Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pernyataan kebijakan kunci KMS tingkat lanjut
Gunakan pernyataan kebijakan kunci KMS lanjutan untuk menerapkan kontrol akses yang lebih terperinci untuk kunci KMS yang dikelola pelanggan Anda. Kebijakan ini dibangun [Kunci KMS dasar dan pernyataan kebijakan IAM](baseline-KMS-key-policy.md) berdasarkan kondisi konteks enkripsi dan pembatasan khusus layanan. Sebelum memutuskan apakah akan menggunakan pernyataan kebijakan kunci KMS tingkat lanjut, pastikan untuk meninjau pertimbangan terkait.
## Menggunakan konteks enkripsi untuk membatasi akses
Anda dapat membatasi penggunaan kunci KMS ke instans Pusat Identitas IAM tertentu dengan menentukan kondisi konteks enkripsi dalam pernyataan kebijakan utama Anda. Pernyataan kebijakan kunci dasar sudah menyertakan konteks ini dengan nilai generik. Ganti wildcard “\$1” dengan instance Pusat Identitas tertentu ARN dan ARN Toko Identitas untuk memastikan kunci hanya berfungsi dengan instance yang Anda inginkan. Anda juga dapat menambahkan kondisi konteks enkripsi yang sama ke kebijakan IAM yang dikonfigurasi untuk penggunaan kunci KMS lintas akun.
Pusat Identitas
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
Penyimpanan Identitas
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
Jika Anda memerlukan bantuan untuk menemukan pengenal ini, lihat[Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers).
**catatan**
Anda dapat menggunakan kunci KMS yang dikelola pelanggan hanya dengan instance organisasi IAM Identity Center. Kunci yang dikelola pelanggan harus ditempatkan di akun manajemen AWS organisasi, yang membantu memastikan kunci digunakan dengan satu instans Pusat Identitas IAM. Namun, mekanisme konteks enkripsi memberikan perlindungan teknis independen dari penggunaan satu instance. Anda juga dapat menggunakan kunci `aws:SourceArn` kondisi dalam pernyataan kebijakan kunci KMS yang ditujukan untuk kepala layanan Pusat Identitas dan Toko Identitas.
### Pertimbangan untuk menerapkan kondisi konteks enkripsi
Sebelum menerapkan kondisi konteks enkripsi, tinjau persyaratan ini:
+ **DescribeKey tindakan.** Konteks enkripsi tidak dapat diterapkan pada tindakan “kms:DescribeKey", yang dapat digunakan oleh administrator Pusat Identitas IAM. Saat mengonfigurasi kebijakan kunci KMS Anda, kecualikan konteks enkripsi untuk tindakan spesifik ini guna memastikan pengoperasian instans Pusat Identitas IAM Anda dengan benar.
+ **Pengaturan instance baru.** Jika Anda mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan, lihat. [Pertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut](considerations-for-customer-managed-kms-keys-advanced.md)
+ **Sumber identitas berubah.** Saat mengubah sumber identitas Anda ke atau dari Active Directory, konteks enkripsi memerlukan perhatian khusus. Lihat [Pertimbangan untuk mengubah sumber identitas Anda](manage-your-identity-source-considerations.md).
## Templat kebijakan
Pilih dari templat kebijakan lanjutan ini berdasarkan persyaratan keamanan Anda. Seimbangkan kontrol akses granular dengan overhead administratif yang mereka perkenalkan.
Topik yang dibahas di sini:
+ [Pernyataan kebijakan KMS untuk penggunaan hanya-baca dari instans Pusat Identitas IAM tertentu](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). Bagian ini menunjukkan penggunaan konteks enkripsi untuk akses hanya-baca ke IAM Identity Center.
+ [Pernyataan kebijakan kunci KMS yang disempurnakan untuk penggunaan aplikasi AWS terkelola](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). Bagian ini menunjukkan cara memperbaiki kebijakan kunci KMS untuk aplikasi AWS terkelola menggunakan konteks enkripsi dan informasi aplikasi, seperti prinsipal layanan aplikasi, ARN aplikasi, dan ID akun. AWS
## Pernyataan kebijakan KMS untuk penggunaan hanya-baca dari instans Pusat Identitas IAM tertentu
Kebijakan ini memungkinkan [auditor keamanan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) dan personel lain yang hanya membutuhkan akses baca ke IAM Identity Center untuk menggunakan kunci KMS.
Untuk menggunakan kebijakan ini:
1. Ganti contoh prinsip IAM administrator hanya-baca dengan prinsip IAM administrator Anda yang sebenarnya
1. Ganti contoh ARN Instance IAM Identity Center dengan ARN instance Anda yang sebenarnya
1. Ganti contoh ARN Toko Identitas dengan ARN Toko Identitas Anda yang sebenarnya
1. Jika menggunakan [administrasi yang didelegasikan](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html), lihat [Langkah 4: Konfigurasikan kebijakan IAM untuk penggunaan kunci KMS lintas akun](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)
Jika Anda memerlukan bantuan untuk menemukan nilai pengidentifikasi ini, lihat[Di mana menemukan pengidentifikasi yang diperlukan](identity-center-customer-managed-keys.md#find-the-required-identifiers).
Setelah Anda memperbarui template dengan nilai-nilai Anda, kembalilah [Langkah 2: Siapkan pernyataan kebijakan utama KMS](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) untuk menyiapkan pernyataan kebijakan kunci KMS tambahan, sesuai kebutuhan.
Tindakan kms: Dekripsi saja tidak membatasi akses ke operasi hanya-baca. Kebijakan IAM harus menerapkan akses hanya-baca pada layanan IAM Identity Center. APIs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## Pernyataan kebijakan kunci KMS yang disempurnakan untuk penggunaan aplikasi AWS terkelola
Templat kebijakan ini memberikan kontrol yang lebih terperinci atas aplikasi AWS terkelola mana yang dapat menggunakan kunci KMS Anda.
**catatan**
Beberapa aplikasi AWS terkelola tidak dapat digunakan dengan IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan. Lihat [aplikasi AWS terkelola yang dapat Anda gunakan dengan IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html).
[Kunci KMS dasar dan pernyataan kebijakan IAM untuk penggunaan aplikasi terkelola AWS](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)Izinkan aplikasi apa pun yang AWS dikelola dari akun apa pun di AWS organisasi yang sama untuk menggunakan kunci KMS. Gunakan kebijakan yang disempurnakan ini untuk membatasi akses dengan:
+ Prinsipal layanan aplikasi
+ Contoh aplikasi ARNs
+ AWS akun IDs
+ Konteks enkripsi untuk instans Pusat Identitas IAM tertentu
**catatan**
Prinsipal layanan adalah pengidentifikasi unik untuk suatu AWS layanan, biasanya diformat sebagai servicename.amazonaws.com (misalnya, elasticmapreduce.amazonaws.com untuk Amazon EMR).
### Batasi berdasarkan akun
Template pernyataan kebijakan kunci KMS ini memungkinkan aplikasi AWS terkelola di AWS akun tertentu untuk menggunakan kunci KMS menggunakan instance Pusat Identitas IAM tertentu.
Untuk menggunakan kebijakan ini:
1. Ganti contoh prinsip layanan dengan prinsipal layanan aplikasi Anda yang sebenarnya
1. Ganti akun contoh IDs dengan akun aktual IDs tempat aplikasi AWS terkelola Anda digunakan
1. Ganti contoh ARN Toko Identitas dengan ARN Toko Identitas Anda yang sebenarnya
1. Ganti contoh ARN Instance IAM Identity Center dengan ARN instance Anda yang sebenarnya
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### Batasi dengan contoh aplikasi
Template pernyataan kebijakan kunci KMS ini memungkinkan instance aplikasi AWS terkelola tertentu untuk menggunakan kunci KMS menggunakan instance IAM Identity Center tertentu.
Untuk menggunakan kebijakan ini:
1. Ganti contoh prinsip layanan dengan prinsipal layanan aplikasi Anda yang sebenarnya
1. Ganti contoh ARN aplikasi dengan ARN aplikasi Anda yang sebenarnya
1. Ganti contoh ARN Toko Identitas dengan ARN Toko Identitas Anda yang sebenarnya
1. Ganti contoh ARN Instance IAM Identity Center dengan ARN instance Anda yang sebenarnya
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# Pertimbangan untuk kunci KMS yang dikelola pelanggan dan kebijakan kunci KMS tingkat lanjut
Saat menerapkan kunci KMS yang dikelola pelanggan dengan IAM Identity Center, pertimbangkan faktor-faktor ini yang memengaruhi pengaturan, keamanan, dan pemeliharaan berkelanjutan konfigurasi enkripsi Anda.
## Pertimbangan untuk memilih pernyataan kebijakan kunci KMS dasar vs. lanjutan
Saat memutuskan apakah akan membuat izin kunci KMS lebih spesifik menggunakan[Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md), pertimbangkan overhead manajemen dan kebutuhan keamanan organisasi Anda. Pernyataan kebijakan yang lebih spesifik memberikan kontrol yang lebih baik atas siapa yang dapat menggunakan kunci dan untuk tujuan apa; namun, mereka memerlukan pemeliharaan berkelanjutan saat konfigurasi Pusat Identitas IAM Anda berkembang. Misalnya, jika Anda membatasi penggunaan kunci KMS untuk penerapan aplikasi AWS terkelola tertentu, Anda harus memperbarui kebijakan kunci kapan pun organisasi Anda ingin menerapkan atau membatalkan penerapan aplikasi. Kebijakan yang tidak terlalu ketat mengurangi beban administrasi tetapi dapat memberikan izin yang lebih luas daripada yang diperlukan untuk persyaratan keamanan Anda.
## Pertimbangan untuk mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan
Pertimbangan di sini berlaku jika Anda menggunakan konteks enkripsi seperti yang dijelaskan dalam [Pernyataan kebijakan kunci KMS tingkat lanjut](advanced-kms-policy.md) untuk membatasi penggunaan kunci KMS ke instance Pusat Identitas IAM tertentu.
Saat mengaktifkan instans Pusat Identitas IAM baru dengan kunci KMS yang dikelola pelanggan, Pusat Identitas IAM dan Toko Identitas tidak ARNs tersedia sampai setelah penyiapan. Anda memiliki opsi berikut:
+ Gunakan pola ARN generik sementara, dan kemudian ganti dengan ARNs penuh setelah instance diaktifkan. Ingatlah untuk beralih antara StringEquals dan StringLike operator sesuai kebutuhan.
+ Untuk Pusat Identitas IAM SPN: “arn: \$1 \$1Partition\$1 :sso: ::instance/\$1”.
+ Untuk Identity Store SPN: “arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :identitystore/\$1”.
+ Gunakan “Purpose:KEY\$1CONFIGURATION” di ARN untuk sementara. Ini hanya berfungsi untuk pengaktifan instance dan harus diganti dengan ARN yang sebenarnya agar instans Pusat Identitas IAM Anda berfungsi normal. Keuntungan dari pendekatan ini adalah Anda tidak bisa lupa untuk mengganti ini setelah instance diaktifkan.
+ Untuk SPN Pusat Identitas IAM, gunakan: “arn: \$1 \$1Partition\$1 :sso: ::instance/purpose:key\$1configuration”
+ Untuk SPN Identity Store, gunakan: “arn: \$1 \$1Partition\$1 :identitystore: :\$1 \$1Account\$1 :IdentityStore/Purpose:key\$1configuration”
**penting**
Jangan terapkan konfigurasi ini ke kunci KMS yang sudah digunakan dalam instance Pusat Identitas IAM yang ada, karena dapat mengganggu operasi normalnya.
+ Hilangkan kondisi konteks enkripsi dari kebijakan kunci KMS hingga setelah instance diaktifkan.