As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS
<a name="considerations-for-customer-managed-kms-keys-advanced"></a>

Ao implementar chaves KMS gerenciadas pelo cliente com o IAM Identity Center, considere esses fatores que afetam a configuração, a segurança e a manutenção contínua de a configuração de criptografia.

## Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas
<a name="kms-policy-considerations-advanced-vs-baseline"></a>

Ao decidir se deve tornar as permissões da chave KMS mais específicas usando [Declarações de política de chave KMS avançadas](advanced-kms-policy.md), considere a sobrecarga de gerenciamento e as necessidades de segurança da organização. Declarações de política mais específicas fornecem um controle mais refinado sobre quem pode usar a chave e para quais propósitos; no entanto, elas exigem manutenção contínua à medida que a configuração do IAM Identity Center evolui. Por exemplo, se você restringir o uso da chave KMS a implantações específicas de aplicativos AWS gerenciados, precisará atualizar a política de chaves sempre que sua organização quiser implantar ou desimplantar um aplicativo. Políticas menos restritivas reduzem a carga administrativa, mas podem conceder permissões mais amplas do que as necessárias para os requisitos de segurança.

## Considerações para habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente
<a name="considerations-for-enabling-new-instance"></a>

 As considerações aqui se aplicam se você estiver usando o contexto de criptografia conforme descrito em [Declarações de política de chave KMS avançadas](advanced-kms-policy.md) para restringir o uso da chave KMS a uma instância específica do IAM Identity Center. 

 Ao habilitar uma nova instância do IAM Identity Center com uma chave KMS gerenciada pelo cliente, o IAM Identity Center e o Identity Store ARNs não estarão disponíveis até a configuração. Você tem as seguintes opções: 
+  Use padrões ARN genéricos temporariamente e, em seguida, substitua por full ARNs depois que a instância for ativada. Lembre-se de alternar entre StringLike operadores StringEquals e conforme necessário.
  +  Para o IAM Identity Center SPN: "arn:\$1\$1Partition\$1:sso:::instance/\$1". 
  +  Para o Identity Store SPN: "arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/\$1". 
+  Use “Purpose:KEY\$1CONFIGURATION” no ARN temporariamente. Isso funciona somente para habilitação de instâncias e deve ser substituído pelo ARN real para que a instância do IAM Identity Center funcione normalmente. A vantagem dessa abordagem é que você não pode esquecer de substituí-la depois que a instância estiver habilitada. 
  +  Para o IAM Identity Center SPN, use: "arn:\$1\$1Partition\$1:sso:::instance/purpose:KEY\$1CONFIGURATION" 
  +  Para o Identity Store SPN, use: "arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/purpose:KEY\$1CONFIGURATION" 
**Importante**  
 Não aplique essa configuração a uma chave KMS já em uso em uma instância existente do IAM Identity Center, pois isso pode interromper as operações normais. 
+  Omita a condição do contexto de criptografia da política de chave KMS até que a instância seja habilitada.