Présentation de Opérations protégées Conditions préalables Activation et désactivation de MPA Prise en main Exemple : Importer un certificat racine avec MPA activé AWS CloudTrail journalisation des événements MPA Vérification de l'état des demandes et gestion des échecs

Multi-party approbation de la cryptographie des AWS paiements

AWS La cryptographie des paiements s'intègre à Multi-party l'approbation (MPA), une fonctionnalité d'Amazon Web Services Organizations, pour aider à protéger les opérations critiques grâce à un processus d'approbation distribué. Avec MPA, vous pouvez exiger que plusieurs personnes de confiance approuvent des opérations de cryptographie de AWS paiement spécifiques avant qu'elles ne soient effectuées.

Rubriques

Présentation de
Opérations protégées
Conditions préalables
Activation et désactivation de MPA
Prise en main
Exemple : Importer un certificat racine avec MPA activé
AWS CloudTrail journalisation des événements MPA
Vérification de l'état des demandes et gestion des échecs

Présentation de

Multi-party L'approbation ajoute un niveau de sécurité supplémentaire aux opérations sensibles de cryptographie des AWS paiements en exigeant l'approbation d'un groupe de personnes de confiance avant que l'opération ne puisse se poursuivre. Cela permet de se protéger contre les modifications non autorisées si un seul ensemble d'informations d'identification est compromis et d'empêcher une seule personne d'apporter une modification unilatérale.

Une équipe d'approbation est un groupe d'approbateurs au sein de votre organisation que vous désignez pour approuver ou refuser les demandes d'opérations protégées. Le processus d'approbation est entièrement géré par les approbateurs de votre organisation. Aucun AWS membre du personnel n'est impliqué dans l'approbation ou le refus des demandes.

Lorsque le MPA est activé pour une opération protégée, les événements suivants se produisent :

Un demandeur lance l'opération protégée.
MPA crée une session d'approbation et en informe les membres de l'équipe d'approbation.
Les membres de l'équipe d'approbation examinent la demande et l'approuvent ou la rejettent via le portail MPA.
Une fois que le seuil minimum d'approbations requis est atteint, l'opération se poursuit. Si la demande est refusée par l'équipe d'approbation ou si la durée de session autorisée expire avant que le seuil d'approbation ne soit atteint, l'opération n'est pas effectuée. Dans les deux cas, le demandeur doit soumettre une nouvelle demande pour réessayer l'opération.

Note

Lors de l'importation d'un certificat CA racine avec MPA activé, le RequesterComment paramètre est obligatoire. Ce commentaire est inclus dans la notification d'approbation envoyée à l'équipe d'approbation, fournissant le contexte de la demande.

Opérations protégées

AWS Payment Cryptography prend en charge le MPA pour les opérations suivantes :

ImportKeyavec du matériel RootCertificatePublicKey clé — L'importation d'un certificat de clé publique racine est une opération critique car les certificats racine constituent l'ancre de confiance pour toutes les importations et exportations de clés ultérieures à l'aide d'un échange de clés asymétrique tel que TR-34. Le fait d'exiger l'approbation de plusieurs parties pour cette opération permet de garantir qu'aucune personne ne puisse établir ou modifier unilatéralement le fondement de la confiance en ce qui concerne vos clés de cryptographie de AWS paiement.

Conditions préalables

Avant de pouvoir utiliser MPA avec AWS le chiffrement des paiements, vous devez remplir les conditions préalables suivantes :

Configurez MPA dans votre environnement Amazon Web Services Organizations. Pour obtenir des instructions, voir Qu'est-ce que Multi-party l'approbation ? dans le guide Multi-party d'utilisation relatif à l'approbation.
Créez au moins une équipe d'approbation avec les approbateurs requis.
Partagez l'équipe d'approbation avec Compte AWS celle qui contient vos clés de cryptographie AWS de paiement à l'aide AWS Resource Access Manager de.
Le compte de gestion de votre organisation doit être activé pour être Multi-party approuvé.

Activation et désactivation de MPA

Après avoir mis en place une équipe d'approbation, vous pouvez activer MPA pour le chiffrement des AWS paiements en associant l'équipe à votre compte. Vous pouvez également désactiver le MPA en dissociant l'équipe, bien que la dissociation nécessite l'approbation de l'équipe d'approbation actuellement associée.

Activer MPA

Utilisez l'action AssociateMpaTeam API ou la commande associate-mpa-team CLI pour associer une équipe d'approbation à votre compte AWS Payment Cryptography. Une fois associées, les opérations protégées nécessitent l'approbation de l'équipe avant de pouvoir être poursuivies.


aws payment-cryptography associate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team

Désactiver MPA

Utilisez l'action DisassociateMpaTeam API ou la commande disassociate-mpa-team CLI pour supprimer l'association de l'équipe d'approbation. Dissocier une équipe est en soi une opération protégée qui nécessite l'approbation de l'équipe d'approbation actuellement associée.


aws payment-cryptography disassociate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team

Important

La désactivation de MPA nécessite l'approbation de l'équipe d'approbation actuellement associée. Cela garantit qu'aucune personne ne peut supprimer unilatéralement la protection d'approbation multipartite.

Note

Le --requester-comment paramètre est facultatif pour associate-mpa-team etdisassociate-mpa-team.

Prise en main

Pour commencer à utiliser MPA for AWS Payment Cryptography, consultez le guide de Multi-party l'utilisateur d'approbation pour obtenir des instructions de configuration détaillées, notamment comment créer des équipes d'approbation, configurer les politiques d'approbation et gérer les sessions d'approbation.

Exemple : Importer un certificat racine avec MPA activé

Une fois que le MPA est activé et qu'une équipe d'approbation est associée à l'ImportKeyopérationRootCertificatePublicKey, la demande d'importation doit être approuvée avant de pouvoir être traitée.

Un demandeur appelle import-key pour importer un certificat de clé publique racine. Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.


aws payment-cryptography import-key \
    --key-material='{"RootCertificatePublicKey": {
    "KeyAttributes": {
        "KeyAlgorithm": "RSA_4096",
        "KeyClass": "PUBLIC_KEY",
        "KeyModesOfUse": {"Verify": true},
        "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
    },
    "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \
    --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"

La réponse renvoie une clé KeyState définie surCREATE_IN_PROGRESS, indiquant que la demande est en attente d'approbation. La réponse inclut également MpaStatus des détails sur la session d'approbation :


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Le MPA étant activé, la demande ne se termine pas immédiatement. AWS Payment Cryptography crée plutôt une session d'approbation et renvoie une réponse indiquant que l'approbation est en attente.
Les membres de l'équipe d'approbation reçoivent une notification et examinent la demande via le portail MPA. Une fois que le nombre requis d'approbateurs a approuvé la demande, l'opération d'importation se poursuit et le certificat racine est importé.

AWS CloudTrail journalisation des événements MPA

Lorsque MPA est activé, AWS Payment Cryptography enregistre les événements du service AWS CloudTraillorsqu'une session d'approbation est terminée. Ces événements enregistrent le résultat du processus d'approbation, notamment si la demande a été approuvée ou a échoué. Vous pouvez utiliser ces journaux pour auditer l'activité des MPA et suivre l'état des opérations protégées.

MPA-related CloudTrail les événements incluent les champs suivants dans serviceEventDetails :

keyArn— L'ARN de la clé affectée par l'opération.
operation— L'opération protégée qui a été demandée.
mpaSessionArn— L'ARN de la session d'approbation du MPA.
sessionStatus— Le résultat de la session d'approbation (APPROVEDouFAILED).

Demande approuvée

L'exemple suivant montre un CloudTrail événement lié à une ImportKey demande approuvée par l'équipe MPA :


{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:49:51Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e",
        "sessionStatus": "APPROVED"
    }
}

Demande échouée

L'exemple suivant montre un CloudTrail événement lié à une ImportKey demande refusée ou dont le délai a expiré :


{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:50:35Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2",
        "sessionStatus": "FAILED"
    }
}

Pour en savoir plus AWS CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.

Vérification de l'état des demandes et gestion des échecs

Vous pouvez vérifier l'état d'une demande MPA en attente en appelant GetKey. La réponse inclut le MpaStatus champ contenant les détails de la session d'approbation en cours. Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.


aws payment-cryptography get-key \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Pendant que la demande est en attente d'approbation, la réponse s'affiche KeyState sous forme CREATE_IN_PROGRESS et MpaStatus.Status sous la forme suivante PENDING :


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Une fois que le nombre requis d'approbateurs a approuvé la demande, celle-ci est KeyState transférée CREATE_COMPLETE et MpaStatus.Status déplacée vers. APPROVED La clé est maintenant prête à être utilisée :


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "APPROVED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Si la demande est refusée par l'équipe d'approbation ou si la session expire avant que le seuil d'approbation ne soit atteint, les KeyState modifications apportées CREATE_FAILED sont MpaStatus.Status les FAILED suivantes :


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_FAILED",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "FAILED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00",
            "StatusMessage": "Approval session expired or was denied"
        }
    }
}

Une clé dont le CREATE_FAILED statut est défini ne peut pas être utilisée pour des opérations cryptographiques. Pour réessayer l'importation, vous devez soumettre une nouvelle ImportKey demande, ce qui créera une nouvelle session d'approbation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Resource-based politiques

Résolution des problèmes