View a markdown version of this page

Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM - Centro de Identidade do AWS IAM
Etapa 1: identificar casos de uso para a organizaçãoEtapa 2: preparar as declarações de política de chave KMSEtapa 3: criar uma chave KMSEtapa 4: configurar políticas do IAMEtapa 5: configurar a chave KMS no IAM Identity CenterOnde encontrar os identificadores necessários

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM

As chaves gerenciadas pelo cliente são AWS chaves do Serviço de Gerenciamento de Chaves que você cria, possui e gerencia. Para implementar uma chave KMS gerenciada pelo cliente para criptografia em repouso no AWS IAM Identity Center, siga estas etapas:

Importante

Alguns aplicativos AWS gerenciados não podem ser usados com o AWS IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Consulte AWS aplicativos gerenciados que você pode usar com o IAM Identity Center.

  1. Etapa 1: identificar casos de uso para a organização — Para definir as permissões corretas para o uso da chave KMS, você precisa identificar os casos de uso relevantes na organização. As permissões da chave KMS consistem em declarações de política de chave KMS e políticas baseadas em identidade que trabalham juntas para permitir que as entidades principais apropriadas do IAM usem a chave KMS para casos de uso específicos.

  2. Etapa 2: preparar as declarações de política de chave KMS — Escolha modelos de declaração de política de chave KMS pertinentes com base nos casos de uso identificados na Etapa 1 e preencha os identificadores obrigatórios e os nomes da entidade principal do IAM. Comece com as declarações de política de chave KMS de linha de base e, se as políticas de segurança exigirem, refine-as conforme descrito nas declarações de política de chaves avançadas do KMS.

  3. Etapa 3: criar uma chave KMS gerenciada pelo cliente- Crie uma chave KMS no AWS KMS que atenda aos requisitos do IAM Identity Center e adicione as declarações de política de chaves do KMS preparadas na Etapa 2 à política de chaves do KMS.

  4. Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS — Escolha modelos de declaração de política do IAM pertinentes com base nos casos de uso identificados na Etapa 1 e prepare-os para uso preenchendo a chave ARN. Em seguida, permita que as entidades principais do IAM de cada caso de uso específico usem a chave KMS em todas as contas, adicionando as declarações de política do IAM preparadas às políticas do IAM das entidades principais.

  5. Etapa 5: configurar a chave KMS no IAM Identity Center — Habilite a chave KMS gerenciada pelo cliente na instância do IAM Identity Center para usá-la para criptografia em repouso.

Etapa 1: identificar casos de uso para a organização

Antes de criar e configurar a chave KMS gerenciada pelo cliente, identifique os casos de uso e prepare as permissões exigidas da chave KMS. Consulte o Guia do desenvolvedor do AWS KMS para obter mais informações sobre a política de chave KMS.

Os diretores do IAM que chamam o serviço IAM Identity Center APIs exigem permissões. Por exemplo, um administrador delegado pode ser autorizado a usá-los APIs por meio de uma política de conjunto de permissões. Quando o IAM Identity Center é configurado com uma chave gerenciada pelo cliente, os diretores do IAM também devem ter permissões para usar a API KMS por meio do serviço IAM Identity Center. APIs Você define essas permissões da API de KMS em dois lugares: na política de chave KMS e nas políticas do IAM associadas às entidades principais do IAM.

As permissões da chave KMS consistem em:

  1. Declarações de política de chave KMS que você especifica na chave KMS durante a criação em Etapa 3: criar uma chave KMS gerenciada pelo cliente.

  2. Declarações de política do IAM para entidade principais do IAM que você especifica em Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS depois de criar a chave KMS.

A tabela a seguir especifica os casos de uso relevantes e as entidades principais do IAM que precisam de permissões para usar a chave KMS.

Caso de uso Entidades principais do IAM que precisam de permissões para usar a chave KMS Obrigatório/opcional
Uso do AWS IAM Identity Center

  • Administradores do AWS IAM Identity Center

  • Serviço do IAM Identity Center e serviço do Identity Store associado

 Obrigatório
Uso de aplicativos AWS gerenciados com o IAM Identity Center

  • Administradores de aplicativos AWS gerenciados

  • AWS aplicativos gerenciados

  • Funções de serviço que os aplicativos AWS gerenciados assumem para chamar o serviço IAM Identity Center APIs

 Opcional
Uso de AWS Control Tower na instância do AWS IAM Identity Center que ele habilitou

  • AWS Control Tower administradores

 Opcional
SSO para instâncias do Amazon EC2 AWS com o IAM Identity Center

  • Diretores do IAM autorizados a realizar SSO para instâncias do Amazon EC2

 Opcional
Qualquer outro caso de uso que faça chamadas para o serviço IAM Identity Center APIs com diretores do IAM, como aplicativos gerenciados pelo cliente, fluxos de trabalho de provisionamento de conjuntos de permissões ou funções AWS Lambda

  • Princípios do IAM usados por esses fluxos de trabalho para chamar o serviço IAM Identity Center APIs

 Opcional
nota

Vários diretores do IAM listados na tabela exigem permissões da API AWS KMS. No entanto, para proteger seus dados de usuários e grupos no IAM Identity Center, somente os serviços IAM Identity Center e Identity Store chamam diretamente a API AWS KMS.

Etapa 2: preparar as declarações de política de chave KMS

Depois de identificar os casos de uso relevantes para a organização, você pode preparar as declarações de política de chave KMS correspondentes.

  1. Escolha as declarações de política de chave KMS que correspondam aos casos de uso da organização. Comece com os modelos de política de linha de base. Se você precisar de políticas mais específicas com base nos requisitos de segurança, poderá modificar as declarações de política usando os exemplos em Declarações de política de chave KMS avançadas. Para obter orientação sobre essa decisão, consulte Considerações sobre a escolha das declarações de política de chave KMS de linha de base em comparação com as avançadas. Além disso, cada seção de linha de base em Declarações de chave KMS e de política do IAM de linha de base inclui considerações relevantes.

  2. Copie as políticas relevantes para um editor e insira os identificadores exigidos e os nomes das entidades principais do IAM nas declarações de política de chave KMS. Para obter ajuda para encontrar os valores dos identificadores referenciados, consulte Onde encontrar os identificadores necessários.

A seguir estão os modelos de política de linha de base para cada caso de uso. Somente o primeiro conjunto de permissões do AWS IAM Identity Center é necessário para usar uma chave KMS. Recomendamos analisar as subseções aplicáveis para obter informações adicionais específicas do caso de uso.

Importante

Tenha cuidado ao modificar as políticas de chave KMS para chaves já em uso pelo IAM Identity Center. Embora o IAM Identity Center valide as permissões de criptografia e descriptografia quando você configura inicialmente uma chave KMS, ele não pode verificar alterações de política subsequentes. A remoção inadvertida das permissões necessárias pode interromper a operação normal do IAM Identity Center. Para obter orientação sobre como solucionar erros comuns relacionados às chaves gerenciadas pelo cliente no IAM Identity Center, consulte Solucione problemas de chaves gerenciadas pelo cliente em Centro de Identidade do AWS IAM.

nota

O IAM Identity Center e o Identity Store associado exigem permissões de nível de serviço para usar a chave KMS gerenciada pelo cliente. Esse requisito se estende aos aplicativos AWS gerenciados que chamam o serviço IAM Identity Center APIs usando credenciais de serviço. Para outros casos de uso em que o serviço IAM Identity Center APIs é chamado com sessões de acesso direto, somente o principal do IAM iniciante (como um administrador) precisa de permissões de chave KMS. Notavelmente, os usuários finais que usam o portal de AWS acesso e os aplicativos AWS gerenciados não precisam de permissões diretas da chave KMS, pois elas são concedidas por meio dos respectivos serviços.

Etapa 3: criar uma chave KMS gerenciada pelo cliente

Você pode criar uma chave gerenciada pelo cliente usando o AWS Management Console ou o AWS KMS. APIs Ao criar a chave, adicione as declarações de política de chave KMS que você preparou na Etapa 2 à política de chave KMS. Para obter instruções detalhadas, incluindo orientações sobre a política de chave padrão do KMS, consulte o Guia do desenvolvedor do AWS Key Management Service.

A chave deve atender aos seguintes requisitos:

  • A chave KMS deve estar na mesma AWS região da instância do IAM Identity Center

  • Você pode criar um cluster de região única ou multirregional. No entanto, se você planeja usar o IAM Identity Center em vários, Regiões da AWS você deve criar uma chave KMS multirregional. Você não pode converter uma chave KMS de região única em uma de várias regiões, portanto, recomendamos começar com uma chave KMS de várias regiões, a menos que você tenha requisitos específicos para usar uma chave KMS de região única.

  • A chave KMS deve ser uma chave simétrica configurada para o uso de “criptografar e descriptografar”

  • A chave KMS deve estar na mesma conta AWS Organizations de gerenciamento da instância organizacional do IAM Identity Center

nota

Se você planeja replicar essa chave do KMS para regiões nas quais deseja replicar sua Central de Identidades do IAM, recomendamos que você primeiro conclua a configuração nesta seção e, em seguida, siga as orientações em Replique o IAM Identity Center para uma região adicional

Etapa 4: configurar políticas do IAM para o uso entre contas da chave KMS

Qualquer diretor do IAM que usa o serviço IAM Identity Center APIs de outra AWS conta, como administradores delegados do IAM Identity Center, também precisa de uma declaração de política do IAM que permita o uso da chave KMS por meio deles. APIs

Para cada caso de uso identificado na etapa 1:

  1. Localize os modelos de declaração de política do IAM pertinentes na chave KMS da linha de base e nas declarações de política do IAM.

  2. Copie os modelos para um editor e preencha a chave ARN, que agora está disponível após a criação da chave KMS na etapa 3. Para obter ajuda para encontrar o valor ARN da chave, consulte Onde encontrar os identificadores necessários.

  3. No Console de gerenciamento da AWS, localize a política do IAM do principal do IAM que está associada ao caso de uso. O local da política varia de acordo com o caso de uso e como o acesso é concedido.

    • Para o acesso concedido diretamente no IAM, você pode localizar as entidades principais do IAM, como perfis do IAM no console do IAM.

    • Para acesso concedido pelo IAM Identity Center, você pode localizar o conjunto de permissões pertinente no console do IAM Identity Center.

  4. Adicione as declarações de política do IAM específicas do caso de uso ao perfil do IAM e salve a alteração.

nota

As políticas do IAM descritas aqui são políticas baseadas em identidade. Embora essas políticas possam ser anexadas a usuários, grupos e perfis do IAM, recomendamos o uso de perfis do IAM sempre que possível. Consulte o Guia do Usuário do IAM para obter mais informações sobre perfis do IAM versus usuários do IAM.

Configuração adicional em alguns aplicativos AWS gerenciados

Alguns aplicativos AWS gerenciados exigem que você configure uma função de serviço para permitir que os aplicativos usem o serviço IAM Identity Center APIs. Se sua organização usa aplicativos AWS gerenciados com o IAM Identity Center, conclua as etapas a seguir para cada aplicativo implantado:

  1. Consulte o guia do usuário da aplicação para confirmar se as permissões foram atualizadas para incluir permissões relacionadas à chave KMS para uso da aplicação com o IAM Identity Center.

  2. Nesse caso, atualize as permissões conforme as instruções no guia do usuário do @aplicação para evitar interrupções nas operações da aplicação.

nota

Se você não tiver certeza se um aplicativo AWS gerenciado usa essas permissões, recomendamos que você verifique os guias do usuário de todos os aplicativos AWS gerenciados implantados. Você só precisa realizar essa configuração uma vez para cada aplicação que requer a configuração.

Etapa 5: configurar a chave KMS no IAM Identity Center

Importante

Antes de prosseguir com esta etapa:

  • Verifique se seus aplicativos AWS gerenciados são compatíveis com as chaves KMS gerenciadas pelo cliente. Para obter uma lista de aplicações compatíveis, consulte Aplicações gerenciadas pela AWS que você pode usar com o IAM Identity Center. Se você tiver aplicações incompatíveis, não continue.

  • Configure as permissões necessárias para o uso da chave KMS. Sem as permissões adequadas, essa etapa pode falhar ou interromper a administração do IAM Identity Center, o uso de aplicações gerenciadas pela AWS e outros casos de uso que exigem permissões de chave KMS. Para obter mais informações, consulte Etapa 1: identificar casos de uso para a organização.

  • Certifique-se de que as permissões para aplicativos AWS gerenciados e aplicativos gerenciados pelo cliente que chamam o serviço IAM Identity Center APIs com funções do IAM também permitam o uso da chave KMS por meio do serviço APIs IAM Identity Center. Alguns aplicativos AWS gerenciados exigem que você configure permissões, como uma função de serviço, para o uso deles APIs. Consulte o Guia do usuário de cada aplicativo AWS gerenciado implantado para confirmar se você precisa adicionar permissões específicas da chave KMS.

Especificar uma chave KMS ao habilitar uma nova instância de organização do IAM Identity Center

Ao habilitar uma nova instância de organização do IAM Identity Center, você pode especificar uma chave KMS gerenciada pelo cliente durante a configuração. Isso garante que a instância use a chave para criptografia em repouso desde o início. Antes de começar, consulte Considerações sobre chaves KMS gerenciadas pelo cliente e políticas avançadas de chaves KMS.

  1. Na página Habilitar IAM Identity Center, expanda a seção Criptografia em repouso.

  2. Escolha Manage Encryption (Gerenciar criptografia).

  3. Escolha Chave gerenciada pelo cliente.

  4. Em Chave KMS, realize um destes procedimentos:

    1. Escolha Selecionar nas chaves KMS e selecione a chave que você criou na lista suspensa.

    2. Escolha Inserir ARN da chave KMS e insira o ARN completo da chave.

  5. Escolha Salvar.

  6. Escolha Habilitar para concluir a configuração.

Para obter mais informações, consulte Habilitar o IAM Identity Center.

Alterar a configuração de chaves para uma instância de organização existente do IAM Identity Center

Você pode alterar a chave KMS gerenciada pelo cliente para outra chave ou mudar para uma chave de propriedade da AWS a qualquer momento.

Console

Para alterar a configuração da chave KMS

  1. Abra o console do IAM Identity Center em https://console.aws.amazon.com/singlesignon/.

  2. No painel de navegação, selecione Configurações.

  3. Selecione a guia Configurações adicionais.

  4. Escolha Gerenciar criptografia.

  5. Escolha uma das seguintes opções:

    1. Chave gerenciada pelo cliente — Selecione uma chave gerenciada pelo cliente diferente na lista suspensa ou insira um novo ARN da chave.

    2. AWS chave própria - Mude para a opção de criptografia padrão.

  6. Escolha Salvar.

AWS CLI

Para alterar uma instância de organização existente do IAM Identity Center para usar a chave KMS gerenciada pelo cliente 

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration \
        KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab

Para alterar uma instância de organização existente do IAM Identity Center para usar a chave de propriedade da AWS 

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration KeyType=AWS_OWNED_KMS_KEY

Considerações sobre chave gerenciada pelo cliente

  • Atualizar a configuração da chave KMS para a operação do IAM Identity Center não tem efeito nas sessões ativas do usuário no IAM Identity Center. Você pode continuar usando o portal de AWS acesso, o console do IAM Identity Center e o serviço IAM Identity Center APIs durante esse processo.

  • Ao mudar para uma nova chave KMS, o IAM Identity Center valida que pode usar a chave com sucesso para criptografia e descriptografia. Se você cometeu um erro durante a configuração da política de chave ou da política do IAM, o console mostrará uma mensagem de erro explicativa e a chave KMS anterior permanecerá em uso.

  • A rotação anual padrão de chaves KMS ocorrerá automaticamente. Você pode consultar o Guia do desenvolvedor do AWS KMS para obter informações sobre tópicos como rotação de chaves, monitoramento de chaves AWS KMS e controle do acesso à exclusão de chaves.

Importante

Se a chave KMS gerenciada pelo cliente em uso pela instância do IAM Identity Center for excluída, desabilitada ou tornar-se inacessível devido a uma política de chave KMS incorreta, os usuários da força de trabalho e os administradores do IAM Identity Center não poderão usar o IAM Identity Center. A perda de acesso pode ser temporária (uma política de chave pode ser corrigida) ou permanente (uma chave excluída não pode ser restaurada), dependendo das circunstâncias. Recomendamos que você restrinja o acesso a operações críticas, como excluir ou desativar a chave KMS. Além disso, recomendamos que sua organização configure procedimentos de acesso AWS rápidos para garantir que seus usuários privilegiados possam acessar AWS caso o IAM Identity Center esteja inacessível.

Onde encontrar os identificadores necessários

Ao configurar as permissões para a chave KMS gerenciada pelo cliente, você precisará de identificadores de recursos da AWS específicos para atender à política de chave e os modelos de declaração de política do IAM. Insira os identificadores exigidos (por exemplo, ID da organização) e os nomes das entidades principais do IAM nas declarações de política de chave KMS.

Abaixo está um guia para localizar esses identificadores no AWS Management Console.

IAM Identity Center: nome do recurso da Amazon (ARN) e ARN do Identity Store

Uma instância do IAM Identity Center é um AWS recurso com seu próprio ARN exclusivo, como arn:aws:sso: ::instance/ssoins-1234567890abcdef. O ARN segue o padrão documentado na seção de tipos de recursos do IAM Identity Center da Referência de autorização de serviço.

Cada instância do IAM Identity Center tem um Identity Store associado que armazena as identidades do usuário e do grupo. Um Identity Store tem um identificador exclusivo chamado Identity Store ID (por exemplo, d-123456789a). O ARN segue o padrão documentado na seção Tipos de recursos do Identity Store da Referência de autorização de serviço.

Você pode encontrar os valores do ARN e do ID do Identity Store na página Configurações do IAM Identity Center. O ID do repositório de identidades está na aba Fonte de identidade.

AWS Organizations ID

Se você quiser especificar um ID da organização (por exemplo, o-exampleorg1) na política de chave, pode encontrar o valor na página Configurações dos consoles IAM Identity Center e Organizations. O ARN segue o padrão documentado na seção Tipos de recursos do Organizations da Referência de autorização de serviço.

ARN da chave KMS

Você pode encontrar o ARN de uma chave KMS no console. AWS KMS Escolha Chaves gerenciadas pelo cliente à esquerda, clique na chave cujo ARN você deseja pesquisar e você a verá na seção Configuração geral. O ARN segue o padrão documentado na seção de tipos de AWS KMS recursos da Referência de Autorização de Serviço.

Consulte o Guia do AWS Key Management Service desenvolvedor para obter mais informações sobre as principais políticas AWS KMS e a solução de problemas de AWS KMS permissões. Para obter mais informações sobre as políticas do IAM e a representação em JSON, consulte o Guia do usuário do IAM.