Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Multi-party approvazione per la crittografia AWS dei pagamenti
AWS La crittografia dei pagamenti si integra con Multi-party l'approvazione (MPA), una funzionalità di Amazon Web Services Organizations, per aiutare a proteggere le operazioni critiche attraverso un processo di approvazione distribuito. Con MPA, puoi richiedere che più persone fidate approvino specifiche operazioni di crittografia dei AWS pagamenti prima che vengano eseguite.
Argomenti
Panoramica di
Multi-party l'approvazione aggiunge un ulteriore livello di sicurezza alle operazioni sensibili di crittografia dei AWS pagamenti richiedendo l'approvazione di un gruppo di persone fidate prima che l'operazione possa procedere. Ciò aiuta a proteggere da modifiche non autorizzate se un singolo set di credenziali viene compromesso e impedisce a un singolo individuo di apportare una modifica unilateralmente.
Un team di approvazione è un gruppo di approvatori all'interno dell'organizzazione designati per approvare o rifiutare le richieste operative protette. Il processo di approvazione è interamente gestito dagli approvatori dell'organizzazione. Nessun AWS personale è coinvolto nell'approvazione o nel rifiuto delle richieste.
Quando MPA è abilitato per un'operazione protetta, si verifica quanto segue:
-
Un richiedente avvia l'operazione protetta.
-
MPA crea una sessione di approvazione e invia una notifica ai membri del team di approvazione.
-
I membri del team di approvazione esaminano la richiesta e la approvano o la rifiutano tramite il portale MPA.
-
Una volta raggiunta la soglia minima di approvazioni richiesta, l'operazione procede. Se la richiesta viene rifiutata dal team di approvazione o il tempo consentito per la sessione scade prima del raggiungimento della soglia di approvazione, l'operazione non viene eseguita. In entrambi i casi, il richiedente deve inviare una nuova richiesta per riprovare l'operazione.
Nota
Quando si importa un certificato CA principale con MPA abilitato, il RequesterComment parametro è obbligatorio. Questo commento è incluso nella notifica di approvazione inviata al team di approvazione e fornisce il contesto per la richiesta.
Operazioni protette
AWS Payment Cryptography supporta MPA per le seguenti operazioni:
-
ImportKeycon materialeRootCertificatePublicKeychiave: l'importazione di un certificato a chiave pubblica principale è un'operazione fondamentale perché i certificati radice stabiliscono il punto di riferimento per tutte le successive importazioni ed esportazioni di chiavi mediante lo scambio asimmetrico di chiavi, ad esempio. TR-34 Richiedere l'approvazione di più parti per questa operazione aiuta a garantire che nessun singolo individuo possa stabilire o modificare unilateralmente l'affidabilità delle chiavi di crittografia dei pagamenti. AWS
Prerequisiti
Prima di poter utilizzare MPA con la crittografia dei AWS pagamenti, è necessario completare i seguenti prerequisiti:
-
Configura MPA nel tuo ambiente Amazon Web Services Organizations. Per istruzioni, consulta Cos'è Multi-party l'approvazione? nella Guida per Multi-party l'utente per l'approvazione.
-
Crea almeno un team di approvazione con gli approvatori richiesti.
-
Condividi il team di approvazione con Account AWS quello che contiene le tue chiavi AWS di crittografia dei pagamenti utilizzando. AWS Resource Access Manager
-
L'account di gestione della tua organizzazione deve essere abilitato per Multi-party l'approvazione.
Abilitazione e disabilitazione di MPA
Dopo aver creato un team di approvazione, puoi abilitare MPA for AWS Payment Cryptography associando il team al tuo account. Puoi anche disabilitare MPA dissociando il team, sebbene la disassociazione richieda l'approvazione del team di approvazione attualmente associato.
Abilita MPA
Utilizza l'azione AssociateMpaTeam API o il comando associate-mpa-team CLI per associare un team di approvazione al tuo account AWS Payment Cryptography. Una volta associate, le operazioni protette richiedono l'approvazione del team prima di poter procedere.
aws payment-cryptography associate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
Disattiva MPA
Utilizza l'azione DisassociateMpaTeam API o il comando disassociate-mpa-team CLI per rimuovere l'associazione del team di approvazione. La dissociazione di un team è di per sé un'operazione protetta che richiede l'approvazione del team di approvazione attualmente associato.
aws payment-cryptography disassociate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
Importante
La disabilitazione dell'MPA richiede l'approvazione del team di approvazione attualmente associato. Ciò garantisce che nessun singolo individuo possa rimuovere unilateralmente la protezione di approvazione multipartitica.
Nota
Il --requester-comment parametro è facoltativo per e. associate-mpa-team disassociate-mpa-team
Nozioni di base
Per iniziare a usare MPA for AWS Payment Cryptography, consulta la Guida per Multi-party l'utente di approvazione per istruzioni di configurazione dettagliate, tra cui come creare team di approvazione, configurare le politiche di approvazione e gestire le sessioni di approvazione.
Esempio: importazione di un certificato root con MPA abilitato
Dopo che MPA è stato abilitato e un team di approvazione è stato associato all'ImportKeyoperazione perRootCertificatePublicKey, la richiesta di importazione richiede l'approvazione prima di poter procedere.
-
Un richiedente chiama
import-keyper importare un certificato a chiave pubblica principale. Per utilizzare questo comando, sostituite il comando contenutoitalicized placeholder textnell'esempio con le vostre informazioni.aws payment-cryptography import-key \ --key-material='{"RootCertificatePublicKey": { "KeyAttributes": { "KeyAlgorithm": "RSA_4096", "KeyClass": "PUBLIC_KEY", "KeyModesOfUse": {"Verify": true}, "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE" }, "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \ --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"La risposta restituisce una chiave
KeyStateimpostata suCREATE_IN_PROGRESS, che indica che la richiesta è in attesa di approvazione. La risposta includeMpaStatusanche dettagli sulla sessione di approvazione:{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } } -
Poiché MPA è abilitato, la richiesta non viene completata immediatamente. AWS Payment Cryptography crea invece una sessione di approvazione e restituisce una risposta indicante che l'approvazione è in sospeso.
-
I membri del team di approvazione ricevono una notifica e esaminano la richiesta tramite il portale MPA. Una volta che il numero richiesto di approvatori ha approvato la richiesta, l'operazione di importazione procede e il certificato radice viene importato.
AWS CloudTrail registrazione degli eventi MPA
Quando MPA è abilitato, AWS Payment Cryptography registra gli eventi del servizio al termine di una sessione di approvazione AWS CloudTrail. Questi eventi registrano l'esito del processo di approvazione, incluso se la richiesta è stata approvata o meno. È possibile utilizzare questi registri per controllare l'attività MPA e tenere traccia dello stato delle operazioni protette.
MPA-related CloudTrail gli eventi includono i seguenti campi in: serviceEventDetails
-
keyArn— L'ARN della chiave interessata dall'operazione. -
operation— L'operazione protetta richiesta. -
mpaSessionArn— L'ARN della sessione di approvazione dell'MPA. -
sessionStatus— L'esito della sessione di approvazione (APPROVEDoFAILED).
Richiesta approvata
L'esempio seguente mostra un CloudTrail evento relativo a una ImportKey richiesta approvata dal team MPA:
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:49:51Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e", "sessionStatus": "APPROVED" } }
Richiesta non riuscita
L'esempio seguente mostra un CloudTrail evento per una ImportKey richiesta che è stata rifiutata o scaduta:
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:50:35Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2", "sessionStatus": "FAILED" } }
Per ulteriori informazioni AWS CloudTrail, consulta la Guida per l'AWS CloudTrail utente.
Verifica dello stato della richiesta e gestione degli errori
È possibile verificare lo stato di una richiesta MPA in sospeso chiamando. GetKey La risposta include il MpaStatus campo con i dettagli della sessione di approvazione corrente. Per utilizzare questo comando, sostituisci il italicized placeholder text comando dell'esempio con le tue informazioni.
aws payment-cryptography get-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
Mentre la richiesta è in attesa di approvazione, la risposta viene mostrata KeyState come CREATE_IN_PROGRESS e MpaStatus.Status comePENDING:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
Una volta che il numero richiesto di approvatori ha approvato la richiesta, KeyState passa alla CREATE_COMPLETE fase successiva. MpaStatus.Status APPROVED La chiave è ora pronta per l'uso:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "APPROVED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
Se la richiesta viene rifiutata dal team di approvazione o la sessione scade prima che venga raggiunta la soglia di approvazione, la KeyState modifica CREATE_FAILED e le modifiche MpaStatus.Status apportate aFAILED:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_FAILED", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "FAILED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00", "StatusMessage": "Approval session expired or was denied" } } }
Una chiave di CREATE_FAILED status non può essere utilizzata per operazioni crittografiche. Per riprovare l'importazione, è necessario inviare una nuova ImportKey richiesta, che creerà una nuova sessione di approvazione.
