Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS - AWS IAM Identity Center
Considerações sobre a escolha das principais declarações de política do KMS em comparação com as avançadasConsiderações para habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS

nota

As chaves KMS AWS IAM Identity Center gerenciadas pelo cliente estão atualmente disponíveis em AWS regiões selecionadas.

Ao implementar chaves KMS gerenciadas pelo cliente com o IAM Identity Center, considere esses fatores que afetam a configuração, a segurança e a manutenção contínua de sua configuração de criptografia.

Considerações sobre a escolha das principais declarações de política do KMS em comparação com as avançadas

Ao decidir se as permissões da chave KMS devem ser usadas de forma mais específicaDeclarações de política chave avançadas do KMS, considere a sobrecarga de gerenciamento e as necessidades de segurança da sua organização. Declarações de política mais específicas fornecem um controle mais refinado sobre quem pode usar a chave e para quais propósitos; no entanto, elas exigem manutenção contínua à medida que a configuração do IAM Identity Center evolui. Por exemplo, se você restringir o uso da chave KMS a implantações específicas de aplicativos AWS gerenciados, precisará atualizar a política de chaves sempre que sua organização quiser implantar ou desimplantar um aplicativo. Políticas menos restritivas reduzem a carga administrativa, mas podem conceder permissões mais amplas do que as necessárias para seus requisitos de segurança.

Considerações para habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente

As considerações aqui se aplicam se você estiver usando o contexto de criptografia, conforme descrito em, Declarações de política chave avançadas do KMS para restringir o uso da chave KMS a uma instância específica do IAM Identity Center.

Ao habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente, o IAM Identity Center e o Identity Store ARNs não estarão disponíveis até a configuração. Você tem as seguintes opções:

  • Use padrões ARN genéricos temporariamente e, em seguida, substitua por full ARNs depois que a instância for ativada. Lembre-se de alternar entre StringLike operadores StringEquals e conforme necessário.

    • Para o IAM Identity Center SPN: “arn: $ {Partition} :sso: ::instance/*”.

    • Para o Identity Store SPN: “arn: $ {Partition} :identitystore: :$ {Account} :identitystore/*”.

  • Use “Purpose:key_configuration” no ARN temporariamente. Isso funciona somente para habilitação de instâncias e deve ser substituído pelo ARN real para que sua instância do IAM Identity Center funcione normalmente. A vantagem dessa abordagem é que você não pode esquecer de substituí-la após a ativação da instância.

    • Para o IAM Identity Center SPN, use: “arn: $ {Partition} :sso: ::instance/purpose:KEY_CONFIGURATION”

    • Para o Identity Store SPN, use: “arn: $ {Partition} :identitystore: :$ {Account} :identitystore/purpose:key_configuration”

    Importante

    Não aplique essa configuração a uma chave KMS já em uso em uma instância existente do IAM Identity Center, pois isso pode interromper suas operações normais.

  • Omita a condição do contexto de criptografia da política de chaves do KMS até que a instância seja habilitada.