本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 客户自主管理型 KMS 密钥和高级 KMS 密钥策略的注意事项
<a name="considerations-for-customer-managed-kms-keys-advanced"></a>

在 IAM Identity Center 中实施客户自主管理型 KMS 密钥时，请考虑这些影响加密配置的设置、安全性和持续维护的因素。

## 选择基线与高级 KMS 密钥策略语句的注意事项
<a name="kms-policy-considerations-advanced-vs-baseline"></a>

在决定是否使用 [高级 KMS 密钥策略语句](advanced-kms-policy.md) 使 KMS 密钥权限更具体时，请考虑管理开销和组织的安全需求。更具体的策略语句提供了对谁可以使用密钥以及用于什么目的的更细粒度控制；但是，随着 IAM Identity Center 配置的发展，它们需要持续维护。例如，如果您将 KMS 密钥的使用限制在特定的 Amazon 托管应用程序部署，则每当您的组织想要部署或取消部署应用程序时，都需要更新密钥策略。限制较少的策略可减少管理负担，但可能会授予比安全要求更广泛的权限。

## 使用客户自主管理型 KMS 密钥启用新 IAM Identity Center 实例的注意事项
<a name="considerations-for-enabling-new-instance"></a>

 如果您使用 [高级 KMS 密钥策略语句](advanced-kms-policy.md) 中描述的加密上下文将 KMS 密钥的使用限制为特定的 IAM Identity Center 实例，则此处注意事项适用。

 使用客户托管的 KMS 密钥启用新的 IAM 身份中心实例时，IAM 身份中心和身份存储 ARNs 要等到设置后才可用。您有以下选项：
+  暂时使用通用 ARN 模式，然后在实例启用 ARNs 后将其替换为完整模式。请记住根据需要在 StringEquals 和 StringLike运算符之间切换。
  +  对于 IAM Identity Center SPN："arn:${Partition}:sso:::instance/\*"。
  +  对于 Identity Store SPN："arn:${Partition}:identitystore::${Account}:identitystore/\*"。
+  临时在 ARN 中使用 "purpose:KEY\_CONFIGURATION"。这仅适用于实例启用，并且必须替换为实际 ARN，您的 IAM Identity Center 实例才能正常运行。这种方法的优点是您不会忘记在实例启用后替换它。
  +  对于 IAM Identity Center SPN，使用："arn:${Partition}:sso:::instance/purpose:KEY\_CONFIGURATION"
  +  对于 Identity Store SPN，使用："arn:${Partition}:identitystore::${Account}:identitystore/purpose:KEY\_CONFIGURATION"
**重要**  
 不要将此配置应用于已在现有 IAM Identity Center 实例中使用的 KMS 密钥，因为这可能会中断其正常操作。
+  在实例启用之前，从 KMS 密钥策略中省略加密上下文条件。