カスタマーマネージド KMS キーと高度な KMS キーポリシーに関する考慮事項

注記

のカスタマーマネージド KMS キー AWS IAM Identity Center は、現在、一部の AWS リージョンで利用できます。

IAM Identity Center でカスタマーマネージド KMS キーを実装する場合は、暗号化設定の設定、セキュリティ、継続的なメンテナンスに影響するこれらの要因を考慮してください。

ベースラインとアドバンスト KMS キーポリシーステートメントの選択に関する考慮事項

を使用して KMS キーのアクセス許可をより具体的にするかどうかを決定するときは高度な KMS キーポリシーステートメント、組織の管理オーバーヘッドとセキュリティニーズを考慮してください。より具体的なポリシーステートメントでは、キーを使用できるユーザーと目的をよりきめ細かく制御できますが、IAM アイデンティティセンターの設定が進化するにつれて継続的なメンテナンスが必要になります。たとえば、KMS キーの使用を特定の AWS マネージドアプリケーションのデプロイに制限する場合、組織がアプリケーションをデプロイまたはデプロイ解除するたびにキーポリシーを更新する必要があります。制限の少ないポリシーは管理上の負担を軽減しますが、セキュリティ要件に必要なよりも広範なアクセス許可を付与する可能性があります。

カスタマーマネージド KMS キーを使用して新しい IAM アイデンティティセンターインスタンスを有効にする際の考慮事項

ここでの考慮事項は、 で説明されている暗号化コンテキストを使用して 高度な KMS キーポリシーステートメント KMS キーの使用を特定の IAM Identity Center インスタンスに制限する場合に適用されます。

カスタマーマネージド KMS キーを使用して新しい IAM Identity Center インスタンスを有効にする場合、IAM Identity Center と Identity Store ARNs はセットアップ後まで使用できません。次のオプションがあります。

• インスタンスが有効になったら、汎用 ARN パターンを一時的に使用し、 を完全な ARNs に置き換えます。必要に応じて、StringEquals 演算子と StringLike 演算子を切り替えてください。

  • IAM Identity Center SPN の場合: "arn:${Partition}:sso:::instance/*"。

  • Identity Store SPN の場合: "arn:${Partition}:identitystore::${Account}:identitystore/*"。

• ARN で一時的に「purpose:KEY_CONFIGURATION」を使用します。これはインスタンスの有効化にのみ機能し、IAM Identity Center インスタンスが正常に機能するには、実際の ARN に置き換える必要があります。このアプローチの利点は、インスタンスが有効になった後にこれを置き換えることを忘れないことです。

  • IAM Identity Center SPN の場合は、「arn:${Partition}:sso:::instance/purpose:KEY_CONFIGURATION」を使用します。

  • Identity Store SPN の場合は、「arn:${Partition}:identitystore::${Account}:identitystore/purpose:KEY_CONFIGURATION」を使用します。

  重要

  この設定は、既存の IAM Identity Center インスタンスで既に使用されている KMS キーに適用しないでください。通常のオペレーションが中断される可能性があります。

• インスタンスが有効になるまで、KMS キーポリシーから暗号化コンテキスト条件を省略します。