As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso
O IAM Identity Center fornece criptografia para proteger os dados em repouso do cliente usando os seguintes tipos de chaves:
-
(Tipo de chave padrão) Chaves pertencentes à AWS — O IAM Identity Center usa essas chaves por padrão para criptografar automaticamente os dados. Você não pode visualizar, gerenciar, auditar o uso ou usar chaves de propriedade da AWS para outros fins. O IAM Identity Center gerencia totalmente o gerenciamento de chaves para manter os dados seguros, sem que você precise realizar qualquer ação. Para obter mais informações, consulte Chaves de propriedade da AWS no Guia do desenvolvedor do AWS Key Management Service.
-
Chaves gerenciadas pelo cliente — Nas instâncias de organização do IAM Identity Center, você pode escolher uma chave simétrica gerenciada pelo cliente para criptografia do resto dos dados de identidade da força de trabalho, como atributos de usuário e grupo. É possível criar, possuir e gerenciar essas chaves de criptografia. Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
-
Estabelecer e manter políticas importantes para restringir o acesso à chave somente às entidades principais do IAM que precisam de acesso, como o IAM Identity Center e AWS aplicativos gerenciados no mesmo AWS Organizations e respectivos administradores.
-
Como estabelecer e manter políticas do IAM para acesso à chave, incluindo acesso entre contas
-
Habilitar e desabilitar políticas de chaves
-
Alternar os materiais de criptografia de chave
-
Como auditar o acesso aos dados que exigem chave de acesso
-
Adicionar etiquetas
-
Criar réplicas de chaves
-
Chaves de agendamento para exclusão
-
Para saber como implementar uma chave KMS gerenciada pelo cliente no IAM Identity Center, consulte Como implementar chaves KMS gerenciadas pelo cliente no AWS IAM Identity Center. Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Chave gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.
nota
O IAM Identity Center habilita automaticamente a criptografia em repouso usando chaves KMS de propriedade da AWS para proteger dados do cliente sem nenhum custo. No entanto, o AWS KMS faz cobranças pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte definição de preços da AWS Key Management Service
Considerações sobre a implementação de chaves gerenciadas pelo cliente:
-
Exceção para sessões existentes: a criptografia em repouso com uma chave gerenciada pelo cliente também se aplica aos dados de identidade da força de trabalho, como atributos de usuário e grupo, armazenados temporariamente nas sessões do usuário. Quando você configura uma chave gerenciada pelo cliente no IAM Identity Center, a chave gerenciada pelo cliente é usada para criptografar dados de identidade da força de trabalho em novas sessões. Nas sessões iniciadas antes do lançamento desse atributo, os dados de identidade da força de trabalho permanecem criptografados com o padrão Chaves pertencentes à AWS até a expiração da sessão (máximo de 90 dias) ou o encerramento, momento em que esses dados são excluídos automaticamente.
-
Chaves dedicadas: recomendamos criar uma nova chave KMS dedicada gerenciada pelo cliente para cada instância do IAM Identity Center, em vez de reutilizar uma chave existente. Essa abordagem fornece uma separação mais clara das tarefas, simplifica o gerenciamento do controle de acesso e torna a auditoria de segurança mais simples. Ter uma chave dedicada também reduz o risco ao limitar o impacto das alterações de chave em uma única instância do IAM Identity Center.
nota
O IAM Identity Center usa criptografia de criptografia envelopada dos dados de identidade da força de trabalho. A chave KMS cumpre a função de uma chave de empacotamento que criptografa a chave de dados que é realmente usada para criptografar os dados.
Para obter mais informações sobre o AWS KMS, consulte O que é o AWS Key Management Service?
Contexto de criptografia do IAM Identity Center
Um contexto de criptografia é um conjunto opcional de pares de chave-valor não secretos que contém informações contextuais adicionais sobre os dados. O AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto da criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre o contexto de criptografia.
O IAM Identity Center usa chaves de contexto de criptografia do seguinte: aws:sso:instance-arn, aws:identitystore:identitystore-arn e tenant-key-id. Por exemplo, o contexto de criptografia a seguir pode aparecer nas operações da API AWS KMS invocadas pela API do IAM Identity Center.
"encryptionContext": { "tenant-key-id": "ssoins-1234567890abcdef", "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }
O contexto de criptografia a seguir pode aparecer nas operações da API AWS KMS invocadas pela API do Identity Store.
"encryptionContext": { "tenant-key-id": "12345678-1234-1234-1234-123456789012", "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890" }
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Alguns dos modelos de política de chave do Declarações de política de chave KMS avançadas incluem essas condições para garantir que a chave seja usada somente com uma instância específica do IAM Identity Center.
Como monitorar chaves de criptografia para o IAM Identity Center
Ao usar uma chave KMS gerenciada pelo cliente com instância do IAM Identity Center, você pode usar o AWS CloudTrail ou o Amazon CloudWatch Logs para rastrear as solicitações que o IAM Identity Center envia ao AWS KMS. As operações da API KMS que o IAM Identity Center chama estão listadas em Etapa 2: preparar as declarações de política de chave KMS. Os eventos do CloudTrail para essas operações de API contêm o contexto de criptografia, o que permite monitorar as operações da API AWS KMS chamadas pela instância do IAM Identity Center para acessar dados criptografados pela chave gerenciada pelo cliente.
Exemplo de contexto de criptografia em um evento do CloudTrail de uma operação da API AWS KMS:
{ "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx", "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx" } } }
Armazenamento, criptografia e exclusão dos atributos de identidade do IAM Identity Center em aplicações gerenciadas pela AWS
Algumas aplicações gerenciadas pela AWS que você implanta com AWS IAM Identity Center, como AWS Systems Manager e Amazon CodeCatalyst, armazenam atributos específicos de usuário e grupo do IAM Identity Center no próprio armazenamento de dados. A criptografia em repouso com uma chave KMS gerenciada pelo cliente no IAM Identity Center não se estende aos atributos de usuário e grupo do IAM Identity Center armazenados em aplicações gerenciadas pela AWS. As aplicações gerenciados pela AWS oferecem suporte a diferentes métodos de criptografia para os dados que armazenam. Por fim, quando você exclui atributos de usuário e grupo no IAM Identity Center, esses aplicações gerenciadas pela AWS podem continuar armazenando essas informações após a exclusão no IAM Identity Center. Consulte o guia do usuário das aplicações gerenciadas pela AWS para ver a criptografia e a segurança dos dados armazenados nas aplicações.
