View a markdown version of this page

Multi-party Zulassung für AWS Zahlungskryptografie - AWS Kryptografie für Zahlungen
-ÜbersichtGeschützte OperationenVoraussetzungenMPA aktivieren und deaktivierenErste SchritteBeispiel: Importieren Sie ein Stammzertifikat mit aktiviertem MPAAWS CloudTrail Protokollierung von MPA-EreignissenÜberprüfen des Anforderungsstatus und Behandlung von Fehlern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Multi-party Zulassung für AWS Zahlungskryptografie

AWS Payment Cryptography ist in Multi-party Approval (MPA), eine Funktion von Amazon Web Services Organizations, integriert, um kritische Abläufe durch einen verteilten Genehmigungsprozess zu schützen. Mit MPA können Sie verlangen, dass mehrere vertrauenswürdige Personen bestimmte AWS Zahlungskryptografievorgänge genehmigen, bevor sie ausgeführt werden.

-Übersicht

Multi-party Die Genehmigung fügt vertraulichen AWS Zahlungskryptografieoperationen eine zusätzliche Sicherheitsebene hinzu, da die Genehmigung einer Gruppe vertrauenswürdiger Personen erforderlich ist, bevor der Vorgang fortgesetzt werden kann. Dies schützt vor unbefugten Änderungen, falls ein einziger Satz von Anmeldeinformationen kompromittiert wird, und verhindert, dass eine einzelne Person einseitig eine Änderung vornimmt.

Ein Genehmigungsteam ist eine Gruppe von Genehmigungsberechtigten innerhalb Ihrer Organisation, die Sie für die Genehmigung oder Ablehnung geschützter Vorgangsanfragen benennen. Der Genehmigungsprozess wird vollständig von den Genehmigungsberechtigten Ihrer Organisation verwaltet. An der Genehmigung oder Ablehnung von Anfragen ist kein AWS Personal beteiligt.

Wenn MPA für einen geschützten Vorgang aktiviert ist, passiert Folgendes:

  1. Ein Anforderer initiiert den geschützten Vorgang.

  2. MPA erstellt eine Genehmigungssitzung und benachrichtigt die Mitglieder des Genehmigungsteams.

  3. Die Mitglieder des Genehmigungsteams prüfen die Anfrage und genehmigen oder lehnen sie über das MPA-Portal ab.

  4. Sobald die erforderliche Mindestanzahl an Genehmigungen erreicht ist, wird der Vorgang fortgesetzt. Wenn die Anfrage vom Genehmigungsteam abgelehnt wird oder die zulässige Sitzungszeit abläuft, bevor der Genehmigungsschwellenwert erreicht ist, wird der Vorgang nicht ausgeführt. In beiden Fällen muss der Antragsteller eine neue Anfrage einreichen, um den Vorgang erneut zu versuchen.

Anmerkung

Beim Import eines Root-CA-Zertifikats mit aktiviertem MPA ist der RequesterComment Parameter obligatorisch. Dieser Kommentar ist in der Genehmigungsbenachrichtigung enthalten, die an das Genehmigungsteam gesendet wird, und stellt den Kontext für die Anfrage bereit.

Geschützte Operationen

AWS Payment Cryptography unterstützt MPA für den folgenden Vorgang:

  • ImportKeymit RootCertificatePublicKey Schlüsselmaterial — Das Importieren eines Public-Key-Stammzertifikats ist ein kritischer Vorgang, da Stammzertifikate den Vertrauensanker für alle nachfolgenden Schlüsselimporte und -exporte mithilfe eines asymmetrischen Schlüsselaustauschs bilden, z. B. TR-34 Wenn für diesen Vorgang eine Genehmigung durch mehrere Parteien erforderlich ist, wird sichergestellt, dass keine einzelne Person die Vertrauensbasis für Ihre AWS Payment Cryptography Keys einseitig einrichten oder ändern kann.

Voraussetzungen

Bevor Sie MPA mit AWS Zahlungskryptografie verwenden können, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Richten Sie MPA in Ihrer Amazon Web Services Organizations-Umgebung ein. Anweisungen finden Sie unter Was ist Multi-party Genehmigung? im Benutzerhandbuch Multi-party zur Genehmigung.

  • Stellen Sie mindestens ein Genehmigungsteam mit den erforderlichen Genehmigern zusammen.

  • Teilen Sie das Genehmigungsteam mit dem Team AWS-Konto , das Ihre AWS Zahlungskryptografie-Schlüssel enthält, mit. AWS Resource Access Manager

  • Für die Multi-party Genehmigung muss das Verwaltungskonto in Ihrer Organisation aktiviert sein.

MPA aktivieren und deaktivieren

Nachdem Sie ein Genehmigungsteam eingerichtet haben, können Sie MPA für AWS Payment Cryptography aktivieren, indem Sie das Team Ihrem Konto zuordnen. Sie können MPA auch deaktivieren, indem Sie die Zuordnung zum Team aufheben. Für die Trennung ist jedoch die Zustimmung des aktuell zugewiesenen Genehmigungsteams erforderlich.

MPA aktivieren

Verwenden Sie die AssociateMpaTeam API-Aktion oder den associate-mpa-team CLI-Befehl, um Ihrem AWS Payment Cryptography-Konto ein Genehmigungsteam zuzuordnen. Sobald die geschützten Operationen verknüpft sind, müssen sie vom Team genehmigt werden, bevor sie fortgesetzt werden können.

aws payment-cryptography associate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
MPA deaktivieren

Verwenden Sie die DisassociateMpaTeam API-Aktion oder den disassociate-mpa-team CLI-Befehl, um die Zuordnung des Genehmigungsteams zu entfernen. Das Trennen eines Teams ist selbst ein geschützter Vorgang, für den die Genehmigung durch das aktuell zugeordnete Genehmigungsteam erforderlich ist.

aws payment-cryptography disassociate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
Wichtig

Die Deaktivierung von MPA erfordert die Genehmigung durch das aktuell zugeordnete Genehmigungsteam. Dadurch wird sichergestellt, dass keine einzelne Person den Genehmigungsschutz für mehrere Parteien einseitig aufheben kann.

Anmerkung

Der --requester-comment Parameter ist optional für und. associate-mpa-team disassociate-mpa-team

Erste Schritte

Informationen zu den ersten Schritten mit MPA for AWS Payment Cryptography finden Sie im Multi-party Approval User Guide. Dort finden Sie detaillierte Anweisungen zur Einrichtung, einschließlich der Erstellung von Genehmigungsteams, der Konfiguration von Genehmigungsrichtlinien und der Verwaltung von Genehmigungssitzungen.

Beispiel: Importieren Sie ein Stammzertifikat mit aktiviertem MPA

Nachdem MPA aktiviert wurde und dem ImportKey Vorgang für ein Genehmigungsteam zugewiesen wurdeRootCertificatePublicKey, muss die Importanforderung genehmigt werden, bevor sie fortgesetzt werden kann.

  1. Ein Anforderer ruft import-key an, um ein Root-Public-Key-Zertifikat zu importieren. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.

    aws payment-cryptography import-key \
    --key-material='{"RootCertificatePublicKey": {
    "KeyAttributes": {
        "KeyAlgorithm": "RSA_4096",
        "KeyClass": "PUBLIC_KEY",
        "KeyModesOfUse": {"Verify": true},
        "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
    },
    "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \
    --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"

    Die Antwort gibt einen Schlüssel zurück, der auf KeyState gesetzt istCREATE_IN_PROGRESS, was darauf hinweist, dass die Anfrage auf Genehmigung wartet. Die Antwort enthält MpaStatus auch Einzelheiten zur Genehmigungssitzung:

    {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

  2. Da MPA aktiviert ist, wird die Anfrage nicht sofort abgeschlossen. Stattdessen erstellt AWS Payment Cryptography eine Genehmigungssitzung und gibt eine Antwort zurück, die darauf hinweist, dass die Genehmigung aussteht.

  3. Die Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung und prüfen die Anfrage über das MPA-Portal. Sobald die erforderliche Anzahl von Genehmigern den Antrag genehmigt hat, wird der Importvorgang fortgesetzt und das Stammzertifikat wird importiert.

AWS CloudTrail Protokollierung von MPA-Ereignissen

Wenn MPA aktiviert ist, protokolliert AWS Payment Cryptography Serviceereignisse bis zum AWS CloudTrailAbschluss einer Genehmigungssitzung. Diese Ereignisse zeichnen das Ergebnis des Genehmigungsprozesses auf, einschließlich der Frage, ob die Anfrage genehmigt wurde oder nicht. Sie können diese Protokolle verwenden, um die MPA-Aktivitäten zu überprüfen und den Status geschützter Operationen zu verfolgen.

MPA-related CloudTrail Ereignisse umfassen die folgenden Felder inserviceEventDetails:

  • keyArn— Der ARN des Schlüssels, der von der Operation betroffen ist.

  • operation— Der geschützte Vorgang, der angefordert wurde.

  • mpaSessionArn— Die ARN der MPA-Genehmigungssitzung.

  • sessionStatus— Das Ergebnis der Genehmigungssitzung (APPROVEDoderFAILED).

Genehmigte Anfrage

Das folgende Beispiel zeigt ein CloudTrail Ereignis für eine ImportKey Anfrage, die vom MPA-Team genehmigt wurde:

{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:49:51Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e",
        "sessionStatus": "APPROVED"
    }
}
Anfrage fehlgeschlagen

Das folgende Beispiel zeigt ein CloudTrail Ereignis für eine ImportKey Anfrage, die abgelehnt wurde oder deren Zeitlimit überschritten wurde:

{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:50:35Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2",
        "sessionStatus": "FAILED"
    }
}

Weitere Informationen AWS CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch.

Überprüfen des Anforderungsstatus und Behandlung von Fehlern

Sie können den Status einer ausstehenden MPA-Anfrage telefonisch überprüfen GetKey. Die Antwort enthält das MpaStatus Feld mit den Details der aktuellen Genehmigungssitzung. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.

aws payment-cryptography get-key \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Während die Genehmigung der Anfrage aussteht, wird die Antwort KeyState MpaStatus.Status wie CREATE_IN_PROGRESS folgt angezeigtPENDING:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Sobald die erforderliche Anzahl von Genehmigern die Anfrage genehmigt hat, wird die Anfrage KeyState MpaStatus.Status verschoben CREATE_COMPLETE und zuAPPROVED. Der Schlüssel ist jetzt einsatzbereit:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "APPROVED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Wenn die Anfrage vom Genehmigungsteam abgelehnt wird oder die Sitzung abläuft, bevor der Genehmigungsschwellenwert erreicht ist, KeyState ändert sich die Änderung CREATE_FAILED und MpaStatus.Status ändert sich inFAILED:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_FAILED",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "FAILED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00",
            "StatusMessage": "Approval session expired or was denied"
        }
    }
}

Ein Schlüssel im CREATE_FAILED Status kann nicht für kryptografische Operationen verwendet werden. Um den Import erneut zu versuchen, müssen Sie eine neue ImportKey Anfrage einreichen, wodurch eine neue Genehmigungssitzung erstellt wird.