本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 付款密碼編譯的多方核准
AWS 付款密碼編譯與來自 Amazon Web Services Organizations 的多方核准 (MPA) 整合,透過分散式核准程序協助保護關鍵操作。使用 MPA,您可以要求多個信任的個人在執行特定 AWS 付款密碼編譯操作之前核准這些操作。
概觀
多方核准需要一組信任的個人核准,才能繼續操作,為敏感的 AWS 付款密碼編譯操作新增額外的安全層。如果單一登入資料遭到入侵,這有助於防止未經授權的變更,並防止單一個人單方面進行變更。
核准團隊是組織中一組核准者,您指定核准或拒絕受保護的操作請求。核准程序完全由您組織的核准者管理。沒有 AWS 人員參與核准或拒絕請求。
為受保護的操作啟用 MPA 時,會發生下列情況:
-
請求者啟動受保護的操作。
-
MPA 會建立核准工作階段並通知核准團隊成員。
-
核准團隊成員會檢閱請求,並透過 MPA 入口網站核准或拒絕請求。
-
一旦達到必要的核准最低閾值,操作就會繼續。如果核准團隊拒絕請求,或在達到核准閾值之前允許的工作階段時間過期,則不會執行操作。在這兩種情況下,請求者都必須提交新的請求,才能重試操作。
注意
在啟用 MPA 的情況下匯入根 CA 憑證時, RequesterComment 參數是強制性的。此註解包含在傳送給核准團隊的核准通知中,提供請求的內容。
受保護的操作
AWS 付款密碼編譯支援下列操作的 MPA:
-
ImportKey使用RootCertificatePublicKey金鑰材料 — 匯入根公有金鑰憑證是一項關鍵操作,因為根憑證會使用 TR-34 等非對稱金鑰交換,為所有後續金鑰匯入和匯出建立信任錨點。此操作需要多方核准,有助於確保沒有任何個人可以單方面建立或變更 AWS 付款密碼編譯金鑰的信任根。
先決條件
您必須先完成下列先決條件,才能搭配 AWS 付款密碼編譯使用 MPA:
-
在 Amazon Web Services Organizations 環境中設定 MPA。如需說明,請參閱什麼是多方核准? 多方核准使用者指南中的 。
-
建立至少一個具有所需核准者的核准團隊。
-
使用 與包含您的 AWS 付款密碼編譯金鑰 AWS 帳戶 的 共用核准團隊 AWS Resource Access Manager。
-
組織中的管理帳戶必須選擇加入多方核准。
啟用和停用 MPA
設定核准團隊之後,您可以將團隊與您的帳戶建立關聯,以啟用 MPA for AWS Payment Cryptography。您也可以取消團隊關聯來停用 MPA,但取消關聯需要目前關聯的核准團隊核准。
啟用 MPA
使用 AssociateMpaTeam API 動作或 associate-mpa-team CLI 命令,將核准團隊與您的 AWS 付款密碼帳戶建立關聯。建立關聯後,受保護的操作需要團隊核准才能繼續。
aws payment-cryptography associate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
停用 MPA
使用 DisassociateMpaTeam API 動作或 disassociate-mpa-team CLI 命令移除核准團隊關聯。取消團隊關聯本身是受保護的操作,需要目前關聯的核准團隊核准。
aws payment-cryptography disassociate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
重要
停用 MPA 需要目前相關聯核准團隊的核准。這可確保沒有任何一個人可以單方面移除多方核准保護。
注意
associate-mpa-team 和 的 --requester-comment 參數是選用的disassociate-mpa-team。
開始使用
若要開始使用 MPA for AWS Payment Cryptography,請參閱多方核准使用者指南以取得詳細的設定指示,包括如何建立核准團隊、設定核准政策和管理核准工作階段。
範例:匯入已啟用 MPA 的根憑證
啟用 MPA 且核准團隊與 ImportKey的操作相關聯後RootCertificatePublicKey,匯入請求需要核准才能繼續。
-
請求者呼叫
import-key來匯入根公有金鑰憑證。若要使用此命令,請以您自己的資訊取代範例命令中的斜體預留位置文字。aws payment-cryptography import-key \ --key-material='{"RootCertificatePublicKey": { "KeyAttributes": { "KeyAlgorithm": "RSA_4096", "KeyClass": "PUBLIC_KEY", "KeyModesOfUse": {"Verify": true}, "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE" }, "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \ --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"回應會傳回
KeyState設定為 的金鑰CREATE_IN_PROGRESS,表示請求正在等待核准。回應也包含MpaStatus有關核准工作階段的詳細資訊:{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } } -
由於已啟用 MPA,請求不會立即完成。反之, AWS 付款密碼編譯會建立核准工作階段,並傳回表示核准待定的回應。
-
核准團隊成員會收到通知,並透過 MPA 入口網站檢閱請求。一旦所需的核准者數目核准請求,匯入操作就會繼續,並匯入根憑證。
AWS CloudTrail MPA 事件的記錄
啟用 MPA 時,當核准工作階段完成AWS CloudTrail時, AWS 付款密碼編譯會將服務事件記錄到 。這些事件會記錄核准程序的結果,包括請求是否已核准或失敗。您可以使用這些日誌來稽核 MPA 活動,並追蹤受保護操作的狀態。
MPA 相關的 CloudTrail 事件包含 中的下列欄位serviceEventDetails:
-
keyArn— 受 操作影響之金鑰的 ARN。 -
operation— 請求的受保護操作。 -
mpaSessionArn— MPA 核准工作階段的 ARN。 -
sessionStatus— 核准工作階段的結果 (APPROVED或FAILED)。
核准的請求
下列範例顯示 MPA 團隊核准之ImportKey請求的 CloudTrail 事件:
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:49:51Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e", "sessionStatus": "APPROVED" } }
失敗的請求
下列範例顯示 ImportKey請求的 CloudTrail 事件遭到拒絕或逾時:
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:50:35Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2", "sessionStatus": "FAILED" } }
若要進一步了解 AWS CloudTrail,請參閱AWS CloudTrail 《 使用者指南》。
檢查請求狀態和處理失敗
您可以呼叫 來檢查待定 MPA 請求的狀態GetKey。回應包含具有目前核准工作階段詳細資訊MpaStatus的欄位。若要使用此命令,請以您自己的資訊取代範例命令中的斜體預留位置文字。
aws payment-cryptography get-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
當請求待核准時,回應會顯示KeyState為 CREATE_IN_PROGRESS和 MpaStatus.Status PENDING:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
一旦必要的核准者數目核准請求, KeyState會移至 CREATE_COMPLETE並MpaStatus.Status移至 APPROVED。金鑰現在可供使用:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "APPROVED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
如果核准團隊拒絕請求,或在達到核准閾值之前工作階段過期,則 KeyState的變更CREATE_FAILED和 MpaStatus.Status 變更為 FAILED:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_FAILED", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "FAILED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00", "StatusMessage": "Approval session expired or was denied" } } }
狀態的金鑰CREATE_FAILED無法用於密碼編譯操作。若要重試匯入,您必須提交新的ImportKey請求,這會建立新的核准工作階段。
