在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center - AWS IAM Identity Center
步驟 1:識別組織的使用案例步驟 2:準備 KMS 金鑰政策陳述式步驟 3:建立 KMS 金鑰步驟 4:設定 IAM 政策步驟 5:在 IAM Identity Center 中設定 KMS 金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center

注意

客戶受管的 KMS AWS IAM Identity Center 金鑰目前可在特定 AWS 區域中使用。

客戶受管金鑰是您建立、擁有和管理的 AWS Key Management Service 金鑰。若要在 IAM Identity Center 中實作用於靜態加密的客戶受管 KMS AWS 金鑰,請遵循下列步驟:

重要

某些 AWS 受管應用程式無法與客戶受管 KMS 金鑰設定的 AWS IAM Identity Center 搭配使用。請參閱 AWS 可與 IAM Identity Center 搭配使用的 受管應用程式

  1. 步驟 1:識別組織的使用案例 - 若要定義使用 KMS 金鑰的正確許可,您需要識別整個組織的相關使用案例。KMS 金鑰許可由 KMS 金鑰政策陳述式和身分型政策組成,這些政策共同運作,以允許適當的 IAM 主體將 KMS 金鑰用於其特定使用案例。

  2. 步驟 2:準備 KMS 金鑰政策陳述式 - 根據步驟 1 中識別的使用案例選擇相關的 KMS 金鑰政策陳述式範本,並填寫所需的識別符和 IAM 主體名稱。從基準 KMS 金鑰政策陳述式開始,如果您的安全政策需要,請依照進階 KMS 金鑰政策陳述式所述來精簡它們。

  3. 步驟 3:建立客戶受管 KMS 金鑰 - 在符合 IAM Identity Center 要求的 KMS 中建立 AWS KMS 金鑰,並將步驟 2 中準備的 KMS 金鑰政策陳述式新增至 KMS 金鑰政策。

  4. 步驟 4:設定跨帳戶使用 KMS 金鑰的 IAM 政策 - 根據步驟 1 中識別的使用案例選擇相關的 IAM 政策陳述式範本,並填入金鑰 ARN 以準備使用。然後,透過將預備的 IAM 政策陳述式新增至主體的 IAM 政策,允許每個特定使用案例的 IAM 主體跨帳戶使用 KMS 金鑰。

  5. 步驟 5:在 IAM Identity Center 中設定 KMS 金鑰 - 重要:在繼續此步驟之前,請徹底驗證先前步驟中設定的所有 KMS 金鑰許可。完成後,IAM Identity Center 將開始使用 KMS 金鑰進行靜態加密。

步驟 1:識別組織的使用案例

在建立和設定客戶受管 KMS 金鑰之前,請先識別您的使用案例,並準備必要的 KMS 金鑰許可。如需 AWS KMS 金鑰政策的詳細資訊,請參閱 KMS 開發人員指南

呼叫 IAM Identity Center 和 Identity Store APIsIAM 主體需要許可。例如,委派管理員有權透過許可集政策使用這些 APIs。使用客戶受管金鑰設定 IAM Identity Center 時,IAM 主體也必須具有透過 IAM Identity Center 和 Identity Store API 使用 KMS APIs許可。您可以在兩個位置定義這些 KMS API 許可:KMS 金鑰政策和與 IAM 主體相關聯的 IAM 政策。

KMS 金鑰許可包含:

  1. 您在 中建立 KMS 金鑰期間在 KMS 金鑰上指定的 KMS 金鑰政策陳述式步驟 3:建立客戶受管 KMS 金鑰

  2. 在建立 KMS 金鑰步驟 4:設定跨帳戶使用 KMS 金鑰的 IAM 政策後,您在 中指定的 IAM 主體的 IAM 政策陳述式。

下表指定需要許可才能使用 KMS 金鑰的相關使用案例和 IAM 主體。

使用案例 需要許可才能使用 KMS 金鑰的 IAM 主體 必要/選用
使用 AWS IAM Identity Center

  • IAM Identity Center AWS 的管理員

  • IAM Identity Center 服務和相關聯的 Identity Store 服務

 必要
搭配 IAM Identity Center 使用 AWS 受管應用程式

  • AWS 受管應用程式的管理員

  • AWS 受管應用程式

  • AWS 受管應用程式擔任以呼叫 IAM Identity Center 和 Identity Store APIs的服務角色

選用
在已啟用的 AWS IAM Identity Center 執行個體 AWS Control Tower 上使用

  • AWS Control Tower 管理員

 選用
使用 IAM Identity Center 的 SSO 至 Amazon EC2 Windows AWS 執行個體

  • 獲授權執行 SSO 至 Amazon EC2 Windows 執行個體的 IAM 主體

 選用
呼叫 IAM Identity Center API 或 Identity Store API 的任何其他使用案例,例如許可集佈建工作流程或 AWS Lambda 函數

  • 這些工作流程用來呼叫 IAM Identity Center API 和 Identity Store API 的 IAM 主體

 選用
注意

資料表中列出的多個 IAM 主體需要 AWS KMS API 許可。不過,為了保護 IAM Identity Center 中的使用者和群組資料,只有 IAM Identity Center 和 Identity Store 服務會直接呼叫 AWS KMS API。

步驟 2:準備 KMS 金鑰政策陳述式

識別與組織相關的使用案例後,您可以準備對應的 KMS 金鑰政策陳述式。

  1. 選擇符合您組織使用案例的 KMS 金鑰政策陳述式。從基準政策範本開始。如果您需要根據您的安全需求更具體的政策,您可以使用 中的範例修改政策陳述式進階 KMS 金鑰政策陳述式。如需此決策的指引,請參閱 選擇基準與進階 KMS 金鑰政策陳述式的考量。此外, 中的每個基準區段基準 KMS 金鑰和 IAM 政策陳述式都包含相關考量。

  2. 將相關政策複製到編輯器,並在 KMS 金鑰政策陳述式中插入所需的識別符和 IAM 主體名稱。如需尋找參考識別符值的說明,請參閱 尋找所需的識別符

以下是每個使用案例的基準政策範本。使用 KMS AWS 金鑰只需要 IAM Identity Center 的第一組許可。我們建議您檢閱適用的小節,以取得其他使用案例特有的資訊。

重要

修改 IAM Identity Center 已使用之金鑰的 KMS 金鑰政策時請小心。雖然 IAM Identity Center 會在您最初設定 KMS 金鑰時驗證加密和解密許可,但無法驗證後續的政策變更。不小心移除必要的許可可能會中斷 IAM Identity Center 的正常操作。如需疑難排解 IAM Identity Center 中客戶受管金鑰相關常見錯誤的指南,請參閱 對 中的客戶受管金鑰進行故障診斷 AWS IAM Identity Center

注意

IAM Identity Center 及其相關聯的 Identity Store 需要服務層級許可,才能使用您的客戶受管 KMS 金鑰。此需求延伸至使用服務登入資料呼叫 IAM Identity Center APIs的 AWS 受管應用程式。對於使用轉送存取工作階段呼叫 IAM Identity Center APIs 的其他使用案例,只有啟動 IAM 主體 (例如管理員) 需要 KMS 金鑰許可。值得注意的是,使用 AWS 存取入口網站和 AWS 受管應用程式的最終使用者不需要直接 KMS 金鑰許可,因為它們是透過個別的服務授予。

步驟 3:建立客戶受管 KMS 金鑰

您可以使用 AWS 管理主控台或 AWS KMS APIs 建立客戶受管金鑰。建立金鑰時,請將您在步驟 2 中準備的 KMS 金鑰政策陳述式新增至 KMS 金鑰政策。如需詳細說明,包括預設 KMS 金鑰政策的指引,請參閱 AWS Key Management Service 開發人員指南

金鑰必須符合下列要求:

  • KMS 金鑰必須與 IAM Identity Center 執行個體位於相同的 AWS 區域

  • 您可以選擇多區域或單一區域金鑰。若要保持與多個 AWS 區域的未來使用案例的正向相容性,我們建議您選擇多區域金鑰

  • KMS 金鑰必須是設定為「加密和解密」使用的對稱金鑰

  • KMS 金鑰必須與 IAM Identity Center 的組織執行個體位於相同的 AWS Organizations 管理帳戶中

步驟 4:設定跨帳戶使用 KMS 金鑰的 IAM 政策

任何使用來自另一個 AWS 帳戶的 IAM Identity Center 和 Identity Store APIs 的 IAM 主體,例如 IAM Identity Center 委派管理員,也需要允許透過這些 APIs 使用 KMS 金鑰的 IAM 政策陳述式。

對於步驟 1 中識別的每個使用案例:

  1. 在基準 KMS 金鑰和 IAM 政策陳述式中尋找相關的 IAM 政策陳述式範本。

  2. 將範本複製到編輯器並填入金鑰 ARN,現在可在步驟 3 中建立 KMS 金鑰後使用。如需尋找金鑰 ARN 值的說明,請參閱 尋找所需的識別符

  3. 在 中 AWS Management Console,找到與使用案例相關聯的 IAM 主體的 IAM 政策。此政策的位置會根據使用案例和授予存取權的方式而有所不同。

    • 對於直接在 IAM 中授予的存取,您可以找到 IAM 主體,例如 IAM 主控台中的 IAM 角色。

    • 對於透過 IAM Identity Center 授予的存取,您可以在 IAM Identity Center 主控台中找到相關的許可集。

  4. 將使用案例特定的 IAM 政策陳述式新增至 IAM 角色,並儲存變更。

注意

此處所述的 IAM 政策是以身分為基礎的政策。雖然這類政策可以連接到 IAM 使用者、群組和角色,但我們建議您盡可能使用 IAM 角色。如需 IAM 角色與 IAM 使用者的詳細資訊,請參閱 IAM 使用者指南。

某些 AWS 受管應用程式中的其他組態

有些 AWS 受管應用程式需要您設定服務角色,以允許應用程式使用 IAM Identity Center 和 Identity Store APIs。如果您的組織搭配 IAM Identity Center 使用 AWS 受管應用程式,請為每個部署的應用程式完成以下步驟:

  1. 請參閱應用程式的使用者指南,確認是否已更新許可,以包含搭配 IAM Identity Center 使用應用程式的 KMS 金鑰相關許可。

  2. 若是如此,請依照應用程式使用者指南中的指示更新許可,以避免中斷應用程式的操作。

注意

如果您不確定 AWS 受管應用程式是否使用這些許可,建議您檢查所有部署受 AWS 管應用程式的使用者指南。您只需要為每個需要組態的應用程式執行一次此組態。

步驟 5:在 IAM Identity Center 中設定 KMS 金鑰

重要

在繼續此步驟之前:

  • 確認您的 AWS 受管應用程式與客戶受管 KMS 金鑰相容。如需相容應用程式的清單,請參閱AWS 可與 IAM Identity Center 搭配使用的受管應用程式。如果您有不相容的應用程式,請勿繼續。

  • 設定使用 KMS 金鑰的必要許可。如果沒有適當的許可,此步驟可能會失敗或中斷 IAM Identity Center 管理和 AWS 受管應用程式。如需詳細資訊,請參閱步驟 1:識別組織的使用案例

  • 確保 AWS 受管應用程式的許可也允許透過 IAM Identity Center 和 Identity Store APIs 使用 KMS 金鑰。有些 AWS 受管應用程式會要求您設定許可,例如 服務角色,以使用這些 APIs。請參閱每個已部署 AWS 受管應用程式的使用者指南,以確認是否需要新增特定的 KMS 金鑰許可。

Console

在啟用 IAM Identity Center 的新組織執行個體時指定 KMS 金鑰

啟用 IAM Identity Center 的新組織執行個體時,您可以在設定期間指定客戶受管 KMS 金鑰。這可確保執行個體從一開始就使用您的金鑰進行靜態加密。開始之前,請參閱 客戶受管 KMS 金鑰和進階 KMS 金鑰政策的考量

  1. 啟用 IAM Identity Center 頁面上,展開靜態加密區段。

  2. 選擇 Manage Encryption (管理加密)。

  3. 選擇客戶受管金鑰

  4. 對於 KMS 金鑰,請執行下列其中一項操作:

    1. 從 KMS 金鑰中選擇選取,然後從下拉式清單中選取您建立的金鑰。

    2. 選擇輸入 KMS 金鑰 ARN,然後輸入金鑰的完整 ARN。

  5. 選擇儲存

  6. 選擇啟用以完成設定。

如需詳細資訊,請參閱啟用 IAM Identity Center

為 IAM Identity Center 的現有組織執行個體指定 KMS 金鑰

  1. 開啟位於 https://https://console.aws.amazon.com/singlesignon/ 的 IAM Identity Center 主控台。

  2. 在導覽窗格中,選擇設定

  3. 加密區段的設定頁面上,選擇編輯

  4. 針對加密類型,選擇客戶受管金鑰

  5. 對於 KMS 金鑰,請執行下列其中一項操作:

    1. 從 KMS 金鑰中選擇選取,然後從下拉式清單中選取您建立的金鑰。

      注意

      請注意,下拉式清單只會顯示您在相同 AWS 帳戶中可存取的 KMS 金鑰。因此,如果您在委派的管理帳戶中執行此操作,您將需要指定來自AWS Organizations 管理帳戶的金鑰 ARN。

    2. 選擇輸入 KMS 金鑰 ARN,然後輸入金鑰的完整 ARN。

  6. 選擇儲存變更

AWS CLI
aws ssoadmin update-instance \
  --configuration KeyType=string,KmsKeyArn=string \
  --instance-arn string \
  --name string

變更 KMS 金鑰組態

您可以隨時將客戶受管 KMS 金鑰變更為另一個金鑰,或切換至 AWS 擁有的金鑰。

若要變更 KMS 金鑰組態

  1. 開啟 IAM Identity Center 主控台。

  2. 在導覽窗格中,選擇設定。

  3. 選擇其他設定索引標籤。

  4. 選擇管理加密。

  5. 選擇下列其中一項:

    1. 客戶受管金鑰 - 從下拉式清單中選取不同的客戶受管金鑰,或輸入新的金鑰 ARN。

    2. AWS 擁有的金鑰 - 切換到預設加密選項。

  6. 選擇儲存

客戶受管金鑰考量

  • 更新 IAM Identity Center 操作的 KMS 金鑰設定不會影響 IAM Identity Center 中的作用中使用者工作階段。在此過程中,您可以繼續使用 AWS 存取入口網站、IAM Identity Center 主控台和 IAM Identity Center APIs。

  • 切換到新的 KMS 金鑰時,IAM Identity Center 會驗證是否可以成功地使用該金鑰進行加密和解密。如果您在設定金鑰政策或 IAM 政策期間發生錯誤,主控台會顯示解釋性錯誤訊息,而先前的 KMS 金鑰將保持使用中。

  • 預設的年度 KMS 金鑰輪換會自動發生。如需金鑰輪換監控 AWS KMS 金鑰控制金鑰刪除存取等主題的資訊,請參閱 AWS KMS 開發人員指南

重要

如果 IAM Identity Center 執行個體使用的客戶受管 KMS 金鑰由於不正確的 KMS 金鑰政策而遭到刪除、停用或無法存取,您的人力資源使用者和 IAM Identity Center 管理員將無法使用 IAM Identity Center。存取遺失可以是暫時性 (金鑰政策可以更正) 或永久 (刪除的金鑰無法還原),視情況而定。我們建議您限制對關鍵操作的存取,例如刪除或停用 KMS 金鑰。此外,我們建議您的組織設定AWS 中斷玻璃存取程序,以確保您的特權使用者在 IAM Identity Center 無法存取 AWS 的罕見情況下可以存取 。

尋找所需的識別符

設定客戶受管 KMS 金鑰的許可時,您需要特定的 AWS 資源識別符才能完成金鑰政策和 IAM 政策陳述式範本。在 KMS 金鑰政策陳述式中插入所需的識別符 (例如組織 ID) 和 IAM 主體名稱。

以下是在 AWS 管理主控台中尋找這些識別符的指南。

IAM Identity Center Amazon Resource Name (ARN) 和 Identity Store ARN

IAM Identity Center 執行個體是一種 AWS 資源,具有自己的唯一 ARN,例如 arn:aws:sso::instance/ssoins-1234567890abcdef。ARN 遵循服務授權參考的 IAM Identity Center 資源類型區段中記錄的模式。

每個 IAM Identity Center 執行個體都有關聯的 Identity Store,可存放使用者和群組身分。Identity Store 具有稱為 Identity Store ID 的唯一識別符 (例如,d-123456789a)。ARN 遵循服務授權參考的 Identity Store 資源類型區段中記錄的模式。

您可以在 IAM Identity Center 的設定頁面上找到 ARN 和 Identity Store ID 值。請注意,身分存放區 ID 位於身分來源索引標籤中。

AWS Organizations ID

如果您想要在金鑰政策中指定組織 ID (例如 o-exampleorg1),您可以在 IAM Identity Center 和 Organizations 主控台的設定頁面中找到其值。ARN 遵循服務授權參考中 Organizations 資源類型區段中記錄的模式。

KMS 金鑰 ARN

您可以在 AWS KMS 主控台中找到 KMS 金鑰的 ARN。選擇左側的客戶受管金鑰,按一下您要查詢其 ARN 的金鑰,您會在一般組態區段中看到該金鑰。ARN 遵循服務授權參考 AWS KMS 的資源類型區段中記錄的模式。

如需 中金鑰政策 AWS KMS 與故障診斷 AWS KMS 許可的詳細資訊,請參閱 AWS Key Management Service 服務開發人員指南。如需 IAM 政策及其 JSON 表示法的詳細資訊,請參閱 IAM 使用者指南。