保管中の暗号化 - AWS IAM Identity Center
IAM アイデンティティセンターの暗号化コンテキスト暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御するIAM Identity Center の暗号化キーのモニタリングAWS マネージドアプリケーションの IAM Identity Center ID 属性のストレージ、暗号化、削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の暗号化

注記

のカスタマーマネージド KMS キー AWS IAM Identity Center は、現在、一部の AWS リージョンで利用できます。

IAM Identity Center は、次のキータイプを使用して保管中の顧客データを保護するための暗号化を提供します。

  • AWS 所有のキー (デフォルトキータイプ) — IAM Identity Center は、デフォルトでこれらのキーを使用してデータを自動的に暗号化します。その使用を表示、管理、監査したり、 AWS 所有キーを他の目的で使用することはできません。IAM Identity Center は、ユーザーがアクションを実行することなく、データの安全性を維持するためにキー管理を完全に処理します。詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS 所有キー」を参照してください。

  • カスタマーマネージドキー — IAM Identity Center の組織インスタンスでは、ユーザー属性やグループ属性などのワークフォースアイデンティティデータの保管時の暗号化用に対称カスタマーマネージドキーを選択できます。これらの暗号化キーを作成、所有、管理します。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

    • キーへのアクセスを、アクセスを必要とする IAM プリンシパルのみに制限するキーポリシーを確立および維持します。IAM Identity Center や、同じ 内の AWS マネージドアプリケーション AWS Organizations とその管理者などです。

    • クロスアカウントアクセスを含むキーへのアクセスのための IAM ポリシーの確立と維持

    • キーポリシーの有効化と無効化

    • キー暗号化マテリアルのローテーション

    • キーアクセスを必要とするデータへのアクセスの監査

    • タグの追加

    • キーエイリアスの作成

    • 削除のためのキースケジューリング

IAM Identity Center でカスタマーマネージド KMS キーを実装する方法については、「」を参照してくださいでのカスタマーマネージド KMS キーの実装 AWS IAM Identity Center。カスタマーマネージドキーの詳細については、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

注記

IAM Identity Center は、 AWS 所有の KMS キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。ただし、カスタマーマネージドキーを使用する場合、 AWS KMS 料金が適用されます。料金の詳細については、「AWS Key Management Service 料金」を参照してください。

カスタマーマネージドキーの実装に関する考慮事項:

  • 既存のセッションの例外: カスタマーマネージドキーによる保管時の暗号化は、ユーザーセッションに一時的に保存されるユーザー属性やグループ属性などのワークフォースアイデンティティデータにも適用されます。IAM アイデンティティセンターでカスタマーマネージドキーを設定すると、新しいセッションでワークフォース ID データを暗号化するためにカスタマーマネージドキーが使用されます。この機能のリリース前に開始されたセッションでは、ワークフォース ID データは、セッションの有効期限 (最大 90 日間) または終了 AWS 所有のキー するまでデフォルトの で暗号化されたままになり、その時点でこのデータは自動的に削除されます。

  • 専用キー: 既存のキーを再利用するのではなく、IAM Identity Center インスタンスごとに新しいカスタマーマネージド KMS キーを作成することをお勧めします。このアプローチにより、職務の分離が明確になり、アクセスコントロール管理が簡素化され、セキュリティ監査がより簡単になります。専用キーを使用すると、キー変更の影響を単一の IAM Identity Center インスタンスに制限することで、リスクも軽減されます。

注記

IAM Identity Center は、従業員 ID データの暗号化にエンベロープ暗号化を使用します。KMS キーは、データの暗号化に実際に使用されるデータキーを暗号化するラッピングキーの役割を果たします。

KMS の詳細については、 AWS AWS 「Key Management Service とは」を参照してください。

IAM アイデンティティセンターの暗号化コンテキスト

暗号化コンテキストは、データに関する追加のコンテキスト情報を含むシークレット以外のキーと値のペアのオプションセットです。 は、認証された暗号化をサポートする追加の認証済みデータとして暗号化コンテキスト AWS KMS を使用します。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。暗号化コンテキストの詳細については、KMS デベロッパーガイドを参照してください。

IAM Identity Center は、aws:sso:instance-arn、aws:identitystore:identitystore-arn、tenant-key-id の暗号化コンテキストキーを使用します。たとえば、次の暗号化コンテキストは、IAM Identity Center AWS KMS API によって呼び出される API オペレーションに表示されます。 https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

次の暗号化コンテキストは、Identity Store AWS KMS API によって呼び出される API オペレーションに表示されます。 https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する

対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。の一部のキーポリシーテンプレートには、キーが特定の IAM Identity Center インスタンスでのみ使用されるように、このような条件高度な KMS キーポリシーステートメントが含まれています。

IAM Identity Center の暗号化キーのモニタリング

IAM アイデンティティセンターインスタンスでカスタマーマネージド KMS キーを使用する場合、 AWS CloudTrailまたは Amazon CloudWatch Logs を使用して、IAM アイデンティティセンターが送信するリクエストを追跡できます AWS KMS。IAM Identity Center が呼び出す KMS API オペレーションは、「」に記載されていますステップ 2: KMS キーポリシーステートメントを準備する。これらの API オペレーションの CloudTrail イベントには暗号化コンテキストが含まれており、IAM Identity Center インスタンスによって呼び出された AWS KMS API オペレーションをモニタリングして、カスタマーマネージドキーによって暗号化されたデータにアクセスできます。

AWS KMS API オペレーションの CloudTrail イベントの暗号化コンテキストの例:


"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }

AWS マネージドアプリケーションの IAM Identity Center ID 属性のストレージ、暗号化、削除

AWS Systems Manager や Amazon CodeCatalyst など AWS IAM Identity Center、デプロイする一部の AWS マネージドアプリケーションは、IAM Identity Center の特定のユーザー属性とグループ属性を独自のデータストアに保存します。IAM アイデンティティセンターのカスタマーマネージド KMS キーによる保管時の暗号化は、 AWS マネージドアプリケーションに保存されている IAM アイデンティティセンターのユーザー属性とグループ属性には適用されません。 AWS マネージドアプリケーションは、保存するデータに対してさまざまな暗号化方法をサポートしています。最後に、IAM アイデンティティセンター内のユーザー属性とグループ属性を削除すると、これらの AWS マネージドアプリケーションは、削除後にこの情報を IAM アイデンティティセンターに引き続き保存することがあります。アプリケーションに保存されているデータの暗号化とセキュリティについては、 AWS マネージドアプリケーションのユーザーガイドを参照してください。