Cifrado en reposo - AWS IAM Identity Center
Contexto de cifrado de IAM Identity CenterUtilizar el contexto de cifrado para controlar el acceso a la clave administrada por el clienteSupervisión de claves de cifrado para IAM Identity CenterAlmacenamiento, cifrado y eliminación de los atributos de identidad de IAM Identity Center de las aplicaciones administradas por AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo

IAM Identity Center proporciona cifrado para proteger los datos en reposo de los clientes usando los siguientes tipos de claves:

  • Claves propiedad de AWS (tipo de clave predeterminado): IAM Identity Center utiliza estas claves de forma predeterminada para cifrar automáticamente los datos. No puede ver ni administrar las claves propiedad de AWS ni puede usarlas para otros fines ni auditar su uso. IAM Identity Center gestiona completamente la administración de claves para mantener sus datos seguros, sin que tenga que realizar ninguna acción. Para obtener más información, consulte AWS owned keys en la Guía para desarrolladores de AWS Key Management Service.

  • Claves administradas por el cliente: en las instancias de organización de IAM Identity Center, puede elegir una clave simétrica administrada por el cliente para cifrar el resto de los datos de identidad de su personal, como los atributos de usuario y grupo. Usted crea, posee y administra estas claves de cifrado. Como usted tiene el control total de esta capa de cifrado, puede realizar tareas como las siguientes:

    • Establecer y mantener políticas de claves para restringir el acceso a la clave solo a las entidades principales de IAM que necesiten acceder, como IAM Identity Center y AWS aplicaciones gestionadas en la misma AWS Organizations y sus administradores.

    • Establecer y mantener las políticas de IAM para el acceso a la clave, incluido el acceso entre cuentas

    • Habilitar y deshabilitar políticas de claves

    • Rotar el material criptográfico

    • Auditar el acceso a sus datos que requiere un acceso a la clave

    • Agregar etiquetas.

    • Crear alias de clave

    • Programar la eliminación de claves

Para obtener información sobre cómo implementar una clave KMS administrada por el cliente en IAM Identity Center, consulte Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center. Para obtener más información acerca de las claves administradas por el cliente, consulte customer managed key en la Guía para desarrolladores de AWS Key Management Service.

nota

IAM Identity Center habilita automáticamente el cifrado en reposo mediante claves propiedad de AWS para proteger sus datos sin coste alguno. Sin embargo, se aplicarán cargos de AWS KMS por el uso de una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Consideraciones a la hora de implementar claves administradas por el cliente:

  • Excepción para las sesiones existentes: el cifrado en reposo con una clave administrada por el cliente también se aplica a los datos de identidad del personal, como los atributos de los usuarios y los grupos, almacenados temporalmente en las sesiones de los usuarios. Al configurar una clave gestionada por el cliente en IAM Identity Center, la clave gestionada por el cliente se utiliza para cifrar los datos de identidad del personal en las sesiones nuevas. En las sesiones iniciadas antes del lanzamiento de esta característica, los datos de identidad de los empleados permanecen cifrados de forma predeterminada Claves propiedad de AWS hasta que la sesión caduque (máximo 90 días) o finalice, momento en el que estos datos se eliminan automáticamente.

  • Claves dedicadas: recomendamos crear una nueva clave de KMS dedicada y administrada por el cliente para cada instancia del IAM Identity Center, en lugar de reutilizar una clave existente. Este enfoque proporciona una separación de funciones más clara, simplifica la gestión del control de acceso y facilita las auditorías de seguridad. Tener una clave dedicada también reduce el riesgo al limitar el impacto de los cambios clave a una sola instancia del IAM Identity Center.

nota

IAM Identity Center utiliza el cifrado de sobre para cifrar los datos de identidad de su personal. Su clave de KMS desempeña el rol de clave de empaquetado que cifra la clave de datos que realmente se utiliza para cifrar los datos.

Para obtener más información sobre AWS, consulte What is AWS Key Management Service?

Contexto de cifrado de IAM Identity Center

Un contexto de cifrado es un conjunto de pares de valor de clave opcional no secreto que pueden contener información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como información autenticada adicional para permitir el cifrado autenticado. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud. Para obtener más información sobre el cifrado, consulte la Guía para desarrolladores de AWS KMS.

IAM Identity Center utiliza las siguientes claves de contexto de cifrado: aws:sso:instance-arn, aws:identitystore:identitystore-arn y tenant-key-id. Por ejemplo, el siguiente contexto de cifrado puede aparecer en las operaciones de API de AWS KMS invocadas por la API de IAM Identity Center. 


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

El siguiente contexto de cifrado puede aparecer en las operaciones de API de AWS KMS invocadas por la API de Identity Store. 


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente

Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Algunas de las plantillas de políticas de claves en Instrucciones de política de claves de KMS avanzadas incluyen estas condiciones para garantizar que la clave se utilice únicamente con una instancia específica de IAM Identity Center.

Supervisión de claves de cifrado para IAM Identity Center

Cuando utiliza una clave de KMS administrada por el cliente con su instancia de IAM Identity Center, puede utilizar AWS CloudTrail o Registros de Amazon CloudWatch para hacer un seguimiento de las solicitudes que envía a AWS KMS. Las operaciones de la API de KMS a las que llama IAM Identity Center aparecen en una lista en Paso 2: prepare las instrucciones de política de claves de KMS. Los eventos de CloudTrail de estas operaciones de API contienen el contexto de cifrado, lo que le permite supervisar las operaciones de API de AWS KMS solicitadas por su instancia de IAM Identity Center para acceder a datos cifrados por su clave administrada por el cliente.

Ejemplo de contexto de cifrado en un evento de CloudTrail de una operación de API de AWS KMS: 

{
"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }
}

Almacenamiento, cifrado y eliminación de los atributos de identidad de IAM Identity Center de las aplicaciones administradas por AWS

Algunas aplicaciones administradas por AWS con las que implementa AWS IAM Identity Center, como AWS Systems Manager y Amazon CodeCatalyst, almacenan atributos específicos de usuarios y grupos de IAM Identity Center en su propio almacén de datos. El cifrado en reposo con una clave de KMS administrada por el cliente en IAM Identity Center no se extiende a los atributos de usuario y grupo de IAM Identity Center almacenados en las aplicaciones administradas por AWS. Las aplicaciones administradas por AWS admiten distintos métodos de cifrado para los datos que almacenan. Por último, al eliminar los atributos de usuario y grupo en IAM Identity Center, estas aplicaciones administradas por AWS pueden seguir almacenando esta información después de su eliminación en IAM Identity Center. Consulte la guía del usuario de las aplicaciones administradas por AWS para obtener información sobre el cifrado y la seguridad de los datos almacenados en las aplicaciones.