客戶受管 KMS 金鑰和進階 KMS 金鑰政策的考量

注意

客戶受管的 KMS AWS IAM Identity Center 金鑰目前可在特定 AWS 區域中使用。

使用 IAM Identity Center 實作客戶受管 KMS 金鑰時，請考慮這些會影響加密組態設定、安全性和持續維護的因素。

選擇基準與進階 KMS 金鑰政策陳述式的考量

決定是否使用 讓 KMS 金鑰許可更具體時進階 KMS 金鑰政策陳述式，請考慮組織的管理開銷和安全需求。更具體的政策陳述式可更精細地控制誰可以使用金鑰以及用於什麼目的；不過，隨著 IAM Identity Center 組態的演進，它們需要持續維護。例如，如果您將 KMS 金鑰的使用限制為特定 AWS 受管應用程式部署，則每當組織想要部署或取消部署應用程式時，都需要更新金鑰政策。限制性較低的政策可減少管理負擔，但可能會授予比安全需求所需的更廣泛許可。

使用客戶受管 KMS 金鑰啟用新 IAM Identity Center 執行個體的考量

如果您使用 中所述的加密內容進階 KMS 金鑰政策陳述式，將 KMS 金鑰的使用限制在特定 IAM Identity Center 執行個體，則適用此處的考量。

使用客戶受管 KMS 金鑰啟用新的 IAM Identity Center 執行個體時，IAM Identity Center 和 Identity Store ARNs 會在設定完成後才能使用。您有下列選項：

• 暫時使用一般 ARN 模式，然後在執行個體啟用後以完整 ARNs 取代 。請記得視需要在 StringEquals 和 StringLike 運算子之間切換。

  • 對於 IAM Identity Center SPN："arn：${Partition}：sso：：instance/*"。

  • 對於 Identity Store SPN："arn：${Partition}：identitystore：：${Account}：identitystore/*"。

• 在 ARN 中暫時使用「purpose：KEY_CONFIGURATION」。這僅適用於執行個體啟用，且必須以實際 ARN 取代，IAM Identity Center 執行個體才能正常運作。此方法的優點是，在執行個體啟用後，您不會忘記取代此選項。

  • 對於 IAM Identity Center SPN，請使用："arn：${Partition}：sso：：instance/purpose：KEY_CONFIGURATION"

  • 對於 Identity Store SPN，請使用："arn：${Partition}：identitystore：：${Account}：identitystore/purpose：KEY_CONFIGURATION"

  重要

  請勿將此組態套用至已在現有 IAM Identity Center 執行個體中使用的 KMS 金鑰，因為這可能會中斷其正常操作。

• 從 KMS 金鑰政策省略加密內容條件，直到啟用執行個體為止。