本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
靜態加密
注意
客戶受管的 KMS AWS IAM Identity Center 金鑰目前可在特定 AWS 區域中使用。
IAM Identity Center 提供加密,以使用下列金鑰類型保護靜態客戶資料:
-
AWS 擁有的金鑰 (預設金鑰類型) — IAM Identity Center 預設使用這些金鑰自動加密您的資料。您無法檢視、管理、稽核其使用方式,或將 AWS 擁有的金鑰用於其他用途。IAM Identity Center 會完全處理金鑰管理,以確保資料的安全,而無需採取任何動作。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》https://docs.aws.amazon.com/kms/latest/developerguide/overview.html中的 AWS 擁有的金鑰。
-
客戶受管金鑰 — 在 IAM Identity Center 的組織執行個體中,您可以選擇對稱客戶受管金鑰來加密其餘人力資源身分資料,例如使用者和群組屬性。您可以建立、擁有和管理這些加密金鑰。您可以完全控制此層加密,因此能執行以下任務:
-
建立和維護金鑰政策,以限制只有需要存取的 IAM 主體才能存取金鑰,例如 IAM Identity Center 和相同 中的 AWS 受管應用程式 AWS Organizations 及其管理員。
-
建立和維護存取金鑰的 IAM 政策,包括跨帳戶存取
-
啟用和停用金鑰政策
-
輪換金鑰密碼編譯資料
-
稽核需要金鑰存取的資料存取權
-
新增標籤
-
建立金鑰別名
-
安排金鑰供刪除
-
若要了解如何在 IAM Identity Center 中實作客戶受管 KMS 金鑰,請參閱 在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center。如需客戶受管金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的客戶受管金鑰。
注意
IAM Identity Center 會使用 AWS 擁有的 KMS 金鑰自動啟用靜態加密,以免費保護客戶資料。不過,使用客戶受管金鑰時會產生 AWS KMS 費用。如需定價的詳細資訊,請參閱 AWS Key Management Service 定價
實作客戶受管金鑰的考量:
-
現有工作階段的例外狀況:使用客戶受管金鑰進行靜態加密,也適用於暫時存放在使用者工作階段中的人力資源身分資料,例如使用者和群組屬性。當您在 IAM Identity Center 中設定客戶受管金鑰時,會使用客戶受管金鑰來加密新工作階段中的人力資源身分資料。在此功能發行之前啟動的工作階段中,人力身分資料會保持預設加密, AWS 擁有的金鑰 直到工作階段到期 (最多 90 天) 或終止為止,此時會自動刪除此資料。
-
專用金鑰:我們建議為每個 IAM Identity Center 執行個體建立新的專用客戶受管 KMS 金鑰,而不是重複使用現有的金鑰。這種方法提供更明確的職責分離、簡化存取控制管理,並使安全稽核更加直接。擁有專用金鑰也會透過限制金鑰變更對單一 IAM Identity Center 執行個體的影響來降低風險。
注意
IAM Identity Center 使用信封加密來加密您的人力資源身分資料。您的 KMS 金鑰扮演包裝金鑰的角色,可加密實際用來加密資料的資料金鑰。
如需 AWS KMS 的詳細資訊,請參閱什麼是 AWS Key Management Service?
IAM Identity Center 加密內容
加密內容是一組選用的非私密金鑰值對,其中包含有關資料的其他內容資訊。 AWS KMS 會使用加密內容作為額外的已驗證資料,以支援已驗證的加密。當您在加密資料的請求中包含加密內容時, 會將加密內容 AWS KMS 繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。如需加密內容的詳細資訊,請參閱 KMS 開發人員指南。
IAM Identity Center 使用來自下列項目的加密內容金鑰:aws:sso:instance-arn、aws:identitystore:identitystore-arn 和 tenant-key-id。例如,下列加密內容可能會出現在 IAM Identity Center AWS KMS API 調用的 API 操作中。 https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html
"encryptionContext": { "tenant-key-id": "ssoins-1234567890abcdef", "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }
以下加密內容可能會出現在 Identity Store AWS KMS API 調用的 API 操作中。 https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html
"encryptionContext": { "tenant-key-id": "12345678-1234-1234-1234-123456789012", "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890" }
使用加密內容控制對客戶受管金鑰的存取
您也可以在金鑰政策和 IAM 政策中,使用加密內容來控制對對稱客戶受管金鑰的存取。中的某些金鑰政策範本進階 KMS 金鑰政策陳述式包含此類條件,以確保金鑰僅用於特定的 IAM Identity Center 執行個體。
監控 IAM Identity Center 的加密金鑰
當您搭配 IAM Identity Center 執行個體使用客戶受管 KMS 金鑰時,您可以使用 AWS CloudTrail或 Amazon CloudWatch Logs 來追蹤 IAM Identity Center 傳送的請求 AWS KMS。IAM Identity Center 呼叫的 KMS API 操作會列在 中步驟 2:準備 KMS 金鑰政策陳述式。這些 API 操作的 CloudTrail 事件包含加密內容,可讓您監控 IAM Identity Center 執行個體呼叫的 AWS KMS API 操作,以存取客戶受管金鑰加密的資料。
AWS KMS API 操作的 CloudTrail 事件中的範例加密內容:
"requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx", "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx" } }
AWS 受管應用程式的儲存、加密和刪除 IAM Identity Center 身分屬性
您部署的一些 AWS 受管應用程式 AWS IAM Identity Center,例如 AWS Systems Manager 和 Amazon CodeCatalyst,會將來自 IAM Identity Center 的特定使用者和群組屬性存放在自己的資料存放區中。使用 IAM Identity Center 中的客戶受管 KMS 金鑰進行靜態加密,不會延伸至存放在 AWS 受管應用程式中的 IAM Identity Center 使用者和群組屬性。 AWS 受管應用程式對其存放的資料支援不同的加密方法。最後,當您在 IAM Identity Center 中刪除使用者和群組屬性時,這些 AWS 受管應用程式可能會繼續將此資訊儲存在 IAM Identity Center 的刪除之後。請參閱 AWS 受管應用程式的使用者指南,了解存放在應用程式中資料的加密和安全性。
