Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Multi-party aprobación de criptografía AWS de pagos
AWS La criptografía de pagos se integra con Multi-party la aprobación (MPA), una capacidad de Amazon Web Services Organizations, para ayudar a proteger las operaciones críticas mediante un proceso de aprobación distribuido. Con la MPA, puede exigir que varias personas de confianza aprueben determinadas operaciones de criptografía de AWS pagos antes de llevarlas a cabo.
Temas
Descripción general de
Multi-party La aprobación añade un nivel adicional de seguridad a las operaciones confidenciales de criptografía de AWS pagos, ya que requiere la aprobación de un grupo de personas de confianza antes de que la operación pueda continuar. Esto ayuda a proteger contra los cambios no autorizados en caso de que un único conjunto de credenciales se vea comprometido e impide que una sola persona realice un cambio unilateral.
Un equipo de aprobación es un grupo de aprobadores de su organización que usted designa para aprobar o denegar las solicitudes de operaciones protegidas. Los aprobadores de su organización gestionan en su totalidad el proceso de aprobación. Ningún miembro AWS del personal participa en la aprobación o denegación de las solicitudes.
Cuando el MPA está activado para una operación protegida, ocurre lo siguiente:
-
Un solicitante inicia la operación protegida.
-
La MPA crea una sesión de aprobación y notifica a los miembros del equipo de aprobación.
-
Los miembros del equipo de aprobación revisan la solicitud y la aprueban o rechazan a través del portal de la MPA.
-
Una vez que se alcanza el umbral mínimo de aprobaciones requerido, la operación continúa. Si el equipo de aprobación rechaza la solicitud o si el tiempo de sesión permitido expira antes de alcanzar el umbral de aprobación, la operación no se lleva a cabo. En ambos casos, el solicitante debe enviar una nueva solicitud para volver a intentar la operación.
nota
Al importar un certificado de CA raíz con el MPA activado, el RequesterComment parámetro es obligatorio. Este comentario se incluye en la notificación de aprobación que se envía al equipo de aprobación y proporciona el contexto de la solicitud.
Operaciones protegidas
AWS La criptografía de pagos admite la MPA para las siguientes operaciones:
-
ImportKeycon materialRootCertificatePublicKeyclave: la importación de un certificado de clave pública raíz es una operación fundamental, ya que los certificados raíz establecen la base de confianza para todas las importaciones y exportaciones de claves posteriores mediante un intercambio de claves asimétrico, como. TR-34 Exigir la aprobación de varias partes para esta operación ayuda a garantizar que ninguna persona pueda establecer o cambiar unilateralmente la raíz de confianza de sus claves de criptografía de AWS pagos.
Requisitos previos
Antes de poder utilizar la MPA con la criptografía AWS de pagos, debe cumplir los siguientes requisitos previos:
-
Configure MPA en su entorno de Amazon Web Services Organizations. Para obtener instrucciones, consulte ¿Qué es Multi-party la aprobación? en la Guía del usuario de Multi-party aprobación.
-
Cree al menos un equipo de aprobación con los aprobadores necesarios.
-
Comparta el equipo de aprobación con el equipo Cuenta de AWS que contiene sus claves AWS de criptografía de pago. AWS Resource Access Manager
-
La cuenta de administración de su organización debe estar habilitada para su Multi-party aprobación.
Activación y desactivación de la MPA
Una vez que haya creado un equipo de aprobación, podrá habilitar la MPA para la criptografía de AWS pagos asociando el equipo a su cuenta. También puede deshabilitar el MPA desasociando el equipo, aunque la desasociación requiere la aprobación del equipo de aprobación actualmente asociado.
Habilite el MPA
Utilice la acción de la AssociateMpaTeam API o el comando associate-mpa-team CLI para asociar un equipo de aprobación a su cuenta de criptografía de AWS pagos. Una vez asociadas, las operaciones protegidas requieren la aprobación del equipo para poder continuar.
aws payment-cryptography associate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
Desactivar el MPA
Utilice la acción de la DisassociateMpaTeam API o el comando disassociate-mpa-team CLI para eliminar la asociación del equipo de aprobación. La disociación de un equipo es en sí misma una operación protegida que requiere la aprobación del equipo de aprobación actualmente asociado.
aws payment-cryptography disassociate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
importante
La desactivación del MPA requiere la aprobación del equipo de aprobación actualmente asociado. Esto garantiza que ninguna persona pueda eliminar unilateralmente la protección de aprobación multipartidista.
nota
El --requester-comment parámetro es opcional para associate-mpa-team y. disassociate-mpa-team
Introducción
Para empezar a utilizar la MPA para la criptografía de AWS pagos, consulte la Guía del usuario de Multi-party aprobación para obtener instrucciones de configuración detalladas, que incluyen cómo crear equipos de aprobación, configurar las políticas de aprobación y gestionar las sesiones de aprobación.
Ejemplo: importe un certificado raíz con la MPA habilitada
Una vez que se habilita el MPA y se asocia un equipo de aprobación a la ImportKey operaciónRootCertificatePublicKey, la solicitud de importación debe aprobarse antes de continuar.
-
Un solicitante llama
import-keypara importar un certificado de clave pública raíz. Para usar este comando, sustituyaitalicized placeholder textel comando del ejemplo por su propia información.aws payment-cryptography import-key \ --key-material='{"RootCertificatePublicKey": { "KeyAttributes": { "KeyAlgorithm": "RSA_4096", "KeyClass": "PUBLIC_KEY", "KeyModesOfUse": {"Verify": true}, "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE" }, "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \ --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"La respuesta devuelve una clave
KeyStateestablecida enCREATE_IN_PROGRESS, lo que indica que la solicitud está pendiente de aprobación. La respuesta también incluyeMpaStatusdetalles sobre la sesión de aprobación:{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } } -
Como la MPA está habilitada, la solicitud no se completa de forma inmediata. En su lugar, AWS Payment Cryptography crea una sesión de aprobación y devuelve una respuesta que indica que la aprobación está pendiente.
-
Los miembros del equipo de aprobación reciben una notificación y revisan la solicitud a través del portal de la MPA. Una vez que el número requerido de aprobadores apruebe la solicitud, la operación de importación continúa y se importa el certificado raíz.
AWS CloudTrail registro de eventos de MPA
Cuando la MPA está habilitada, la criptografía de AWS pagos registra los eventos del servicio hasta que AWS CloudTrailfinaliza una sesión de aprobación. Estos eventos registran el resultado del proceso de aprobación, incluso si la solicitud se aprobó o no. Puede utilizar estos registros para auditar la actividad de la MPA y realizar un seguimiento del estado de las operaciones protegidas.
MPA-related CloudTrail los eventos incluyen los siguientes campos enserviceEventDetails:
-
keyArn— El ARN de la clave afectada por la operación. -
operation— La operación protegida que se solicitó. -
mpaSessionArn— El ARN de la sesión de aprobación de la MPA. -
sessionStatus— El resultado de la sesión de aprobación (APPROVEDoFAILED).
Solicitud aprobada
El siguiente ejemplo muestra un CloudTrail evento para una ImportKey solicitud que fue aprobada por el equipo de la MPA:
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:49:51Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e", "sessionStatus": "APPROVED" } }
Solicitud fallida
En el siguiente ejemplo, se muestra un CloudTrail evento de una ImportKey solicitud que se denegó o se agotó el tiempo de espera:
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:50:35Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2", "sessionStatus": "FAILED" } }
Para obtener más información AWS CloudTrail, consulte la Guía del AWS CloudTrail usuario.
Comprobar el estado de las solicitudes y gestionar los errores
Puede comprobar el estado de una solicitud de MPA pendiente llamando GetKey. La respuesta incluye el MpaStatus campo con los detalles de la sesión de aprobación actual. Para usar este comando, sustituya italicized placeholder text el comando del ejemplo por su propia información.
aws payment-cryptography get-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
Mientras la solicitud esté pendiente de aprobación, la respuesta se mostrará KeyState como CREATE_IN_PROGRESS y MpaStatus.Status comoPENDING:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
Una vez que el número requerido de aprobadores apruebe la solicitud, KeyState se mueve a CREATE_COMPLETE y MpaStatus.Status aAPPROVED. La clave ya está lista para su uso:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "APPROVED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
Si el equipo de aprobación rechaza la solicitud o la sesión caduca antes de que se alcance el umbral de aprobación, KeyState cambia CREATE_FAILED y MpaStatus.Status cambia aFAILED:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_FAILED", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "FAILED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00", "StatusMessage": "Approval session expired or was denied" } } }
No se puede usar una clave en CREATE_FAILED estado para operaciones criptográficas. Para volver a intentar la importación, debe enviar una nueva ImportKey solicitud, que creará una nueva sesión de aprobación.
