View a markdown version of this page

Política clave básica de KMS - AWS IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Política clave básica de KMS

La siguiente política clave de KMS cubre el escenario de implementación más común: una instancia del centro de identidad de IAM con administradores delegados y aplicaciones AWS administradas, que incluyen AWS Control Tower instancias de SSO en Amazon EC2 y flujos de trabajo personalizados. Utilice esta política como punto de partida a la hora de crear una clave KMS gestionada por el cliente para el centro de identidad de IAM. Si necesita controles de acceso más detallados, como restringir la clave a una instancia o aplicación específica del IAM Identity Center, consulte. Instrucciones de política de claves de KMS avanzadas Tenga en cuenta que si utiliza una clave multirregional, se debe utilizar la misma política en todas las réplicas para garantizar una autorización uniforme.

Para utilizar esta política, sustituya los siguientes valores de marcador de posición por los suyos propios:

  • 111122223333— El ID de AWS cuenta de su instancia de IAM Identity Center (la cuenta AWS Organizations de administración).

  • 444455556666— El ID de AWS cuenta de su cuenta de administración delegada. Si no utiliza la administración delegada, elimine este principal.

Como el Centro de Identidad de AWS IAM exige que la clave KMS esté en la misma AWS cuenta que el servicio, las siguientes instrucciones utilizan las ${aws:ResourceAccount} variables ${aws:ResourceOrgID} y en lugar de valores literales. Si lo prefiere, puede sustituir estas variables por el identificador de su AWS organización y su identificador de AWS cuenta.

{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Sid": "AllowIdentityCenterAdminAccounts",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:root",
          "arn:aws:iam::444455556666:root"
        ]
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "AllowIdentityCenterAndIdentityStoreToDescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "${aws:ResourceAccount}"
        }
      }
    },
    {
      "Sid": "AllowIdentityCenterAndIdentityStoreToUseKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "${aws:ResourceAccount}"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    },
    {
      "Sid": "AllowOrgPrincipalsViaIdentityCenterAndIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
        },
        "StringLike": {
          "kms:ViaService": [
            "sso.*.amazonaws.com",
            "identitystore.*.amazonaws.com"
          ]
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    },
    {
      "Sid": "AllowManagedApps",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        },
        "StringEquals": {
          "aws:SourceOrgID": "${aws:ResourceOrgID}"
        },
        "StringLike": {
          "kms:ViaService": [
            "identitystore.*.amazonaws.com",
            "sso.*.amazonaws.com"
          ]
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    }
  ]
}

Esta política contiene cinco declaraciones. En la siguiente tabla se describe lo que hace cada declaración.

Instrucción Finalidad
AllowIdentityCenterAdminAccounts Otorga todos los permisos clave de KMS a la cuenta de administración del Centro de Identidad de IAM y a la cuenta de administración delegada. Esto incluye acciones de administración clave, como la modificación de la política de claves y la programación de la eliminación de claves. Los administradores de estas cuentas pueden administrar y usar la clave si disponen de los permisos necesarios en sus políticas basadas en la identidad.
AllowIdentityCenterAndIdentityStoreToDescribeKey Permite a los directores de servicio del Centro de Identidad de IAM y del Almacén de Identidades recuperar los metadatos clave. Esto es necesario para las operaciones de servicio que validan la clave sin realizar el cifrado o el descifrado. Esta aws:SourceAccount condición ayuda a garantizar que solo su instancia del IAM Identity Center pueda usar su clave KMS.
AllowIdentityCenterAndIdentityStoreToUseKey Permite a los directores de servicio del Centro de Identidad de IAM y del Almacén de identidades utilizar la clave para operaciones de cifrado, como cifrar, descifrar y volver a cifrar datos. Esta aws:SourceAccount condición ayuda a garantizar que solo su instancia del IAM Identity Center pueda utilizar su clave KMS.
AllowOrgPrincipalsViaIdentityCenterAndIdentityStore Permite a los directores de IAM de su AWS organización descifrar los datos a través de los servicios IAM Identity Center e Identity Store. Esto incluye a los administradores de aplicaciones que interactúan con los AWS servicios integrados en el IAM Identity Center mediante sesiones de acceso directo (FAS).
AllowManagedApps Permite a las aplicaciones AWS gestionadas descifrar los datos protegidos por su clave KMS a través del IAM Identity Center y el Identity Store.

Utilice la siguiente declaración de política de IAM Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS para permitir que los administradores delegados utilicen la clave KMS a través del servicio IAM Identity Center. APIs Sustituya el ARN de la clave de ejemplo por el ARN de la clave KMS actual. La región comodín del ejemplo incluye todas las réplicas de una clave KMS multirregional.

En el caso de casos de uso multicuenta distintos de la administración del Centro de Identidad de IAM, como el inicio de sesión único en instancias de Amazon EC2 o la administración de aplicaciones AWS gestionadas, limite kms:Decrypt únicamente la declaración y AllowCrossAccountKMSKeyUse elimínela. AllowListKMSKeyAliases

{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Sid": "AllowCrossAccountKMSKeyUse",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:*:111122223333:key/mrk-1234abcd-12ab-34cd-56ef-1234567890ab"
      ]
    },
    {
      "Sid": "AllowListKMSKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}