IAM Identity Center CMK加密配置实战指南

为什么需要客户自主管理型密钥

在企业安全架构中，加密密钥的控制权往往是合规审计的核心关注点。虽然AWS IAM Identity Center默认使用AWS自有密钥进行静态加密，但对于金融服务、医疗健康、政府机构等受严格监管的行业，监管机构通常要求企业对加密密钥拥有完全的生命周期管理能力。

采用客户自主管理型KMS密钥(CMK)后，您将获得以下关键能力：

• 密钥生命周期完全控制：自主决定密钥的创建、轮换周期和删除时机
• 精细化访问控制：通过KMS密钥策略和IAM策略实现最小权限原则
• 完整审计追踪：所有密钥操作记录在CloudTrail中，满足合规审计要求

架构规划与前置条件

部署约束条件

在开始配置前，请确认以下关键约束：

• CMK必须创建在AWS Organizations管理账户中
• 密钥区域必须与Identity Center实例完全一致
• 密钥类型必须为对称密钥，用途设置为加密和解密

单区域与多区域密钥选择建议

从架构演进角度，我强烈建议选择多区域密钥(Multi-Region Key)。尽管当前Identity Center实例仅部署在单一区域，但多区域密钥具备以下优势：

• 各区域维护独立的密钥基础设施，同时保持一致的密钥材料
• 为未来可能的跨区域灾备架构预留扩展空间
• 单区域密钥无法转换为多区域密钥，后期变更需要更换密钥

第一部分：创建KMS密钥

登录AWS KMS控制台，确保所在区域与Identity Center实例一致，然后执行以下步骤：

步骤1：配置密钥类型

• 密钥类型：选择”对称”
• 密钥用途：选择”加密和解密”
• 密钥材料来源：选择”KMS”（推荐由AWS管理密钥材料）
• 区域性：选择”多区域密钥”

步骤2：配置密钥策略

密钥策略是CMK配置的核心环节，需要授权三类主体：Identity Center服务、管理员角色以及相关AWS托管应用程序。以下是经过优化的策略模板：

{
    "Version": "2012-10-17",
    "Id": "identity-center-cmk-policy",
    "Statement": [
        {
            "Sid": "AllowAdminToUseKeyViaIdentityCenter",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::ACCOUNT_ID:role/YOUR_ADMIN_ROLE"
            },
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "sso.*.amazonaws.com",
                        "identitystore.*.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "AllowAdminToDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::ACCOUNT_ID:role/YOUR_ADMIN_ROLE"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "AllowIdentityCenterServiceToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sso.amazonaws.com",
                    "identitystore.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "YOUR_ACCOUNT_ID"
                }
            }
        },
        {
            "Sid": "AllowIdentityCenterToDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sso.amazonaws.com",
                    "identitystore.amazonaws.com"
                ]
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
}

第二部分：跨账户访问配置

如果您的AWS托管应用程序管理员位于其他AWS账户，需要在对应账户中配置IAM策略，授权其通过Identity Center使用该CMK。这是多账户组织架构中的常见场景。

第三部分：启用Identity Center CMK加密

完成密钥创建和策略配置后，在IAM Identity Center控制台的设置页面中，选择刚创建的CMK作为加密密钥。系统将自动使用该密钥对身份数据进行重新加密。

兼容性注意事项

实施CMK加密前，务必确认您使用的AWS托管应用程序是否支持此配置。截至目前，部分应用程序（如某些版本的Amazon Q Business）可能存在兼容性限制。建议在生产环境部署前，先在测试环境验证所有关联应用的正常运行。

运维最佳实践

• 启用CloudTrail记录所有KMS API调用，定期审查密钥使用情况
• 配置密钥自动轮换，建议周期为1年
• 为CMK设置删除等待期（建议30天），防止误删除导致数据不可访问
• 使用AWS Config规则监控密钥策略变更