Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas - AWS IAM Identity Center
Consideraciones a la hora de elegir las principales declaraciones de política de KMS básicas o avanzadasConsideraciones a la hora de habilitar una nueva instancia del IAM Identity Center con una clave KMS gestionada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas

nota

Las claves KMS gestionadas por el cliente AWS IAM Identity Center están disponibles actualmente en determinadas AWS regiones.

Al implementar claves KMS administradas por el cliente con el Centro de Identidad de IAM, tenga en cuenta estos factores que afectan a la configuración, la seguridad y el mantenimiento continuo de la configuración de cifrado.

Consideraciones a la hora de elegir las principales declaraciones de política de KMS básicas o avanzadas

Al decidir si desea hacer que los permisos clave de KMS sean de uso más específicoDeclaraciones de política clave avanzadas de KMS, tenga en cuenta la sobrecarga de administración y las necesidades de seguridad de su organización. Las declaraciones de políticas más específicas proporcionan un control más detallado sobre quién puede usar la clave y con qué fines; sin embargo, requieren un mantenimiento continuo a medida que evoluciona la configuración del centro de identidad de IAM. Por ejemplo, si restringe el uso de la clave KMS a implementaciones de aplicaciones AWS gestionadas específicas, tendrá que actualizar la política clave siempre que su organización desee implementar o anular el despliegue de una aplicación. Las políticas menos restrictivas reducen la carga administrativa, pero pueden conceder permisos más amplios de los necesarios para cumplir sus requisitos de seguridad.

Consideraciones a la hora de habilitar una nueva instancia del IAM Identity Center con una clave KMS gestionada por el cliente

Estas consideraciones se aplican si utiliza el contexto de cifrado, tal como se describe en, Declaraciones de política clave avanzadas de KMS para restringir el uso de la clave KMS a una instancia específica del IAM Identity Center.

Al habilitar una nueva instancia del centro de identidad de IAM con una clave de KMS administrada por el cliente, el centro de identidad de IAM y el almacén de identidades no estarán disponibles hasta ARNs después de la configuración. Dispone de las opciones siguientes:

  • Usa patrones de ARN genéricos de forma temporal y, a continuación, sustitúyelos por completos una ARNs vez que la instancia esté habilitada. Recuerde cambiar de operador a StringEquals StringLike operador según sea necesario.

    • Para IAM Identity Center SPN: «arn: $ {Partition} :sso: ::instance/*».

    • Para Identity Store SPN: «arn: $ {Partition} :identitystore: :$ {Account} :identitystore/*».

  • Utilice «purpose:KEY_CONFIGURATION» en el ARN temporalmente. Esto solo funciona para la habilitación, por ejemplo, y debe sustituirse por el ARN real para que la instancia de IAM Identity Center funcione normalmente. La ventaja de este enfoque es que no puede olvidarse de reemplazarlo una vez que la instancia esté habilitada.

    • Para el SPN de IAM Identity Center, utilice: «arn: $ {Partition} :sso: ::instance/purpose:KEY_CONFIGURATION»

    • Para Identity Store SPN, utilice: «arn: $ {Partition} :identitystore: :$ {Account} :IdentityStore/Purpose:KEY_CONFIGURATION»

    importante

    No aplique esta configuración a una clave de KMS que ya esté en uso en una instancia de IAM Identity Center existente, ya que podría interrumpir su funcionamiento normal.

  • Omita la condición del contexto de cifrado de la política de claves de KMS hasta que la instancia esté habilitada.