客户自主管理型 KMS 密钥和高级 KMS 密钥策略的注意事项 - Amazon IAM Identity Center
选择基线与高级 KMS 密钥策略语句的注意事项使用客户自主管理型 KMS 密钥启用新 IAM Identity Center 实例的注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

客户自主管理型 KMS 密钥和高级 KMS 密钥策略的注意事项

在 IAM Identity Center 中实施客户自主管理型 KMS 密钥时,请考虑这些影响加密配置的设置、安全性和持续维护的因素。

选择基线与高级 KMS 密钥策略语句的注意事项

在决定是否使用 高级 KMS 密钥策略语句 使 KMS 密钥权限更具体时,请考虑管理开销和组织的安全需求。更具体的策略语句提供了对谁可以使用密钥以及用于什么目的的更细粒度控制;但是,随着 IAM Identity Center 配置的发展,它们需要持续维护。例如,如果您将 KMS 密钥的使用限制为特定的 Amazon 托管应用程序部署,则每当组织想要部署或取消部署应用程序时,都需要更新密钥策略。限制较少的策略可减少管理负担,但可能会授予比安全要求更广泛的权限。

使用客户自主管理型 KMS 密钥启用新 IAM Identity Center 实例的注意事项

如果您使用 高级 KMS 密钥策略语句 中描述的加密上下文将 KMS 密钥的使用限制为特定的 IAM Identity Center 实例,则此处注意事项适用。

当使用客户自主管理型的 KMS 密钥启用新的 IAM Identity Center 实例时,IAM Identity Center 和 Identity Store ARN 在设置完成之前不可用。您有以下选项:

  • 临时使用通用 ARN 模式,然后在实例启用后替换为完整 ARN。请记住根据需要在 StringEquals 和 StringLike 运算符之间切换。

    • 对于 IAM Identity Center SPN:"arn:${Partition}:sso:::instance/*"。

    • 对于 Identity Store SPN:"arn:${Partition}:identitystore::${Account}:identitystore/*"。

  • 临时在 ARN 中使用 "purpose:KEY_CONFIGURATION"。这仅适用于实例启用,并且必须替换为实际 ARN,您的 IAM Identity Center 实例才能正常运行。这种方法的优点是您不会忘记在实例启用后替换它。

    • 对于 IAM Identity Center SPN,使用:"arn:${Partition}:sso:::instance/purpose:KEY_CONFIGURATION"

    • 对于 Identity Store SPN,使用:"arn:${Partition}:identitystore::${Account}:identitystore/purpose:KEY_CONFIGURATION"

    重要

    不要将此配置应用于已在现有 IAM Identity Center 实例中使用的 KMS 密钥,因为这可能会中断其正常操作。

  • 在实例启用之前,从 KMS 密钥策略中省略加密上下文条件。