View a markdown version of this page

Multi-party aprovação para criptografia AWS de pagamento - AWS Criptografia de pagamento
Visão geral doOperações protegidasPré-requisitosAtivando e desativando o MPAIntroduçãoExemplo: importar um certificado raiz com o MPA ativadoAWS CloudTrail registro de eventos MPAVerificando o status da solicitação e lidando com falhas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Multi-party aprovação para criptografia AWS de pagamento

AWS A criptografia de pagamento se integra à Multi-party aprovação (MPA), um recurso da Amazon Web Services Organizations, para ajudar a proteger operações críticas por meio de um processo de aprovação distribuído. Com o MPA, você pode exigir que várias pessoas confiáveis aprovem operações específicas de criptografia AWS de pagamento antes que elas sejam realizadas.

Visão geral do

Multi-party a aprovação adiciona uma camada adicional de segurança às operações confidenciais de criptografia de AWS pagamento, exigindo a aprovação de um grupo de pessoas confiáveis antes que a operação possa prosseguir. Isso ajuda a proteger contra alterações não autorizadas se um único conjunto de credenciais for comprometido e impede que um único indivíduo faça uma alteração unilateralmente.

Uma equipe de aprovação é um grupo de aprovadores em sua organização que você designa para aprovar ou negar solicitações de operação protegidas. O processo de aprovação é totalmente gerenciado pelos aprovadores da sua organização. Nenhum AWS funcionário está envolvido na aprovação ou negação de solicitações.

Quando o MPA está habilitado para uma operação protegida, ocorre o seguinte:

  1. Um solicitante inicia a operação protegida.

  2. O MPA cria uma sessão de aprovação e notifica os membros da equipe de aprovação.

  3. Os membros da equipe de aprovação analisam a solicitação e a aprovam ou negam por meio do portal MPA.

  4. Quando o limite mínimo exigido de aprovações é atingido, a operação prossegue. Se a solicitação for negada pela equipe de aprovação ou o tempo permitido da sessão expirar antes que o limite de aprovação seja atingido, a operação não será executada. Em ambos os casos, o solicitante deve enviar uma nova solicitação para repetir a operação.

nota

Ao importar um certificado CA raiz com o MPA habilitado, o RequesterComment parâmetro é obrigatório. Esse comentário está incluído na notificação de aprovação enviada à equipe de aprovação, fornecendo contexto para a solicitação.

Operações protegidas

AWS A criptografia de pagamento suporta MPA para a seguinte operação:

  • ImportKeycom material de RootCertificatePublicKey chave — Importar um certificado de chave pública raiz é uma operação crítica porque os certificados raiz estabelecem a âncora confiável para todas as importações e exportações de chaves subsequentes usando a troca de chaves assimétrica, como. TR-34 Exigir a aprovação de várias partes para essa operação ajuda a garantir que nenhum indivíduo possa estabelecer ou alterar unilateralmente a raiz da confiança em suas chaves de criptografia de AWS pagamento.

Pré-requisitos

Antes de usar o MPA com criptografia AWS de pagamento, você deve preencher os seguintes pré-requisitos:

  • Configure o MPA em seu ambiente Amazon Web Services Organizations. Para obter instruções, consulte O que é Multi-party aprovação? no Guia do usuário de Multi-party aprovação.

  • Crie pelo menos uma equipe de aprovação com os aprovadores necessários.

  • Compartilhe a equipe de aprovação com a Conta da AWS que contém suas chaves AWS de criptografia de pagamento usando AWS Resource Access Manager.

  • A conta de gerenciamento em sua organização deve ser Multi-party aprovada.

Ativando e desativando o MPA

Depois de configurar uma equipe de aprovação, você pode ativar o MPA para criptografia AWS de pagamento associando a equipe à sua conta. Você também pode desativar o MPA desassociando a equipe, embora a dissociação exija a aprovação da equipe de aprovação atualmente associada.

Ativar MPA

Use a ação da AssociateMpaTeam API ou o comando da associate-mpa-team CLI para associar uma equipe de aprovação à sua conta de criptografia AWS de pagamento. Uma vez associadas, as operações protegidas exigem a aprovação da equipe antes de poderem prosseguir.

aws payment-cryptography associate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
Desativar MPA

Use a ação DisassociateMpaTeam da API ou o comando da disassociate-mpa-team CLI para remover a associação da equipe de aprovação. A dissociação de uma equipe é, em si, uma operação protegida que requer aprovação da equipe de aprovação atualmente associada.

aws payment-cryptography disassociate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
Importante

A desativação do MPA exige a aprovação da equipe de aprovação atualmente associada. Isso garante que nenhum indivíduo possa remover unilateralmente a proteção de aprovação multipartidária.

nota

O --requester-comment parâmetro é opcional para associate-mpa-team disassociate-mpa-team e.

Introdução

Para começar a usar o MPA for AWS Payment Cryptography, consulte o Guia do usuário de Multi-party aprovação para obter instruções detalhadas de configuração, incluindo como criar equipes de aprovação, configurar políticas de aprovação e gerenciar sessões de aprovação.

Exemplo: importar um certificado raiz com o MPA ativado

Depois que o MPA for ativado e uma equipe de aprovação for associada à ImportKey operaçãoRootCertificatePublicKey, a solicitação de importação precisará de aprovação antes de prosseguir.

  1. Um solicitante liga import-key para importar um certificado de chave pública raiz. Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

    aws payment-cryptography import-key \
    --key-material='{"RootCertificatePublicKey": {
    "KeyAttributes": {
        "KeyAlgorithm": "RSA_4096",
        "KeyClass": "PUBLIC_KEY",
        "KeyModesOfUse": {"Verify": true},
        "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
    },
    "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \
    --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"

    A resposta retorna uma chave KeyState definida comoCREATE_IN_PROGRESS, indicando que a solicitação está aguardando aprovação. A resposta também inclui MpaStatus detalhes sobre a sessão de aprovação:

    {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

  2. Como o MPA está habilitado, a solicitação não é concluída imediatamente. Em vez disso, a criptografia de AWS pagamento cria uma sessão de aprovação e retorna uma resposta indicando que a aprovação está pendente.

  3. Os membros da equipe de aprovação recebem uma notificação e analisam a solicitação por meio do portal MPA. Depois que o número necessário de aprovadores aprova a solicitação, a operação de importação prossegue e o certificado raiz é importado.

AWS CloudTrail registro de eventos MPA

Quando o MPA está ativado, a criptografia AWS de pagamento registra os eventos do serviço AWS CloudTrailquando uma sessão de aprovação é concluída. Esses eventos registram o resultado do processo de aprovação, incluindo se a solicitação foi aprovada ou falhou. Você pode usar esses registros para auditar a atividade do MPA e rastrear o status das operações protegidas.

MPA-related CloudTrail os eventos incluem os seguintes campos emserviceEventDetails:

  • keyArn— O ARN da chave afetada pela operação.

  • operation— A operação protegida que foi solicitada.

  • mpaSessionArn— O ARN da sessão de aprovação do MPA.

  • sessionStatus— O resultado da sessão de aprovação (APPROVEDouFAILED).

Solicitação aprovada

O exemplo a seguir mostra um CloudTrail evento para uma ImportKey solicitação que foi aprovada pela equipe do MPA:

{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:49:51Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e",
        "sessionStatus": "APPROVED"
    }
}
Solicitação falhada

O exemplo a seguir mostra um CloudTrail evento para uma ImportKey solicitação que foi negada ou atingiu o tempo limite:

{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:50:35Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2",
        "sessionStatus": "FAILED"
    }
}

Para saber mais AWS CloudTrail, consulte o Guia AWS CloudTrail do usuário.

Verificando o status da solicitação e lidando com falhas

Você pode verificar o status de uma solicitação de MPA pendente ligando para GetKey. A resposta inclui o MpaStatus campo com os detalhes da sessão de aprovação atual. Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

aws payment-cryptography get-key \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Enquanto a solicitação estiver pendente de aprovação, a resposta será exibida KeyState como CREATE_IN_PROGRESS e MpaStatus.Status comoPENDING:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Depois que o número necessário de aprovadores aprova a solicitação, ela KeyState passa para CREATE_COMPLETE e MpaStatus.Status para. APPROVED A chave agora está pronta para uso:

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "APPROVED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

Se a solicitação for negada pela equipe de aprovação ou a sessão expirar antes que o limite de aprovação seja atingido, as KeyState alterações serão alteradas CREATE_FAILED e MpaStatus.Status alteradas em: FAILED

{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_FAILED",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "FAILED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00",
            "StatusMessage": "Approval session expired or was denied"
        }
    }
}

Uma chave no CREATE_FAILED status não pode ser usada para operações criptográficas. Para repetir a importação, você deve enviar uma nova ImportKey solicitação, que criará uma nova sessão de aprovação.