Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center - AWS IAM Identity Center
Paso 1: identifique los casos de uso de su organizaciónPaso 2: prepare las instrucciones de política de claves de KMSPaso 3: cree una clave de KMSPaso 4: configure las políticas de IAMPaso 5: configure la clave de KMS en IAM Identity Center¿Dónde encontrar los identificadores necesarios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center

Las claves administradas por el cliente son AWS claves del Servicio de administración de claves que usted crea, posee y administra. Para implementar una clave KMS gestionada por el cliente para el cifrado en reposo en el Centro de Identidad de AWS IAM, siga estos pasos:

importante

Algunas aplicaciones AWS gestionadas no se pueden utilizar con el centro de identidad de AWS IAM configurado con una clave KMS gestionada por el cliente. Consulte AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center.

  1. Paso 1: identifique los casos de uso de su organización: con el fin de definir los permisos correctos para el uso de la clave KMS, debe identificar los casos de uso relevantes en su organización. Los permisos clave de KMS consisten en instrucciones de política de claves de KMS y políticas basadas en la identidad que funcionan de forma conjunta para permitir que los responsables de IAM correspondientes utilicen la clave de KMS para sus casos de uso específicos.

  2. Paso 2: prepare las instrucciones de política de claves de KMS: elija las plantillas de instrucciones de políticas de claves de KMS pertinentes en función de los casos de uso identificados en el paso 1 y rellene los identificadores obligatorios y los nombres de las entidades principales de IAM. Comience con las instrucciones de política de claves de KMS básicas y, si sus políticas de seguridad lo requieren, perfecciónelas como se describe en las declaraciones de política de claves de KMS avanzadas.

  3. Paso 3: cree una clave de KMS administrada por el cliente - Cree una clave de KMS en AWS KMS que cumpla con los requisitos del centro de identidad de IAM y añada a la política clave de KMS las declaraciones de política clave de KMS preparadas en el paso 2.

  4. Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS: elija las plantillas de instrucciones de políticas de IAM pertinentes en función de los casos de uso identificados en el paso 1 y prepárelas para su uso rellenando el ARN de clave. A continuación, permita que los directores de IAM de cada caso de uso específico utilicen la clave de KMS en todas las cuentas añadiendo las instrucciones de política de IAM preparadas a las políticas de IAM de las entidades principales.

  5. Paso 5: configure la clave de KMS en IAM Identity Center: active la clave de KMS administrada por el cliente en su instancia de IAM Identity Center para usarla como cifrado en reposo.

Paso 1: identifique los casos de uso de su organización

Antes de crear y configurar su clave de KMS administrada por el cliente, identifique sus casos de uso y prepare los permisos de clave de KMS necesarios. Consulte la Guía para desarrolladores de KMS de AWS para obtener más información sobre la política de claves de KMS.

Los directores de IAM que llamen al servicio del Centro de Identidad de IAM necesitan permisos. APIs Por ejemplo, se puede autorizar a un administrador delegado a utilizarlos APIs mediante una política de conjuntos de permisos. Cuando el Centro de Identidad de IAM se configura con una clave gestionada por el cliente, los directores de IAM también deben tener permisos para usar la API de KMS a través del servicio del Centro de Identidad de IAM. APIs Estos permisos de la API de KMS se definen en dos lugares: en la política de claves de KMS y en las políticas de IAM asociadas a las entidades principales de IAM.

Los permisos clave de KMS consisten en:

  1. Instrucciones de políticas de claves de KMS que se especifican en la clave de KMS durante su creación en Paso 3: cree una clave de KMS administrada por el cliente .

  2. Instrucciones de política de IAM para los directores de IAM que se especifican en Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS después de crear la clave de KMS.

En la siguiente tabla se especifican los casos de uso relevantes y las entidades principales de IAM que necesitan permisos para usar la clave de KMS.

Caso de uso Las entidades principales de IAM que necesitan permisos para usar la clave de KMS Obligatorio/opcional
Uso del Centro de Identidad de IAM AWS

  • Administradores del centro de AWS identidad de IAM

  • Servicio IAM Identity Center y servicio de almacén de identidades asociado

 Obligatorio
Uso de aplicaciones AWS gestionadas con IAM Identity Center

  • Administradores de aplicaciones AWS gestionadas

  • AWS aplicaciones gestionadas

  • Funciones de servicio que las aplicaciones AWS gestionadas asumen para llamar al servicio IAM Identity Center APIs

 Opcional
Se utiliza AWS Control Tower en la instancia del AWS IAM Identity Center que habilitó

  • AWS Control Tower administradores

 Opcional
SSO en EC2 instancias de Amazon con AWS IAM Identity Center

  • Los directores de IAM están autorizados a realizar el SSO en las instancias de Amazon EC2

Opcional
Cualquier otro caso de uso que haga llamadas al servicio del Centro de Identidad de IAM APIs con los principios de IAM, como aplicaciones gestionadas por el cliente, flujos de trabajo de aprovisionamiento de conjuntos de permisos o funciones AWS Lambda

  • Estos flujos de trabajo utilizan los principios de IAM para llamar al servicio del Centro de Identidad de IAM APIs

 Opcional
nota

Los principales de IAM que figuran en la tabla requieren permisos de la API de KMS. AWS Sin embargo, para proteger los datos de sus usuarios y grupos en el Centro de identidades de IAM, solo los servicios de IAM Identity Center e Identity Store llaman directamente a la API de KMS. AWS

Paso 2: prepare las instrucciones de política de claves de KMS

Tras identificar los casos de uso relevantes para su organización, puede preparar las instrucciones de política de claves de KMS correspondientes.

  1. Elija las instrucciones de política de claves de KMS que coincidan con los casos de uso de su organización. Comience con las plantillas de políticas básicas. Si necesita políticas más específicas en función de sus requisitos de seguridad, puede modificar las instrucciones de políticas mediante los ejemplos que se muestran en Instrucciones de política de claves de KMS avanzadas. Para obtener orientación sobre esta decisión, consulte Consideraciones a la hora de elegir las principales instrucciones de política de claves de KMS básicas o avanzadas. Además, cada sección de referencia en Instrucciones básicas de KMS y políticas de IAM incluye consideraciones relevantes.

  2. Copie las políticas relevantes y envíelas a un editor e inserte los identificadores necesarios y los nombres de las entidades principales de IAM en las instrucciones de política de claves de KMS. Si necesita ayuda para encontrar los valores de los identificadores a los que se hace referencia, consulte ¿Dónde encontrar los identificadores necesarios.

A continuación se presentan las plantillas de políticas de referencia para cada caso de uso. Para utilizar una clave KMS, solo se necesita el primer conjunto de permisos del Centro de Identidad de AWS IAM. Le recomendamos que consulte las subsecciones correspondientes para obtener información adicional sobre casos de uso específicos.

importante

Tenga cuidado al modificar las políticas de claves de KMS para las claves que ya utiliza IAM Identity Center. Si bien IAM Identity Center valida los permisos de cifrado y descifrado al configurar inicialmente una clave de KMS, no puede verificar los cambios de política posteriores. La eliminación inadvertida de los permisos necesarios podría interrumpir el funcionamiento normal de IAM Identity Center. Para obtener instrucciones sobre la solución de errores comunes relacionados con las claves administradas por el cliente en IAM Identity Center, consulte Solucione los problemas de las claves administradas por el cliente en AWS IAM Identity Center.

nota

IAM Identity Center y su almacén de identidades asociado requieren permisos de nivel de servicio para utilizar la clave de KMS administrada por el cliente. Este requisito se extiende a las aplicaciones AWS gestionadas que llaman al servicio del Centro de Identidad de IAM APIs mediante credenciales de servicio. Para otros casos de uso en los que APIs se llama al servicio del Centro de Identidad de IAM con sesiones de acceso directo, solo el responsable de IAM que lo inicia (por ejemplo, un administrador) necesita permisos clave de KMS. En particular, los usuarios finales que utilizan el portal de AWS acceso y las aplicaciones AWS gestionadas no necesitan permisos clave de KMS directos, ya que se conceden a través de los servicios correspondientes.

Paso 3: cree una clave de KMS administrada por el cliente

Puede crear una clave gestionada por el cliente mediante la consola AWS de gestión o el AWS KMS APIs. Al crear la clave, añada las instrucciones de política de claves de KMS que preparó en el paso 2 a la política de claves de KMS. Para obtener instrucciones detalladas, incluida la orientación sobre la política de claves de KMS predeterminada, consulte AWS Key Management Service en la Guía para desarrolladores.

La clave debe cumplir los siguientes requisitos:

  • La clave KMS debe estar en la misma AWS región que la instancia del IAM Identity Center

  • Puede crear una clave de una región o multirregional. Sin embargo, si piensa utilizar el Centro de identidad de IAM en varias ocasiones, Regiones de AWS debe crear una clave KMS multirregional. No puede convertir una clave KMS de una sola región en una de varias regiones, por lo que le recomendamos empezar con una clave de KMS de varias regiones, a menos que tenga requisitos específicos para utilizar una clave de KMS de una sola región.

  • La clave de KMS debe ser una clave simétrica configurada para el uso de «cifrado y descifrado»

  • La clave KMS debe estar en la misma cuenta de AWS Organizations administración que la instancia de la organización del IAM Identity Center

nota

Si tiene previsto replicar esta clave de KMS en las regiones en las que desee replicar su centro de identidad de IAM, le recomendamos que primero complete la configuración de esta sección y, a continuación, siga las instrucciones de Replique el centro de identidad de IAM en una región adicional

Paso 4: configure las políticas de IAM para el uso entre cuentas de la clave de KMS

Cualquier entidad principal de IAM que utilice el servicio del Centro de Identidad de IAM APIs desde otra AWS cuenta, como los administradores delegados del Centro de Identidad de IAM, también necesitará una declaración de política de IAM que permita utilizar la clave KMS a través de estas cuentas. APIs

Para cada caso de uso identificado en el paso 1:

  1. Busque las plantillas de instrucciones de políticas de IAM pertinentes en Instrucciones básicas de políticas de IAM y de claves de KMS.

  2. Copie las plantillas en un editor y rellene la clave ARN, que ahora está disponible tras la creación de la clave de KMS en el paso 3. Para obtener ayuda para encontrar el ARN de clave, consulte ¿Dónde encontrar los identificadores necesarios.

  3. En el Consola de administración de AWS, busque la política de IAM del principal de IAM asociado al caso de uso. La ubicación de esta política varía según el caso de uso y la forma en que se concede el acceso.

    • Si el acceso se concede directamente en IAM, puede localizar las entidades principales de IAM, como los roles de IAM, en la consola de IAM.

    • Si el acceso se concedió en IAM Identity Center, puede localizar el conjunto de permisos correspondiente en la consola de IAM Identity Center.

  4. Añada las instrucciones de política de IAM específicas de cada caso de uso al rol de IAM y guarde el cambio.

nota

Las políticas de IAM descritas aquí son políticas basadas en identidades. Si bien estas políticas se pueden asociar a los usuarios, grupos y roles de IAM, recomendamos el uso de roles de IAM siempre que sea posible. Para obtener más información acerca de los roles de IAM, consulte Roles de IAM en la Guía del usuario de IAM.

Configuración adicional en algunas aplicaciones gestionadas AWS

Algunas aplicaciones AWS gestionadas requieren que configure un rol de servicio para permitir que las aplicaciones utilicen el servicio APIs IAM Identity Center. Si su organización utiliza aplicaciones AWS gestionadas con el Centro de identidades de IAM, complete los siguientes pasos para cada aplicación implementada:

  1. Consulte la guía del usuario de la aplicación para confirmar si los permisos se han actualizado a fin de incluir los permisos relacionados con las claves del KMS para el uso de la aplicación con IAM Identity Center.

  2. Si es así, actualice los permisos tal y como se indica en la guía del usuario de la aplicación para evitar interrumpir las operaciones de la aplicación.

nota

Si no está seguro de si una aplicación AWS gestionada utiliza estos permisos, le recomendamos que consulte las guías de usuario de todas las aplicaciones AWS gestionadas implementadas. Solo necesita realizar esta configuración una vez para cada aplicación que la requiera.

Paso 5: configure la clave de KMS en IAM Identity Center

importante

Antes de continuar con este paso:

  • Compruebe que sus aplicaciones AWS administradas sean compatibles con las claves de KMS administradas por el cliente. Para obtener una lista de aplicaciones compatibles, consulte AWS managed applications that you can use with IAM Identity Center. Si tiene aplicaciones incompatibles, no continúe.

  • Configure los permisos necesarios para usar la clave de KMS. Sin los permisos adecuados, este paso puede provocar errores o interrumpir la administración de IAM Identity Center, el uso de aplicaciones administradas por AWS y otros casos de uso que requieran permisos clave de KMS. Para obtener más información, consulte Paso 1: identifique los casos de uso de su organización.

  • Asegúrese de que los permisos para las aplicaciones AWS administradas y las aplicaciones administradas por el cliente que utilizan el servicio IAM Identity Center APIs con funciones de IAM también permitan el uso de la clave KMS a través del servicio IAM Identity Center. APIs Algunas aplicaciones AWS gestionadas requieren la configuración de permisos, como un rol de servicio, para su uso. APIs Consulte la guía del usuario de cada aplicación AWS administrada implementada para confirmar si necesita agregar permisos clave de KMS específicos.

Especificación de una clave de KMS al habilitar una nueva instancia de organización de IAM Identity Center

Al habilitar una nueva instancia de organización de IAM Identity Center, puede especificar una clave de KMS administrada por el cliente durante la configuración. Esto garantiza que la instancia utilice su clave de cifrado en reposo desde el principio. Antes de comenzar, consulte Consideraciones sobre las claves de KMS administradas por el cliente y las políticas de claves de KMS avanzadas.

  1. En la página Habilitar IAM Identity Center, amplíe la sección Cifrado en reposo.

  2. Elija Manage Encryption (Administrar cifrado).

  3. Elija Claves administradas por el cliente.

  4. Para Clave de KMS, realice una de las siguientes operaciones:

    1. Seleccione la opción Seleccionar una de sus claves de KMS y seleccione la clave que ha creado en la lista desplegable.

    2. Seleccione Introducir el ARN de la clave de KMS e introduzca el ARN completo de la clave.

  5. Seleccione Save.

  6. Seleccione Habilitar para completar la configuración.

Para más información, consulte Activar IAM Identity Center.

Cambio de la configuración de claves de una instancia de organización existente de IAM Identity Center

Puede cambiar la clave de KMS administrada por el cliente por otra clave o cambiar a una clave de propiedad de AWS en cualquier momento.

Console

Para cambiar su configuración de clave de KMS

  1. Abra la consola del IAM Identity Center en https://console.aws.amazon.com/singlesignon/.

  2. En el panel de navegación, seleccione Configuración.

  3. Elija la pestaña Configuración adicional.

  4. Seleccione Administrar cifrado.

  5. Seleccione una de las siguientes opciones:

    1. Clave administrada por el cliente: seleccione una clave administrada por el cliente diferente en el menú desplegable o introduzca un ARN de clave nuevo.

    2. AWS clave propia: cambie a la opción de cifrado predeterminada.

  6. Seleccione Save.

AWS CLI

Para cambiar una instancia de organización existente de IAM Identity Center para que utilice la clave administrada por el cliente de KMS 

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration \
        KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab

Para cambiar una instancia de organización existente de IAM Identity Center para que utilice una clave de propiedad de AWS 

aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration KeyType=AWS_OWNED_KMS_KEY

Consideraciones clave administradas por el cliente

  • La actualización de la configuración de claves de KMS para el funcionamiento de IAM Identity Center no afecta a las sesiones de usuario activas en su IAM Identity Center. Puede seguir utilizando el portal de AWS acceso, la consola del IAM Identity Center y el servicio IAM Identity Center APIs durante este proceso.

  • Al cambiar a una nueva clave de KMS, IAM Identity Center comprueba que puede utilizarla correctamente para el cifrado y el descifrado. Si cometió un error durante la configuración de la política de claves o la política de IAM, la consola mostrará un mensaje de error explicativo y la clave de KMS anterior seguirá utilizándose.

  • La rotación anual predeterminada de claves de KMS se realizará automáticamente. Puede consultar la Guía para desarrolladores de AWS KMS para obtener información sobre temas como la rotación de claves, la supervisión de las claves de AWS KMS y el control del acceso a la eliminación de claves.

importante

Si la clave de KMS gestionada por el cliente que utiliza su instancia de IAM Identity Center se elimina, deshabilita o no se puede acceder a ella debido a una política de claves de KMS incorrecta, los usuarios de su personal y los administradores de IAM Identity Center no podrán utilizar IAM Identity Center. La pérdida de acceso puede ser temporal (se puede corregir una política de claves) o permanente (no se puede restaurar una clave eliminada), según las circunstancias. Le recomendamos que restrinja el acceso a las operaciones críticas, como eliminar o deshabilitar la clave de KMS. Además, recomendamos que su organización establezca AWS procedimientos de acceso innovadores para garantizar que sus usuarios privilegiados puedan acceder AWS en caso de que el IAM Identity Center no esté accesible.

¿Dónde encontrar los identificadores necesarios

Al configurar los permisos para la clave de KMS administrada por el cliente, necesitará identificadores de recursos de AWS específicos para completar las plantillas de instrucciones de políticas de claves y de políticas de IAM. Inserte los identificadores necesarios (por ejemplo, el identificador de la organización) y los nombres de entidades principales de IAM en las instrucciones de política de claves de KMS.

A continuación, encontrará una guía para localizar estos identificadores en la consola de AWS administración.

Nombre de recurso de Amazon (ARN) de IAM Identity Center y ARN de Identity Store

Una instancia de IAM Identity Center es un AWS recurso con su propio ARN único, como arn:aws:sso: ::instance/ssoins-1234567890abcdef. El ARN sigue el patrón documentado en la sección de tipos de recursos de IAM Identity Center de la Referencia de autorizaciones de servicios.

Cada instancia de IAM Identity Center tiene un almacén de identidades asociado que almacena las identidades de los usuarios y los grupos. Un almacén de identidades tiene un identificador único denominado ID de almacén de identidades (por ejemplo, d-123456789a). El ARN sigue el patrón documentado en la sección de tipos de recursos de Identity Store de la Referencia de autorizaciones de servicios.

Puede encontrar los valores del ARN y del ID de almacén de identidades en la página de configuración de su IAM Identity Center. El ID de almacén de identidades se encuentra en la pestaña Origen de identidad.

AWS Organizations ID

Si desea especificar un ID de organización (por ejemplo, o-exampleorg1) en su política de claves, puede encontrar su valor en la página de configuración de las consolas de IAM Identity Center y Organizations. El ARN sigue el patrón documentado en la sección de tipos de recursos de Organizations de la Referencia de autorizaciones de servicios.

ARN de clave de KMS

Puede encontrar el ARN de una clave KMS en la AWS KMS consola. Elija Claves administradas por el cliente a la izquierda, haga clic en la clave cuyo ARN desee buscar y la verá en la sección Configuración general. El ARN sigue el patrón documentado en la sección de tipos de AWS KMS recursos de la Referencia de autorización de servicio.

Consulte la Guía para AWS Key Management Service desarrolladores para obtener más información sobre las políticas clave AWS KMS y la solución de problemas relacionados con AWS KMS los permisos. Para obtener más información acerca de las políticas de IAM y su representación en JSON, consulte la Guía del usuario de IAM.