-
Uso do IAM Identity Center em vários Regiões da AWS: Se você planeja replicar sua instância do IAM Identity Center para outras Regiões da AWS, precisará usar uma chave KMS gerenciada pelo cliente para criptografia em repouso. O tipo de chave KMS de AWS propriedade padrão não é suportado em um IAM Identity Center multirregional. Para obter mais informações, consulte Usando o IAM Identity Center em vários Regiões da AWS.
nota
O IAM Identity Center usa criptografia de criptografia envelopada dos dados de identidade da força de trabalho. A chave KMS cumpre a função de uma chave de empacotamento que criptografa a chave de dados que é realmente usada para criptografar os dados.
Para obter mais informações sobre o AWS KMS, consulte O que é o AWS Key Management Service?
Contexto de criptografia do IAM Identity Center
Um contexto de criptografia é um conjunto opcional de pares de valores-chave não secretos que contêm informações contextuais adicionais sobre os dados. AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre o contexto de criptografia.
O IAM Identity Center usa chaves de contexto de criptografia das seguintes: aws:sso:instance-arn, aws:identitystore:identitystore-arn e. tenant-key-id Por exemplo, o contexto de criptografia a seguir pode aparecer nas operações de AWS KMS API invocadas pela API do IAM Identity Center.
"encryptionContext": { "tenant-key-id": "ssoins-1234567890abcdef", "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }
O contexto de criptografia a seguir pode aparecer nas operações de AWS KMS API invocadas pela API do Identity Store.
"encryptionContext": { "tenant-key-id": "12345678-1234-1234-1234-123456789012", "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890" }
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Alguns dos modelos de política de chave do Declarações de política de chave KMS avançadas incluem essas condições para garantir que a chave seja usada somente com uma instância específica do IAM Identity Center.
Como monitorar chaves de criptografia para o IAM Identity Center
Ao usar uma chave KMS gerenciada pelo cliente com sua instância do IAM Identity Center, você pode usar AWS CloudTrailo Amazon CloudWatch Logs para rastrear as solicitações para as quais o IAM Identity Center envia. AWS KMS As operações da API KMS que o IAM Identity Center chama estão listadas emEtapa 2: preparar as declarações de política de chave KMS. CloudTrail os eventos dessas operações de API contêm o contexto de criptografia, que permite monitorar as operações de AWS KMS API chamadas pela instância do IAM Identity Center para acessar dados criptografados pela chave gerenciada pelo cliente.
Exemplo de contexto de criptografia em um CloudTrail evento de uma operação de AWS KMS API:
{ "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx", "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx" } } }
AWS armazenamento, criptografia e exclusão dos atributos de identidade do IAM Identity Center em aplicativos gerenciados
Alguns aplicativos AWS gerenciados com os quais você implanta Centro de Identidade do AWS IAM, como AWS Systems Manager e Amazon CodeCatalyst, armazenam atributos específicos de usuários e grupos do IAM Identity Center em seu próprio armazenamento de dados. A criptografia em repouso com uma chave KMS gerenciada pelo cliente no IAM Identity Center não se estende aos atributos de usuário e grupo do IAM Identity Center armazenados em aplicativos AWS gerenciados. AWS os aplicativos gerenciados oferecem suporte a diferentes métodos de criptografia para os dados que eles armazenam. Por fim, quando você exclui atributos de usuário e grupo no IAM Identity Center, esses aplicativos AWS gerenciados podem continuar armazenando essas informações após sua exclusão no IAM Identity Center. Consulte o guia do usuário de seus aplicativos AWS gerenciados para ver a criptografia e a segurança dos dados armazenados nos aplicativos.
