As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Implementando chaves KMS gerenciadas pelo cliente em AWS IAM Identity Center
nota
As chaves KMS AWS IAM Identity Center gerenciadas pelo cliente estão atualmente disponíveis em AWS regiões selecionadas.
As chaves gerenciadas pelo cliente são AWS chaves do Serviço de Gerenciamento de Chaves que você cria, possui e gerencia. Para implementar uma chave KMS gerenciada pelo cliente para criptografia em repouso no AWS IAM Identity Center, siga estas etapas:
Importante
Alguns aplicativos AWS gerenciados não podem ser usados com o AWS IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Consulte AWS aplicativos gerenciados que você pode usar com o IAM Identity Center.
-
Etapa 1: identificar casos de uso para sua organização- Para definir as permissões corretas para o uso da chave KMS, você precisa identificar os casos de uso relevantes em sua organização. As permissões da chave KMS consistem em declarações de política de chaves KMS e políticas baseadas em identidade que trabalham juntas para permitir que os diretores apropriados do IAM usem a chave KMS para seus casos de uso específicos.
-
Etapa 2: Preparar as principais declarações de política do KMS- Escolha modelos de declaração de política de chaves do KMS pertinentes com base nos casos de uso identificados na Etapa 1 e preencha os identificadores obrigatórios e os nomes principais do IAM. Comece com as declarações básicas da política de chaves do KMS e, se suas políticas de segurança exigirem, refine-as conforme descrito nas declarações de política de chaves avançadas do KMS.
-
Etapa 3: criar uma chave KMS gerenciada pelo cliente- Crie uma chave KMS no AWS KMS que atenda aos requisitos do IAM Identity Center e adicione as declarações de política de chaves do KMS preparadas na Etapa 2 à política de chaves do KMS.
-
Etapa 4: configurar as políticas do IAM para o uso da chave KMS em várias contas- Escolha modelos de declaração de política do IAM pertinentes com base nos casos de uso identificados na Etapa 1 e prepare-os para uso preenchendo a chave ARN. Em seguida, permita que os diretores do IAM de cada caso de uso específico usem a chave KMS em todas as contas adicionando as declarações de política do IAM preparadas às políticas do IAM dos diretores.
-
Etapa 5: configurar a chave KMS no IAM Identity Center- IMPORTANTE: Antes de prosseguir com essa etapa, valide completamente todas as permissões da chave KMS configuradas nas etapas anteriores. Depois de concluído, o IAM Identity Center começará a usar a chave KMS para criptografia em repouso.
Etapa 1: identificar casos de uso para sua organização
Antes de criar e configurar sua chave KMS gerenciada pelo cliente, identifique seus casos de uso e prepare as permissões necessárias da chave KMS. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre a política de chaves do KMS.
Os diretores do IAM que chamam o IAM Identity Center e o Identity Store APIs exigem permissões. Por exemplo, um administrador delegado pode ser autorizado a usá-los APIs por meio de uma política de conjunto de permissões. Quando o IAM Identity Center é configurado com uma chave gerenciada pelo cliente, os diretores do IAM também devem ter permissões para usar a API KMS por meio do IAM Identity Center e do Identity Store. APIs Você define essas permissões da API KMS em dois lugares: na política de chaves do KMS e nas políticas do IAM associadas aos diretores do IAM.
As permissões da chave KMS consistem em:
-
Declarações de política de chaves KMS que você especifica na chave KMS durante sua criação em. Etapa 3: criar uma chave KMS gerenciada pelo cliente
-
Declarações de política do IAM para diretores do IAM que você especifica Etapa 4: configurar as políticas do IAM para o uso da chave KMS em várias contas depois de criar a chave KMS.
A tabela a seguir especifica os casos de uso relevantes e os principais do IAM que precisam de permissões para usar sua chave KMS.
| Caso de uso | Diretores do IAM que precisam de permissões para usar a chave KMS | Obrigatório/opcional |
|---|---|---|
| Uso do AWS IAM Identity Center |
|
Obrigatório |
| Uso de aplicativos AWS gerenciados com o IAM Identity Center |
|
Opcional |
| Uso de AWS Control Tower na instância do AWS IAM Identity Center que ele habilitou |
|
Opcional |
| SSO para instâncias EC2 do Amazon Windows com o AWS IAM Identity Center |
|
Opcional |
| Qualquer outro caso de uso que faça chamadas para a API IAM Identity Center ou a API Identity Store, como conjunto de permissões, provisionamento, fluxos de trabalho ou funções AWS Lambda |
|
Opcional |
nota
Vários diretores do IAM listados na tabela exigem permissões da API AWS KMS. No entanto, para proteger seus dados de usuários e grupos no IAM Identity Center, somente os serviços IAM Identity Center e Identity Store chamam diretamente a API AWS KMS.
Etapa 2: Preparar as principais declarações de política do KMS
Depois de identificar os casos de uso relevantes para sua organização, você pode preparar as declarações de política chave do KMS correspondentes.
-
Escolha as principais declarações de política do KMS que correspondam aos casos de uso da sua organização. Comece com os modelos básicos de políticas. Se você precisar de políticas mais específicas com base em seus requisitos de segurança, poderá modificar as declarações de política usando os exemplos emDeclarações de política chave avançadas do KMS. Para obter orientação sobre essa decisão, consulteConsiderações sobre a escolha das principais declarações de política do KMS em comparação com as avançadas. Além disso, cada seção de linha de base Declarações básicas da chave KMS e da política do IAM inclui considerações relevantes.
-
Copie as políticas relevantes para um editor e insira os identificadores necessários e os nomes principais do IAM nas declarações de política chave do KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte. Encontre os identificadores necessários
A seguir estão os modelos básicos de política para cada caso de uso. Somente o primeiro conjunto de permissões do AWS IAM Identity Center é necessário para usar uma chave KMS. Recomendamos que você revise as subseções aplicáveis para obter informações adicionais específicas do caso de uso.
Importante
Tenha cuidado ao modificar as políticas de chaves do KMS para chaves já em uso pelo IAM Identity Center. Embora o IAM Identity Center valide as permissões de criptografia e descriptografia quando você configura inicialmente uma chave KMS, ele não pode verificar as alterações subsequentes na política. A remoção inadvertida das permissões necessárias pode interromper a operação normal do seu IAM Identity Center. Para obter orientação sobre como solucionar erros comuns relacionados às chaves gerenciadas pelo cliente no IAM Identity Center, consulteSolucione problemas de chaves gerenciadas pelo cliente em AWS IAM Identity Center.
nota
O IAM Identity Center e seu Identity Store associado exigem permissões de nível de serviço para usar sua chave KMS gerenciada pelo cliente. Esse requisito se estende aos aplicativos AWS gerenciados que ligam para o IAM Identity Center APIs usando credenciais de serviço. Para outros casos de uso em que os Centros de Identidade do IAM APIs são chamados com sessões de acesso direto, somente o principal do IAM iniciante (como um administrador) precisa de permissões de chave do KMS. Notavelmente, os usuários finais que usam o portal de AWS acesso e os aplicativos AWS gerenciados não precisam de permissões diretas da chave KMS, pois elas são concedidas por meio dos respectivos serviços.
Etapa 3: criar uma chave KMS gerenciada pelo cliente
Você pode criar uma chave gerenciada pelo cliente usando o AWS Management Console ou o AWS KMS. APIs Ao criar a chave, adicione as declarações de política de chaves do KMS que você preparou na Etapa 2 à política de chaves do KMS. Para obter instruções detalhadas, incluindo orientações sobre a política de chaves padrão do KMS, consulte o Guia do desenvolvedor do AWS Key Management Service.
A chave deve atender aos seguintes requisitos:
-
A chave KMS deve estar na mesma AWS região da instância do IAM Identity Center
-
Você pode escolher uma chave multirregional ou uma chave de região única. Para manter a compatibilidade futura com seus futuros casos de uso em várias AWS regiões, recomendamos escolher uma chave multirregional
-
A chave KMS deve ser uma chave simétrica configurada para uso de “criptografar e descriptografar”
-
A chave KMS deve estar na mesma conta AWS Organizations de gerenciamento da instância organizacional do IAM Identity Center
Etapa 4: configurar as políticas do IAM para o uso da chave KMS em várias contas
Qualquer diretor do IAM que usa o IAM Identity Center e o Identity Store APIs de outra AWS conta, como administradores delegados do IAM Identity Center, também precisa de uma declaração de política do IAM que permita o uso da chave KMS por meio deles. APIs
Para cada caso de uso identificado na etapa 1:
-
Localize os modelos de declaração de política do IAM pertinentes na chave básica do KMS e nas declarações de política do IAM.
-
Copie os modelos para um editor e preencha a chave ARN, que agora está disponível após a criação da chave KMS na etapa 3. Para obter ajuda para encontrar o valor do ARN da chave, consulte. Encontre os identificadores necessários
-
No AWS Management Console, localize a política do IAM do principal do IAM que está associada ao caso de uso. A localização dessa política varia de acordo com o caso de uso e como o acesso é concedido.
Para o acesso concedido diretamente no IAM, você pode localizar os principais do IAM, como funções do IAM no console do IAM.
Para o acesso concedido pelo IAM Identity Center, você pode localizar o conjunto de permissões pertinente no console do IAM Identity Center.
-
Adicione as declarações de política do IAM específicas do caso de uso à função do IAM e salve a alteração.
nota
As políticas do IAM descritas aqui são políticas baseadas em identidade. Embora essas políticas possam ser anexadas a usuários, grupos e funções do IAM, recomendamos o uso de funções do IAM sempre que possível. Consulte o guia do usuário do IAM para obter mais informações sobre funções do IAM versus usuários do IAM.
Configuração adicional em alguns aplicativos AWS gerenciados
Alguns aplicativos AWS gerenciados exigem que você configure uma função de serviço para permitir que os aplicativos usem o IAM Identity Center e o Identity Store APIs. Se sua organização usa aplicativos AWS gerenciados com o IAM Identity Center, conclua as etapas a seguir para cada aplicativo implantado:
-
Consulte o guia do usuário do aplicativo para confirmar se as permissões foram atualizadas para incluir permissões relacionadas à chave KMS para uso do aplicativo com o IAM Identity Center.
-
Nesse caso, atualize as permissões conforme as instruções no guia do usuário do aplicativo para evitar interrupções nas operações do aplicativo.
nota
Se você não tiver certeza se um aplicativo AWS gerenciado usa essas permissões, recomendamos que você verifique os guias do usuário de todos os aplicativos AWS gerenciados implantados. Você só precisa realizar essa configuração uma vez para cada aplicativo que requer a configuração.
Etapa 5: configurar a chave KMS no IAM Identity Center
Importante
Antes de prosseguir com esta etapa:
-
Verifique se seus aplicativos AWS gerenciados são compatíveis com as chaves KMS gerenciadas pelo cliente. Para obter uma lista de aplicativos compatíveis, consulte aplicativos AWS gerenciados que você pode usar com o IAM Identity Center. Se você tiver aplicativos incompatíveis, não continue.
-
Configure as permissões necessárias para o uso da chave KMS. Sem as permissões adequadas, essa etapa pode falhar ou interromper a administração e os aplicativos AWS gerenciados do IAM Identity Center. Para obter mais informações, consulte Etapa 1: identificar casos de uso para sua organização.
-
Certifique-se de que as permissões para aplicativos AWS gerenciados também permitam o uso da chave KMS por meio do IAM Identity Center e do Identity Store APIs. Alguns aplicativos AWS gerenciados exigem que você configure permissões, como uma função de serviço, para o uso deles APIs. Consulte o Guia do usuário de cada aplicativo AWS gerenciado implantado para confirmar se você precisa adicionar permissões específicas da chave KMS.
Alterar a configuração da chave KMS
Você pode alterar sua chave KMS gerenciada pelo cliente para outra chave ou mudar para uma AWS chave própria a qualquer momento.
Para alterar a configuração da chave KMS
-
Abra o console do IAM Identity Center.
-
No painel de navegação, selecione Configurações.
-
Selecione a guia Configurações adicionais.
-
Escolha Gerenciar criptografia.
-
Escolha uma das seguintes opções:
-
Chave gerenciada pelo cliente - selecione uma chave gerenciada pelo cliente diferente na lista suspensa ou insira um novo ARN da chave.
-
AWS chave própria - Mude para a opção de criptografia padrão.
-
-
Escolha Salvar.
Principais considerações gerenciadas pelo cliente
-
Atualizar a configuração da chave KMS para a operação do IAM Identity Center não tem efeito nas sessões ativas do usuário no seu IAM Identity Center. Você pode continuar usando o portal de AWS acesso, o console do IAM Identity Center e o IAM Identity Center APIs durante esse processo.
-
Ao mudar para uma nova chave KMS, o IAM Identity Center valida que ele pode usar a chave com sucesso para criptografia e descriptografia. Se você cometeu um erro durante a configuração da política de chaves ou da política do IAM, o console mostrará uma mensagem de erro explicativa e a chave KMS anterior permanecerá em uso.
-
A rotação anual padrão de chaves do KMS ocorrerá automaticamente. Você pode consultar o Guia do AWS KMS desenvolvedor para obter informações sobre tópicos como rotação de chaves, monitoramento de AWS KMS chaves e controle do acesso à exclusão de chaves.
Importante
Se a chave KMS gerenciada pelo cliente em uso pela sua instância do IAM Identity Center for excluída, desativada ou inacessível devido a uma política de chave KMS incorreta, os usuários da sua força de trabalho e os administradores do IAM Identity Center não poderão usar o IAM Identity Center. A perda de acesso pode ser temporária (uma política de chaves pode ser corrigida) ou permanente (uma chave excluída não pode ser restaurada), dependendo das circunstâncias. Recomendamos que você restrinja o acesso a operações críticas, como excluir ou desativar a chave KMS. Além disso, recomendamos que sua organização configure procedimentos de acesso AWS rápidos para garantir que seus usuários privilegiados possam acessar AWS no caso improvável de o IAM Identity Center ficar inacessível.
Encontre os identificadores necessários
Ao configurar as permissões para sua chave KMS gerenciada pelo cliente, você precisará de identificadores de AWS recursos específicos para preencher a política de chaves e os modelos de declaração de política do IAM. Insira os identificadores necessários (por exemplo, ID da organização) e os nomes principais do IAM nas declarações de política de chaves do KMS.
Abaixo está um guia para localizar esses identificadores no AWS Management Console.
Nome de recurso da Amazon (ARN) do IAM Identity Center e ARN do Identity Store
Uma instância do IAM Identity Center é um AWS recurso com seu próprio ARN exclusivo, como arn:aws:sso: ::instance/ssoins-1234567890abcdef. O ARN segue o padrão documentado na seção de tipos de recursos do IAM Identity Center da Referência de Autorização de Serviço.
Cada instância do IAM Identity Center tem um Identity Store associado que armazena as identidades do usuário e do grupo. Um Identity Store tem um identificador exclusivo chamado Identity Store ID (por exemplo, d-123456789a). O ARN segue o padrão documentado na seção Tipos de recursos do Identity Store da Referência de Autorização de Serviço.
Você pode encontrar os valores do ARN e do ID do Identity Store na página Configurações do seu IAM Identity Center. Observe que o ID do repositório de identidades está na guia Origem da identidade.
AWS Organizations ID
Se você quiser especificar um ID da organização (por exemplo, o-exampleorg1) em sua política de chaves, você pode encontrar seu valor na página Configurações dos consoles IAM Identity Center e Organizations. O ARN segue o padrão documentado na seção Organizations resource types da Service Authorization Reference.
ARN da chave KMS
Você pode encontrar o ARN de uma chave KMS no console. AWS KMS Escolha Chaves gerenciadas pelo cliente à esquerda, clique na chave cujo ARN você deseja pesquisar e você a verá na seção Configuração geral. O ARN segue o padrão documentado na seção de tipos de AWS KMS recursos da Referência de Autorização de Serviço.
Consulte o AWS Key Management Service Service Developer Guide para obter mais informações sobre as principais políticas AWS KMS e a solução de problemas de AWS KMS permissões. Para obter mais informações sobre as políticas do IAM e sua representação JSON, consulte o Guia do usuário do IAM.
