本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 付款密碼編譯的多方核准
AWS 付款密碼編譯與[來自 Amazon Web Services Organizations 的多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) (MPA) 整合,透過分散式核准程序協助保護關鍵操作。使用 MPA,您可以要求多個信任的個人在執行特定 AWS 付款密碼編譯操作之前核准這些操作。
**Topics**
+ [概觀](#mpa-overview)
+ [受保護的操作](#mpa-protected-operations)
+ [先決條件](#mpa-prerequisites)
+ [啟用和停用 MPA](#mpa-enable-disable)
+ [開始使用](#mpa-getting-started)
+ [範例:匯入已啟用 MPA 的根憑證](#mpa-example)
+ [AWS CloudTrail MPA 事件的記錄](#mpa-cloudtrail)
+ [檢查請求狀態和處理失敗](#mpa-rejected-requests)
## 概觀
多方核准需要一組信任的個人核准,才能繼續操作,為敏感的 AWS 付款密碼編譯操作新增額外的安全層。如果單一登入資料遭到入侵,這有助於防止未經授權的變更,並防止單一個人單方面進行變更。
核准團隊是組織中一組核准者,您指定核准或拒絕受保護的操作請求。核准程序完全由您組織的核准者管理。沒有 AWS 人員參與核准或拒絕請求。
為受保護的操作啟用 MPA 時,會發生下列情況:
1. 請求者啟動受保護的操作。
1. MPA 會建立核准工作階段並通知核准團隊成員。
1. 核准團隊成員會檢閱請求,並透過 MPA 入口網站核准或拒絕請求。
1. 一旦達到必要的核准最低閾值,操作就會繼續。如果核准團隊拒絕請求,或在達到核准閾值之前允許的工作階段時間過期,則不會執行操作。在這兩種情況下,請求者都必須提交新的請求,才能重試操作。
**注意**
在啟用 MPA 的情況下匯入根 CA 憑證時, `RequesterComment` 參數是強制性的。此註解包含在傳送給核准團隊的核准通知中,提供請求的內容。
## 受保護的操作
AWS 付款密碼編譯支援下列操作的 MPA:
+ [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html) 使用`RootCertificatePublicKey`金鑰材料 — 匯入根公有金鑰憑證是一項關鍵操作,因為根憑證會使用 TR-34 等非對稱金鑰交換,為所有後續金鑰匯入和匯出建立信任錨點。此操作需要多方核准,有助於確保沒有任何個人可以單方面建立或變更 AWS 付款密碼編譯金鑰的信任根。
## 先決條件
您必須先完成下列先決條件,才能搭配 AWS 付款密碼編譯使用 MPA:
+ 在 Amazon Web Services Organizations 環境中設定 MPA。如需說明,請參閱[什麼是多方核准?](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) *多方核准使用者指南中的 *。
+ 建立至少一個具有所需核准者的核准團隊。
+ 使用 與包含您的 AWS 付款密碼編譯金鑰 AWS 帳戶 的 共用核准團隊 AWS Resource Access Manager。
+ 組織中的管理帳戶必須選擇加入多方核准。
## 啟用和停用 MPA
設定核准團隊之後,您可以將團隊與您的帳戶建立關聯,以啟用 MPA for AWS Payment Cryptography。您也可以取消團隊關聯來停用 MPA,但取消關聯需要目前關聯的核准團隊核准。
**啟用 MPA**
使用 `AssociateMpaTeam` API 動作或 **associate-mpa-team** CLI 命令,將核准團隊與您的 AWS 付款密碼帳戶建立關聯。建立關聯後,受保護的操作需要團隊核准才能繼續。
```
aws payment-cryptography associate-mpa-team \
--team-arn arn:aws:mpa:{{us-east-1}}:{{111122223333}}:team/{{my-approval-team}}
```
**停用 MPA**
使用 `DisassociateMpaTeam` API 動作或 **disassociate-mpa-team** CLI 命令移除核准團隊關聯。取消團隊關聯本身是受保護的操作,需要目前關聯的核准團隊核准。
```
aws payment-cryptography disassociate-mpa-team \
--team-arn arn:aws:mpa:{{us-east-1}}:{{111122223333}}:team/{{my-approval-team}}
```
**重要**
停用 MPA 需要目前相關聯核准團隊的核准。這可確保沒有任何一個人可以單方面移除多方核准保護。
**注意**
**associate-mpa-team** 和 的 `--requester-comment` 參數是選用的**disassociate-mpa-team**。
## 開始使用
若要開始使用 MPA for AWS Payment Cryptography,請參閱[多方核准使用者指南](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)以取得詳細的設定指示,包括如何建立核准團隊、設定核准政策和管理核准工作階段。
## 範例:匯入已啟用 MPA 的根憑證
啟用 MPA 且核准團隊與 `ImportKey`的操作相關聯後`RootCertificatePublicKey`,匯入請求需要核准才能繼續。
1. 請求者呼叫 `import-key` 來匯入根公有金鑰憑證。若要使用此命令,請以您自己的資訊取代範例命令中的{{斜體預留位置文字}}。
```
aws payment-cryptography import-key \
--key-material='{"RootCertificatePublicKey": {
"KeyAttributes": {
"KeyAlgorithm": "RSA_4096",
"KeyClass": "PUBLIC_KEY",
"KeyModesOfUse": {"Verify": true},
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
},
"PublicKeyCertificate": "{{LS0tLS1CRUdJTi...}}"}}' \
--requester-comment "{{Importing new root CA certificate for TR-34 key exchange with partner XYZ}}"
```
回應會傳回 `KeyState` 設定為 的金鑰`CREATE_IN_PROGRESS`,表示請求正在等待核准。回應也包含`MpaStatus`有關核准工作階段的詳細資訊:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_IN_PROGRESS",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "PENDING",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
1. 由於已啟用 MPA,請求不會立即完成。反之, AWS 付款密碼編譯會建立核准工作階段,並傳回表示核准待定的回應。
1. 核准團隊成員會收到通知,並透過 MPA 入口網站檢閱請求。一旦所需的核准者數目核准請求,匯入操作就會繼續,並匯入根憑證。
## AWS CloudTrail MPA 事件的記錄
啟用 MPA 時,當核准工作階段完成[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)時, AWS 付款密碼編譯會將服務事件記錄到 。這些事件會記錄核准程序的結果,包括請求是否已核准或失敗。您可以使用這些日誌來稽核 MPA 活動,並追蹤受保護操作的狀態。
MPA 相關的 CloudTrail 事件包含 中的下列欄位`serviceEventDetails`:
+ `keyArn` — 受 操作影響之金鑰的 ARN。
+ `operation` — 請求的受保護操作。
+ `mpaSessionArn` — MPA 核准工作階段的 ARN。
+ `sessionStatus` — 核准工作階段的結果 (`APPROVED` 或 `FAILED`)。
**核准的請求**
下列範例顯示 MPA 團隊核准之`ImportKey`請求的 CloudTrail 事件:
```
{
"eventVersion": "1.11",
"eventTime": "2026-04-28T18:49:51Z",
"eventName": "ImportKey",
"eventSource": "payment-cryptography.amazonaws.com",
"eventType": "AwsServiceEvent",
"eventCategory": "Management",
"awsRegion": "us-east-1",
"readOnly": false,
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"userIdentity": {
"accountId": "{{111122223333}}",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"resources": [
{
"ARN": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{spa2dclzmsihlj4o}}",
"accountId": "{{111122223333}}",
"type": "AWS::PaymentCryptography::Key"
}
],
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{spa2dclzmsihlj4o}}",
"operation": "ImportKey",
"mpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e}}",
"sessionStatus": "APPROVED"
}
}
```
**失敗的請求**
下列範例顯示 `ImportKey`請求的 CloudTrail 事件遭到拒絕或逾時:
```
{
"eventVersion": "1.11",
"eventTime": "2026-04-28T18:50:35Z",
"eventName": "ImportKey",
"eventSource": "payment-cryptography.amazonaws.com",
"eventType": "AwsServiceEvent",
"eventCategory": "Management",
"awsRegion": "us-east-1",
"readOnly": false,
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"userIdentity": {
"accountId": "{{111122223333}}",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"resources": [
{
"ARN": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{qj46ku4qimypxdo7}}",
"accountId": "{{111122223333}}",
"type": "AWS::PaymentCryptography::Key"
}
],
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{qj46ku4qimypxdo7}}",
"operation": "ImportKey",
"mpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2}}",
"sessionStatus": "FAILED"
}
}
```
若要進一步了解 AWS CloudTrail,請參閱[AWS CloudTrail 《 使用者指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## 檢查請求狀態和處理失敗
您可以呼叫 來檢查待定 MPA 請求的狀態[https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html)。回應包含具有目前核准工作階段詳細資訊`MpaStatus`的欄位。若要使用此命令,請以您自己的資訊取代範例命令中的{{斜體預留位置文字}}。
```
aws payment-cryptography get-key \
--key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}
```
當請求待核准時,回應會顯示`KeyState`為 `CREATE_IN_PROGRESS`和 `MpaStatus.Status` `PENDING`:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_IN_PROGRESS",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "PENDING",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
一旦必要的核准者數目核准請求, `KeyState`會移至 `CREATE_COMPLETE`並`MpaStatus.Status`移至 `APPROVED`。金鑰現在可供使用:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "APPROVED",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
如果核准團隊拒絕請求,或在達到核准閾值之前工作階段過期,則 `KeyState`的變更`CREATE_FAILED`和 `MpaStatus.Status` 變更為 `FAILED`:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_FAILED",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "FAILED",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00",
"StatusMessage": "Approval session expired or was denied"
}
}
}
```
狀態的金鑰`CREATE_FAILED`無法用於密碼編譯操作。若要重試匯入,您必須提交新的`ImportKey`請求,這會建立新的核准工作階段。