Considérations relatives aux clés KMS gérées par le client et aux politiques avancées en matière de clés KMS - AWS IAM Identity Center
Considérations relatives au choix des déclarations de politique clés KMS de référence ou avancéesConsidérations relatives à l'activation d'une nouvelle instance IAM Identity Center avec une clé KMS gérée par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives aux clés KMS gérées par le client et aux politiques avancées en matière de clés KMS

Note

Les clés KMS gérées par le client pour AWS IAM Identity Center sont actuellement disponibles dans certaines AWS régions.

Lorsque vous implémentez des clés KMS gérées par le client avec IAM Identity Center, tenez compte de ces facteurs qui affectent la configuration, la sécurité et la maintenance continue de votre configuration de chiffrement.

Considérations relatives au choix des déclarations de politique clés KMS de référence ou avancées

Lorsque vous décidez de rendre les autorisations clés KMS plus spécifiques à l'utilisationDéclarations de politique clés avancées de KMS, tenez compte des frais de gestion et des besoins de sécurité de votre organisation. Des déclarations de politique plus spécifiques permettent de mieux contrôler qui peut utiliser la clé et à quelles fins ; toutefois, elles nécessitent une maintenance continue au fur et à mesure de l'évolution de la configuration de votre IAM Identity Center. Par exemple, si vous limitez l'utilisation de la clé KMS à des déploiements d'applications AWS gérées spécifiques, vous devrez mettre à jour la politique de clé chaque fois que votre organisation souhaite déployer ou annuler le déploiement d'une application. Des politiques moins restrictives réduisent la charge administrative mais peuvent accorder des autorisations plus étendues que celles nécessaires pour répondre à vos exigences de sécurité.

Considérations relatives à l'activation d'une nouvelle instance IAM Identity Center avec une clé KMS gérée par le client

Les considérations ici s'appliquent si vous utilisez le contexte de chiffrement tel que décrit dans Déclarations de politique clés avancées de KMS pour restreindre l'utilisation de la clé KMS à une instance IAM Identity Center spécifique.

Lorsque vous activez une nouvelle instance IAM Identity Center avec une clé KMS gérée par le client, le centre d'identité IAM et le magasin d'identités ne ARNs sont disponibles qu'après la configuration. Vous avez les options suivantes :

  • Utilisez temporairement des modèles d'ARN génériques, puis remplacez-les par full une ARNs fois l'instance activée. N'oubliez pas de passer StringEquals d'un StringLike opérateur à l'autre selon vos besoins.

    • Pour le SPN du centre d'identité IAM : « arn : $ {Partition} :sso : :instance/* ».

    • Pour le SPN d'Identity Store : « arn : $ {Partition} :identitystore : :$ {Account} :identitystore/* ».

  • Utilisez temporairement « Purpose:KEY_CONFIGURATION » dans l'ARN. Cela ne fonctionne que pour l'activation des instances et doit être remplacé par l'ARN réel pour que votre instance IAM Identity Center fonctionne normalement. L'avantage de cette approche est que vous ne pouvez pas oublier de la remplacer une fois l'instance activée.

    • Pour le SPN d'IAM Identity Center, utilisez : « arn : $ {Partition} :sso : :instance/purpose:KEY_CONFIGURATION »

    • Pour Identity Store SPN, utilisez : « arn : $ {Partition} :identitystore : :$ {Account} :identityStore/Purpose:KEY_CONFIGURATION »

    Important

    N'appliquez pas cette configuration à une clé KMS déjà utilisée dans une instance IAM Identity Center existante, car cela pourrait perturber son fonctionnement normal.

  • Omettez la condition de contexte de chiffrement de la politique de clé KMS jusqu'à ce que l'instance soit activée.