Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Multi-party approbation de la cryptographie des AWS paiements
AWS La cryptographie des paiements s'intègre à [Multi-party l'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) (MPA), une fonctionnalité d'Amazon Web Services Organizations, pour aider à protéger les opérations critiques grâce à un processus d'approbation distribué. Avec MPA, vous pouvez exiger que plusieurs personnes de confiance approuvent des opérations de cryptographie de AWS paiement spécifiques avant qu'elles ne soient effectuées.
**Topics**
+ [Présentation de](#mpa-overview)
+ [Opérations protégées](#mpa-protected-operations)
+ [Conditions préalables](#mpa-prerequisites)
+ [Activation et désactivation de MPA](#mpa-enable-disable)
+ [Prise en main](#mpa-getting-started)
+ [Exemple : Importer un certificat racine avec MPA activé](#mpa-example)
+ [AWS CloudTrail journalisation des événements MPA](#mpa-cloudtrail)
+ [Vérification de l'état des demandes et gestion des échecs](#mpa-rejected-requests)
## Présentation de
Multi-party L'approbation ajoute un niveau de sécurité supplémentaire aux opérations sensibles de cryptographie des AWS paiements en exigeant l'approbation d'un groupe de personnes de confiance avant que l'opération ne puisse se poursuivre. Cela permet de se protéger contre les modifications non autorisées si un seul ensemble d'informations d'identification est compromis et d'empêcher une seule personne d'apporter une modification unilatérale.
Une équipe d'approbation est un groupe d'approbateurs au sein de votre organisation que vous désignez pour approuver ou refuser les demandes d'opérations protégées. Le processus d'approbation est entièrement géré par les approbateurs de votre organisation. Aucun AWS membre du personnel n'est impliqué dans l'approbation ou le refus des demandes.
Lorsque le MPA est activé pour une opération protégée, les événements suivants se produisent :
1. Un demandeur lance l'opération protégée.
1. MPA crée une session d'approbation et en informe les membres de l'équipe d'approbation.
1. Les membres de l'équipe d'approbation examinent la demande et l'approuvent ou la rejettent via le portail MPA.
1. Une fois que le seuil minimum d'approbations requis est atteint, l'opération se poursuit. Si la demande est refusée par l'équipe d'approbation ou si la durée de session autorisée expire avant que le seuil d'approbation ne soit atteint, l'opération n'est pas effectuée. Dans les deux cas, le demandeur doit soumettre une nouvelle demande pour réessayer l'opération.
**Note**
Lors de l'importation d'un certificat CA racine avec MPA activé, le `RequesterComment` paramètre est obligatoire. Ce commentaire est inclus dans la notification d'approbation envoyée à l'équipe d'approbation, fournissant le contexte de la demande.
## Opérations protégées
AWS Payment Cryptography prend en charge le MPA pour les opérations suivantes :
+ [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html)avec du matériel `RootCertificatePublicKey` clé — L'importation d'un certificat de clé publique racine est une opération critique car les certificats racine constituent l'ancre de confiance pour toutes les importations et exportations de clés ultérieures à l'aide d'un échange de clés asymétrique tel que TR-34. Le fait d'exiger l'approbation de plusieurs parties pour cette opération permet de garantir qu'aucune personne ne puisse établir ou modifier unilatéralement le fondement de la confiance en ce qui concerne vos clés de cryptographie de AWS paiement.
## Conditions préalables
Avant de pouvoir utiliser MPA avec AWS le chiffrement des paiements, vous devez remplir les conditions préalables suivantes :
+ Configurez MPA dans votre environnement Amazon Web Services Organizations. Pour obtenir des instructions, voir [Qu'est-ce que Multi-party l'approbation ?](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) dans le *guide Multi-party d'utilisation relatif à l'approbation*.
+ Créez au moins une équipe d'approbation avec les approbateurs requis.
+ Partagez l'équipe d'approbation avec Compte AWS celle qui contient vos clés de cryptographie AWS de paiement à l'aide AWS Resource Access Manager de.
+ Le compte de gestion de votre organisation doit être activé pour être Multi-party approuvé.
## Activation et désactivation de MPA
Après avoir mis en place une équipe d'approbation, vous pouvez activer MPA pour le chiffrement des AWS paiements en associant l'équipe à votre compte. Vous pouvez également désactiver le MPA en dissociant l'équipe, bien que la dissociation nécessite l'approbation de l'équipe d'approbation actuellement associée.
**Activer MPA**
Utilisez l'action `AssociateMpaTeam` API ou la commande **associate-mpa-team** CLI pour associer une équipe d'approbation à votre compte AWS Payment Cryptography. Une fois associées, les opérations protégées nécessitent l'approbation de l'équipe avant de pouvoir être poursuivies.
```
aws payment-cryptography associate-mpa-team \
--team-arn arn:aws:mpa:{{us-east-1}}:{{111122223333}}:team/{{my-approval-team}}
```
**Désactiver MPA**
Utilisez l'action `DisassociateMpaTeam` API ou la commande **disassociate-mpa-team** CLI pour supprimer l'association de l'équipe d'approbation. Dissocier une équipe est en soi une opération protégée qui nécessite l'approbation de l'équipe d'approbation actuellement associée.
```
aws payment-cryptography disassociate-mpa-team \
--team-arn arn:aws:mpa:{{us-east-1}}:{{111122223333}}:team/{{my-approval-team}}
```
**Important**
La désactivation de MPA nécessite l'approbation de l'équipe d'approbation actuellement associée. Cela garantit qu'aucune personne ne peut supprimer unilatéralement la protection d'approbation multipartite.
**Note**
Le `--requester-comment` paramètre est facultatif pour **associate-mpa-team** et**disassociate-mpa-team**.
## Prise en main
Pour commencer à utiliser MPA for AWS Payment Cryptography, consultez le [guide de Multi-party l'utilisateur d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) pour obtenir des instructions de configuration détaillées, notamment comment créer des équipes d'approbation, configurer les politiques d'approbation et gérer les sessions d'approbation.
## Exemple : Importer un certificat racine avec MPA activé
Une fois que le MPA est activé et qu'une équipe d'approbation est associée à l'`ImportKey`opération`RootCertificatePublicKey`, la demande d'importation doit être approuvée avant de pouvoir être traitée.
1. Un demandeur appelle `import-key` pour importer un certificat de clé publique racine. Pour utiliser cette commande, remplacez celle {{italicized placeholder text}} de l'exemple par vos propres informations.
```
aws payment-cryptography import-key \
--key-material='{"RootCertificatePublicKey": {
"KeyAttributes": {
"KeyAlgorithm": "RSA_4096",
"KeyClass": "PUBLIC_KEY",
"KeyModesOfUse": {"Verify": true},
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
},
"PublicKeyCertificate": "{{LS0tLS1CRUdJTi...}}"}}' \
--requester-comment "{{Importing new root CA certificate for TR-34 key exchange with partner XYZ}}"
```
La réponse renvoie une clé `KeyState` définie sur`CREATE_IN_PROGRESS`, indiquant que la demande est en attente d'approbation. La réponse inclut également `MpaStatus` des détails sur la session d'approbation :
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_IN_PROGRESS",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "PENDING",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
1. Le MPA étant activé, la demande ne se termine pas immédiatement. AWS Payment Cryptography crée plutôt une session d'approbation et renvoie une réponse indiquant que l'approbation est en attente.
1. Les membres de l'équipe d'approbation reçoivent une notification et examinent la demande via le portail MPA. Une fois que le nombre requis d'approbateurs a approuvé la demande, l'opération d'importation se poursuit et le certificat racine est importé.
## AWS CloudTrail journalisation des événements MPA
Lorsque MPA est activé, AWS Payment Cryptography enregistre les événements du service [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)lorsqu'une session d'approbation est terminée. Ces événements enregistrent le résultat du processus d'approbation, notamment si la demande a été approuvée ou a échoué. Vous pouvez utiliser ces journaux pour auditer l'activité des MPA et suivre l'état des opérations protégées.
MPA-related CloudTrail les événements incluent les champs suivants dans `serviceEventDetails` :
+ `keyArn`— L'ARN de la clé affectée par l'opération.
+ `operation`— L'opération protégée qui a été demandée.
+ `mpaSessionArn`— L'ARN de la session d'approbation du MPA.
+ `sessionStatus`— Le résultat de la session d'approbation (`APPROVED`ou`FAILED`).
**Demande approuvée**
L'exemple suivant montre un CloudTrail événement lié à une `ImportKey` demande approuvée par l'équipe MPA :
```
{
"eventVersion": "1.11",
"eventTime": "2026-04-28T18:49:51Z",
"eventName": "ImportKey",
"eventSource": "payment-cryptography.amazonaws.com",
"eventType": "AwsServiceEvent",
"eventCategory": "Management",
"awsRegion": "us-east-1",
"readOnly": false,
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"userIdentity": {
"accountId": "{{111122223333}}",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"resources": [
{
"ARN": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{spa2dclzmsihlj4o}}",
"accountId": "{{111122223333}}",
"type": "AWS::PaymentCryptography::Key"
}
],
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{spa2dclzmsihlj4o}}",
"operation": "ImportKey",
"mpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e}}",
"sessionStatus": "APPROVED"
}
}
```
**Demande échouée**
L'exemple suivant montre un CloudTrail événement lié à une `ImportKey` demande refusée ou dont le délai a expiré :
```
{
"eventVersion": "1.11",
"eventTime": "2026-04-28T18:50:35Z",
"eventName": "ImportKey",
"eventSource": "payment-cryptography.amazonaws.com",
"eventType": "AwsServiceEvent",
"eventCategory": "Management",
"awsRegion": "us-east-1",
"readOnly": false,
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"userIdentity": {
"accountId": "{{111122223333}}",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"resources": [
{
"ARN": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{qj46ku4qimypxdo7}}",
"accountId": "{{111122223333}}",
"type": "AWS::PaymentCryptography::Key"
}
],
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{qj46ku4qimypxdo7}}",
"operation": "ImportKey",
"mpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2}}",
"sessionStatus": "FAILED"
}
}
```
Pour en savoir plus AWS CloudTrail, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Vérification de l'état des demandes et gestion des échecs
Vous pouvez vérifier l'état d'une demande MPA en attente en appelant [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html). La réponse inclut le `MpaStatus` champ contenant les détails de la session d'approbation en cours. Pour utiliser cette commande, remplacez celle {{italicized placeholder text}} de l'exemple par vos propres informations.
```
aws payment-cryptography get-key \
--key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}
```
Pendant que la demande est en attente d'approbation, la réponse s'affiche `KeyState` sous forme `CREATE_IN_PROGRESS` et `MpaStatus.Status` sous la forme suivante `PENDING` :
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_IN_PROGRESS",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "PENDING",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
Une fois que le nombre requis d'approbateurs a approuvé la demande, celle-ci est `KeyState` transférée `CREATE_COMPLETE` et `MpaStatus.Status` déplacée vers. `APPROVED` La clé est maintenant prête à être utilisée :
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "APPROVED",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
Si la demande est refusée par l'équipe d'approbation ou si la session expire avant que le seuil d'approbation ne soit atteint, les `KeyState` modifications apportées `CREATE_FAILED` sont `MpaStatus.Status` les `FAILED` suivantes :
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_FAILED",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "FAILED",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00",
"StatusMessage": "Approval session expired or was denied"
}
}
}
```
Une clé dont le `CREATE_FAILED` statut est défini ne peut pas être utilisée pour des opérations cryptographiques. Pour réessayer l'importation, vous devez soumettre une nouvelle `ImportKey` demande, ce qui créera une nouvelle session d'approbation.