客户托管的 KMS 密钥和高级 KMS 密钥策略的注意事项

注意

客户托管的 KMS 密钥 AWS IAM Identity Center 目前在部分 AWS 地区可用。

使用 IAM Identity Center 实施客户托管的 KMS 密钥时，请考虑这些影响加密配置的设置、安全性和持续维护的因素。

选择基准与高级 KMS 密钥策略声明的注意事项

在决定是否使用使 KMS 密钥权限更加具体时高级 KMS 密钥策略声明，请考虑管理开销和组织的安全需求。更具体的政策声明可以更精细地控制谁可以使用密钥以及用于什么目的；但是，随着您的 IAM Identity Center 配置的发展，它们需要持续维护。例如，如果您将 KMS 密钥的使用限制在特定的 AWS 托管应用程序部署，则每当您的组织想要部署或取消部署应用程序时，都需要更新密钥策略。限制性较低的策略可以减轻管理负担，但授予的权限可能会超出您的安全要求所必需的范围。

使用客户托管 KMS 密钥启用新 IAM 身份中心实例的注意事项

如果您使用中所述的加密上下文将 KMS 密钥的使用限制在高级 KMS 密钥策略声明特定的 IAM Identity Center 实例上，则此处的注意事项适用。

使用客户托管的 KMS 密钥启用新的 IAM 身份中心实例时，IAM 身份中心和身份存储 ARNs 在设置后才可用。您有以下选项：

• 暂时使用通用 ARN 模式，然后在实例启用 ARNs 后将其替换为完整模式。请记住根据需要在 StringEquals 和 StringLike 运算符之间切换。

  • 对于 IAM 身份中心 SPN：“arn：$ {Partition}: sso::: instance/*”。

  • 对于身份存储 SPN：“arn：$ {Partity}: identitystore:: $ {Account}: identitystore/*”。

• 在 ARN 中临时使用 “用途:密钥_配置”。这仅适用于实例启用，必须将其替换为实际的 ARN，您的 IAM Identity Center 实例才能正常运行。这种方法的优点是，在实例启用后，您不会忘记将其替换。

  • 对于 IAM Identity Center SPN，请使用：“arn: $ {Partition}: sso::: 实例/目的:key_Configuration”

  • 对于 IdentityStore SPN，请使用：“arn：$ {Partity}: identitystore:: $ {账户}: identityStore/Purpose: key_Configuration”

  重要

  请勿将此配置应用于现有 IAM Identity Center 实例中已在使用的 KMS 密钥，因为它可能会中断其正常运行。

• 在启用实例之前，在 KMS 密钥策略中省略加密上下文条件。