Pertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut - AWS IAM Identity Center
Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutanPertimbangan untuk mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut

catatan

Kunci KMS yang dikelola pelanggan saat ini AWS IAM Identity Center tersedia di AWS Wilayah tertentu.

Saat menerapkan kunci KMS yang dikelola pelanggan dengan IAM Identity Center, pertimbangkan faktor-faktor ini yang memengaruhi pengaturan, keamanan, dan pemeliharaan berkelanjutan konfigurasi enkripsi Anda.

Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan

Saat memutuskan apakah akan membuat izin kunci KMS lebih spesifik menggunakanPernyataan kebijakan kunci KMS tingkat lanjut, pertimbangkan overhead manajemen dan kebutuhan keamanan organisasi Anda. Pernyataan kebijakan yang lebih spesifik memberikan kontrol yang lebih baik atas siapa yang dapat menggunakan kunci dan untuk tujuan apa; namun, mereka memerlukan pemeliharaan berkelanjutan saat konfigurasi Pusat Identitas IAM Anda berkembang. Misalnya, jika Anda membatasi penggunaan kunci KMS untuk penerapan aplikasi AWS terkelola tertentu, Anda harus memperbarui kebijakan kunci kapan pun organisasi Anda ingin menerapkan atau membatalkan penerapan aplikasi. Kebijakan yang tidak terlalu ketat mengurangi beban administrasi tetapi dapat memberikan izin yang lebih luas daripada yang diperlukan untuk persyaratan keamanan Anda.

Pertimbangan untuk mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan

Pertimbangan di sini berlaku jika Anda menggunakan konteks enkripsi seperti yang dijelaskan dalam Pernyataan kebijakan kunci KMS tingkat lanjut untuk membatasi penggunaan kunci KMS ke instance Pusat Identitas IAM tertentu.

Saat mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan, Pusat Identitas IAM dan Toko Identitas tidak ARNs tersedia sampai setelah penyiapan. Anda memiliki opsi berikut:

  • Gunakan pola ARN generik sementara, dan kemudian ganti dengan ARNs penuh setelah instance diaktifkan. Ingatlah untuk beralih antara StringEquals dan StringLike operator sesuai kebutuhan.

    • Untuk Pusat Identitas IAM SPN: “arn: $ {Partition} :sso: ::instance/*”.

    • Untuk Identity Store SPN: “arn: $ {Partition} :identitystore: :$ {Account} :identitystore/*”.

  • Gunakan “Purpose:KEY_CONFIGURATION” di ARN untuk sementara. Ini hanya berfungsi untuk pengaktifan instance dan harus diganti dengan ARN yang sebenarnya agar instans Pusat Identitas IAM Anda berfungsi normal. Keuntungan dari pendekatan ini adalah Anda tidak bisa lupa untuk mengganti ini setelah instance diaktifkan.

    • Untuk SPN Pusat Identitas IAM, gunakan: “arn: $ {Partition} :sso: ::instance/purpose:key_configuration”

    • Untuk SPN Identity Store, gunakan: “arn: $ {Partition} :identitystore: :$ {Account} :IdentityStore/Purpose:key_configuration”

    penting

    Jangan terapkan konfigurasi ini ke kunci KMS yang sudah digunakan dalam instance Pusat Identitas IAM yang ada, karena dapat mengganggu operasi normalnya.

  • Hilangkan kondisi konteks enkripsi dari kebijakan kunci KMS hingga setelah instance diaktifkan.