Como implementar chaves KMS gerenciadas pelo cliente no AWS IAM Identity Center - AWS IAM Identity Center
Etapa 1: identificar casos de uso para a organizaçãoEtapa 2: preparar as declarações de política de chave KMSEtapa 3: criar uma chave KMSEtapa 4: configurar políticas do IAMEtapa 5: configurar a chave KMS no IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como implementar chaves KMS gerenciadas pelo cliente no AWS IAM Identity Center

Chaves gerenciadas pelo cliente são chaves do AWS Key Management Service que você cria, detém e gerencia. Para implementar uma chave KMS gerenciada pelo cliente para criptografia em repouso no AWS IAM Identity Center, siga estas etapas:

Importante

Algumas aplicações gerenciadas pela AWS não podem ser usadas com o AWS IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Consulte AWS aplicativos gerenciados que você pode usar com o IAM Identity Center.

  1. Etapa 1: identificar casos de uso para a organização — Para definir as permissões corretas para o uso da chave KMS, você precisa identificar os casos de uso relevantes na organização. As permissões da chave KMS consistem em declarações de política de chave KMS e políticas baseadas em identidade que trabalham juntas para permitir que as entidades principais apropriadas do IAM usem a chave KMS para casos de uso específicos.

  2. Etapa 2: preparar as declarações de política de chave KMS — Escolha modelos de declaração de política de chave KMS pertinentes com base nos casos de uso identificados na Etapa 1 e preencha os identificadores obrigatórios e os nomes da entidade principal do IAM. Comece com as declarações de política de chave KMS de linha de base e, se as políticas de segurança exigirem, refine-as conforme descrito nas declarações de política de chaves avançadas do KMS.

  3. Etapa 3: criar uma chave KMS gerenciada pelo cliente — Crie uma chave KMS no AWS KMS que atenda aos requisitos do IAM Identity Center e adicione as declarações de política de chave KMS preparadas na Etapa 2 à política de chave KMS.

  4. Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS — Escolha modelos de declaração de política do IAM pertinentes com base nos casos de uso identificados na Etapa 1 e prepare-os para uso preenchendo a chave ARN. Em seguida, permita que as entidades principais do IAM de cada caso de uso específico usem a chave KMS em todas as contas, adicionando as declarações de política do IAM preparadas às políticas do IAM das entidades principais.

  5. Etapa 5: configurar a chave KMS no IAM Identity Center — Habilite a chave KMS gerenciada pelo cliente na instância do IAM Identity Center para usá-la para criptografia em repouso.

    Importante

    Antes de prosseguir com essa etapa, valide completamente todas as permissões da chave KMS configuradas nas etapas anteriores. Depois de concluído, o IAM Identity Center começará a usar a chave KMS para criptografia em repouso.

Etapa 1: identificar casos de uso para a organização

Antes de criar e configurar a chave KMS gerenciada pelo cliente, identifique os casos de uso e prepare as permissões exigidas da chave KMS. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre a política de chave KMS.

As entidades principais do IAM que chamam as APIs do serviço do IAM Identity Center exigem permissões. Por exemplo, um administrador delegado pode ser autorizado a usar essas APIs por meio de uma política de conjunto de permissões. Quando o IAM Identity Center é configurado com uma chave gerenciada pelo cliente, as entidades principais do IAM também devem ter permissões para usar a API de KMS por meio das APIs de serviço do IAM Identity Center. Você define essas permissões da API de KMS em dois lugares: na política de chave KMS e nas políticas do IAM associadas às entidades principais do IAM.

As permissões da chave KMS consistem em:

  1. Declarações de política de chave KMS que você especifica na chave KMS durante a criação em Etapa 3: criar uma chave KMS gerenciada pelo cliente.

  2. Declarações de política do IAM para entidade principais do IAM que você especifica em Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS depois de criar a chave KMS.

A tabela a seguir especifica os casos de uso relevantes e as entidades principais do IAM que precisam de permissões para usar a chave KMS.

Caso de uso Entidades principais do IAM que precisam de permissões para usar a chave KMS Obrigatório/opcional
Uso do IAM Identity Center da AWS

  • Administradores do AWS IAM Identity Center

  • Serviço do IAM Identity Center e serviço do Identity Store associado

 Obrigatório
Uso de aplicações gerenciadas pela AWS com o IAM Identity Center

  • Administradores de aplicações gerenciadas pela AWS

  • Aplicações gerenciadas pela AWS

  • Perfis de serviço que as aplicações gerenciadas pela AWS assumem para chamar as APIs de serviço do IAM Identity Center

 Opcional
Uso de AWS Control Tower na instância do AWS IAM Identity Center que foi habilitada

  • Administradores do AWS Control Tower

 Opcional
SSO para instâncias Windows do Amazon EC2 com o AWS IAM Identity Center

  • Entidades principais do IAM autorizadas a realizar o SSO para instâncias do Windows do Amazon EC2

 Opcional
Qualquer outro caso de uso que faça chamadas para as APIs de serviço do IAM Identity Center com entidades principais do IAM, como aplicações gerenciadas pelo cliente, fluxos de trabalho de provisionamento de conjuntos de permissões ou funções AWS Lambda

  • Entidades principais do IAM usadas por esses fluxos de trabalho para chamar as APIs de serviço do IAM Identity Center

 Opcional
nota

Várias entidades principais do IAM listadas na tabela exigem permissões da API de KMS AWS. No entanto, para proteger os dados de usuários e grupos no IAM Identity Center, somente os serviços IAM Identity Center e Identity Store chamam diretamente a API AWS KMS.

Etapa 2: preparar as declarações de política de chave KMS

Depois de identificar os casos de uso relevantes para a organização, você pode preparar as declarações de política de chave KMS correspondentes.

  1. Escolha as declarações de política de chave KMS que correspondam aos casos de uso da organização. Comece com os modelos de política de linha de base. Se você precisar de políticas mais específicas com base nos requisitos de segurança, poderá modificar as declarações de política usando os exemplos em Declarações de política de chave KMS avançadas. Para obter orientação sobre essa decisão, consulte Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas. Além disso, cada seção de linha de base em Declarações de chave KMS e de política do IAM de linha de base inclui considerações relevantes.

  2. Copie as políticas relevantes para um editor e insira os identificadores exigidos e os nomes das entidades principais do IAM nas declarações de política de chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte Encontrar os identificadores exigidos.

A seguir estão os modelos de política de linha de base para cada caso de uso. Somente o primeiro conjunto de permissões do AWS IAM Identity Center é exigido para usar uma chave KMS. Recomendamos analisar as subseções aplicáveis para obter informações adicionais específicas do caso de uso.

Importante

Tenha cuidado ao modificar as políticas de chave KMS para chaves já em uso pelo IAM Identity Center. Embora o IAM Identity Center valide as permissões de criptografia e descriptografia quando você configura inicialmente uma chave KMS, ele não pode verificar alterações de política subsequentes. A remoção inadvertida das permissões necessárias pode interromper a operação normal do IAM Identity Center. Para obter orientação sobre como solucionar erros comuns relacionados às chaves gerenciadas pelo cliente no IAM Identity Center, consulte Solucione problemas de chaves gerenciadas pelo cliente em AWS IAM Identity Center.

nota

O IAM Identity Center e o Identity Store associado exigem permissões de nível de serviço para usar a chave KMS gerenciada pelo cliente. Esse requisito se estende às aplicações gerenciadas pela AWS que chamam as APIs de serviço do IAM Identity Center usando credenciais de serviço. Para outros casos de uso em que as APIs do serviço IAM Identity Center são chamadas com sessões de acesso direto, somente a entidade principal do IAM iniciante (como um administrador) precisa de permissões de chave KMS. Notavelmente, os usuários finais que usam o portal de acesso do AWS e as aplicações gerenciadas pela AWS não precisam de permissões diretas da chave KMS, pois elas são concedidas por meio dos respectivos serviços.

Etapa 3: criar uma chave KMS gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou as APIs AWS KMS. Ao criar a chave, adicione as declarações de política de chave KMS que você preparou na Etapa 2 à política de chave KMS. Para obter instruções detalhadas, incluindo orientações sobre a política de chave padrão do KMS, consulte o Guia do desenvolvedor do AWS Key Management Service.

A chave deve atender aos seguintes requisitos:

  • A chave KMS deve estar na mesma região da AWS que a instância do IAM Identity Center.

  • Você pode criar um cluster de região única ou multirregional. Para manter a compatibilidade futura com os futuros casos de uso em várias regiões da AWS, recomendamos escolher uma chave multirregional

  • A chave KMS deve ser uma chave simétrica configurada para o uso de “criptografar e descriptografar”

  • A chave KMS deve estar na mesma conta gerencial do AWS Organizations que a instância de organização do IAM Identity Center

Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS

Qualquer entidade principal do IAM que usa as APIs de serviço do IAM Identity Center de outra conta da AWS, como administradores delegados do IAM Identity Center, também precisa de uma declaração de política do IAM que permita o uso da chave KMS por meio dessas APIs.

Para cada caso de uso identificado na etapa 1:

  1. Localize os modelos de declaração de política do IAM pertinentes na chave KMS da linha de base e nas declarações de política do IAM.

  2. Copie os modelos para um editor e preencha a chave ARN, que agora está disponível após a criação da chave KMS na etapa 3. Para obter ajuda para encontrar o valor ARN da chave, consulte Encontrar os identificadores exigidos.

  3. No Console de gerenciamento da AWS, localize a política do IAM da entidade principal do IAM que está associada ao caso de uso. O local da política varia de acordo com o caso de uso e como o acesso é concedido.

    • Para o acesso concedido diretamente no IAM, você pode localizar as entidades principais do IAM, como perfis do IAM no console do IAM.

    • Para acesso concedido pelo IAM Identity Center, você pode localizar o conjunto de permissões pertinente no console do IAM Identity Center.

  4. Adicione as declarações de política do IAM específicas do caso de uso ao perfil do IAM e salve a alteração.

nota

As políticas do IAM descritas aqui são políticas baseadas em identidade. Embora essas políticas possam ser anexadas a usuários, grupos e perfis do IAM, recomendamos o uso de perfis do IAM sempre que possível. Consulte o Guia do Usuário do IAM para obter mais informações sobre perfis do IAM versus usuários do IAM.

Configuração adicional em algumas aplicações gerenciadas pela AWS

Algumas aplicações gerenciadas pela AWS exigem que você configure um perfil de serviço para permitir que as aplicações usem as APIs de serviço do IAM Identity Center. Se a organização usar aplicações gerenciadas pela AWS com o IAM Identity Center, conclua as etapas a seguir para cada aplicação implantada:

  1. Consulte o guia do usuário da aplicação para confirmar se as permissões foram atualizadas para incluir permissões relacionadas à chave KMS para uso da aplicação com o IAM Identity Center.

  2. Nesse caso, atualize as permissões conforme as instruções no guia do usuário do @aplicação para evitar interrupções nas operações da aplicação.

nota

Se você não tiver certeza se uma aplicação gerenciada pela AWS usa essas permissões, recomendamos que você verifique os guias do usuário de todas as aplicações gerenciadas pela AWS implantadas. Você só precisa realizar essa configuração uma vez para cada aplicação que requer a configuração.

Etapa 5: configurar a chave KMS no IAM Identity Center

Importante

Antes de prosseguir com esta etapa:

  • Verifique se as aplicações gerenciadas pela AWS são compatíveis com as chaves KMS gerenciadas pelo cliente. Para obter uma lista de aplicações compatíveis, consulte Aplicações gerenciadas pela AWS que você pode usar com o IAM Identity Center. Se você tiver aplicações incompatíveis, não continue.

  • Configure as permissões necessárias para o uso da chave KMS. Sem as permissões adequadas, essa etapa pode falhar ou interromper a administração do IAM Identity Center, o uso de aplicações gerenciadas pela AWS e outros casos de uso que exigem permissões de chave KMS. Para obter mais informações, consulte Etapa 1: identificar casos de uso para a organização.

  • Garanta que as permissões para aplicações gerenciadas pela AWS e aplicações gerenciadas pelo cliente que chamam as APIs de serviço do IAM Identity Center com perfis do IAM também permitam o uso da chave KMS por meio das APIs de serviço do IAM Identity Center. Algumas aplicações gerenciadas pela AWS exigem que você configure permissões, como um perfil de serviço, para o uso dessas APIs. Consulte o Guia do usuário de cada aplicação gerenciada pela AWS implantada para confirmar se você precisa adicionar permissões específicas da chave KMS.

Especificar uma chave KMS ao habilitar uma nova instância de organização do IAM Identity Center

Ao habilitar uma nova instância de organização do IAM Identity Center, você pode especificar uma chave KMS gerenciada pelo cliente durante a configuração. Isso garante que a instância use a chave para criptografia em repouso desde o início. Antes de começar, consulte Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS.

  1. Na página Habilitar IAM Identity Center, expanda a seção Criptografia em repouso.

  2. Escolha Manage Encryption (Gerenciar criptografia).

  3. Escolha Chave gerenciada pelo cliente.

  4. Em Chave KMS, realize um destes procedimentos:

    1. Escolha Selecionar nas chaves KMS e selecione a chave que você criou na lista suspensa.

    2. Escolha Inserir ARN da chave KMS e insira o ARN completo da chave.

  5. Escolha Salvar.

  6. Escolha Habilitar para concluir a configuração.

Para obter mais informações, consulte Habilitar o IAM Identity Center.

Alterar a configuração de chaves para uma instância de organização existente do IAM Identity Center

Você pode alterar a chave KMS gerenciada pelo cliente para outra chave ou mudar para uma chave de propriedade da AWS a qualquer momento.

Console

Para alterar a configuração da chave KMS

  1. Abra o console do IAM Identity Center em https://console.aws.amazon.com/singlesignon/.

  2. No painel de navegação, selecione Configurações.

  3. Selecione a guia Configurações adicionais.

  4. Escolha Gerenciar criptografia.

  5. Escolha uma das seguintes opções:

    1. Chave gerenciada pelo cliente — Selecione uma chave gerenciada pelo cliente diferente na lista suspensa ou insira um novo ARN da chave.

    2. Chave de propriedade da AWS — Mude para a opção de criptografia padrão.

  6. Escolha Salvar.

AWS CLI

Para alterar uma instância de organização existente do IAM Identity Center para usar a chave KMS gerenciada pelo cliente

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration \
        KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab

Para alterar uma instância de organização existente do IAM Identity Center para usar a chave de propriedade da AWS

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration KeyType=AWS_OWNED_KMS_KEY

Considerações sobre chave gerenciada pelo cliente

  • Atualizar a configuração da chave KMS para a operação do IAM Identity Center não tem efeito nas sessões ativas do usuário no IAM Identity Center. Você pode continuar usando o portal de acesso do AWS, o console do IAM Identity Center e as APIs de serviço do IAM Identity Center durante esse processo.

  • Ao mudar para uma nova chave KMS, o IAM Identity Center valida que pode usar a chave com sucesso para criptografia e descriptografia. Se você cometeu um erro durante a configuração da política de chave ou da política do IAM, o console mostrará uma mensagem de erro explicativa e a chave KMS anterior permanecerá em uso.

  • A rotação anual padrão de chaves KMS ocorrerá automaticamente. Você pode consultar o Guia do desenvolvedor do AWS KMS para obter informações sobre tópicos como rotação de chaves, monitoramento de chaves AWS KMS e controle do acesso à exclusão de chaves.

Importante

Se a chave KMS gerenciada pelo cliente em uso pela instância do IAM Identity Center for excluída, desabilitada ou tornar-se inacessível devido a uma política de chave KMS incorreta, os usuários da força de trabalho e os administradores do IAM Identity Center não poderão usar o IAM Identity Center. A perda de acesso pode ser temporária (uma política de chave pode ser corrigida) ou permanente (uma chave excluída não pode ser restaurada), dependendo das circunstâncias. Recomendamos que você restrinja o acesso a operações críticas, como excluir ou desativar a chave KMS. Além disso, recomendamos que sua organização configure procedimentos de acesso de emergência da AWS para garantir que os usuários privilegiados possam acessar o AWS na improvável eventualidade de o IAM Identity Center tornar-se inacessível.

Encontrar os identificadores exigidos

Ao configurar as permissões para a chave KMS gerenciada pelo cliente, você precisará de identificadores de recursos da AWS específicos para atender à política de chave e os modelos de declaração de política do IAM. Insira os identificadores exigidos (por exemplo, ID da organização) e os nomes das entidades principais do IAM nas declarações de política de chave KMS.

Abaixo, está um guia para localizar esses identificadores no AWS Management Console.

IAM Identity Center: nome do recurso da Amazon (ARN) e ARN do Identity Store

Uma instância do IAM Identity Center é um recurso AWS com o próprio ARN exclusivo, como arn:aws:sso:::instance/ssoins-1234567890abcdef. O ARN segue o padrão documentado na seção de tipos de recursos do IAM Identity Center da Referência de autorização de serviço.

Cada instância do IAM Identity Center tem um Identity Store associado que armazena as identidades do usuário e do grupo. Um Identity Store tem um identificador exclusivo chamado Identity Store ID (por exemplo, d-123456789a). O ARN segue o padrão documentado na seção Tipos de recursos do Identity Store da Referência de autorização de serviço.

Você pode encontrar os valores do ARN e do ID do Identity Store na página Configurações do IAM Identity Center. O ID do repositório de identidades está na aba Fonte de identidade.

AWS Organizations ID do

Se você quiser especificar um ID da organização (por exemplo, o-exampleorg1) na política de chave, pode encontrar o valor na página Configurações dos consoles IAM Identity Center e Organizations. O ARN segue o padrão documentado na seção Tipos de recursos do Organizations da Referência de autorização de serviço.

ARN da chave KMS

Você pode encontrar o ARN da chave KMS no console do AWS KMS. Escolha Chaves gerenciadas pelo cliente à esquerda, clique na chave cujo ARN você deseja pesquisar e você a verá na seção Configuração geral. O ARN segue o padrão documentado na seção Tipos de recursos do AWS KMS da Referência de autorização de serviço.

Consulte o Guia do desenvolvedor do AWS Key Management Service para obter mais informações sobre Políticas de chave no AWS KMS e solução de problemas de permissões do AWS KMS. Para obter mais informações sobre as políticas do IAM e a representação em JSON, consulte o Guia do usuário do IAM.