Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für AWS CloudHSM
AWSverwendet Sicherheitsanmeldedaten, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS Ressourcen zu gewähren. Sie können die Funktionen von AWS Identity and Access Management (IAM) verwenden, um anderen Benutzern, Diensten und Anwendungen die vollständige oder eingeschränkte Nutzung Ihrer AWS Ressourcen zu ermöglichen. Sie können dies tun, ohne Ihre Sicherheitsanmeldeinformationen zu teilen.
Standardmäßig sind IAM Benutzer nicht berechtigt, AWS Ressourcen zu erstellen, anzuzeigen oder zu ändern. Um einem IAM Benutzer den Zugriff auf Ressourcen wie einen Load Balancer und die Ausführung von Aufgaben zu ermöglichen, gehen Sie wie folgt vor:
-
Erstellen Sie eine IAM Richtlinie, die dem IAM Benutzer die Erlaubnis erteilt, die spezifischen Ressourcen und API Aktionen zu verwenden, die er benötigt.
-
Ordnen Sie die Richtlinie dem IAM Benutzer oder der Gruppe zu, zu der der IAM Benutzer gehört.
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Sie können sie beispielsweise verwenden, IAM um Benutzer und Gruppen unter Ihrem AWS Konto zu erstellen. Ein IAM Benutzer kann eine Person, ein System oder eine Anwendung sein. Anschließend gewähren Sie den Benutzern und Gruppen mithilfe einer IAM Richtlinie die Erlaubnis, bestimmte Aktionen an den angegebenen Ressourcen auszuführen.
Erteilen Sie Berechtigungen mithilfe von IAM Richtlinien
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Eine IAM Richtlinie ist ein JSON Dokument, das aus einer oder mehreren Aussagen besteht. Jedes Statement ist dem folgenden Beispiel entsprechend strukturiert.
{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
-
Effect: Der effect-Wert kann
AllowoderDenylauten. Standardmäßig sind IAM Benutzer nicht berechtigt, Ressourcen und API Aktionen zu verwenden, sodass alle Anfragen abgelehnt werden. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis. -
Aktion — Die Aktion ist die spezifische API Aktion, für die Sie die Erlaubnis erteilen oder verweigern. Für weitere Informationen zum Angeben von Aktionen siehe APIAktionen für AWS CloudHSM.
-
Ressource — Die Ressource, die von der Aktion betroffen ist. AWS CloudHSM unterstützt keine Berechtigungen auf Ressourcenebene. Sie müssen den Platzhalter * verwenden, um alle Ressourcen anzugeben. AWS CloudHSM
-
Condition: Sie können optional Bedingungen verwenden, um zu steuern, wann die Richtlinie wirksam ist. Weitere Informationen finden Sie unter Zustandstasten für AWS CloudHSM.
Weitere Informationen finden Sie im IAMBenutzerhandbuch.
APIAktionen für AWS CloudHSM
Im Element Aktion Ihrer IAM Grundsatzerklärung können Sie alle API Aktionen angeben, die AWS CloudHSM angeboten werden. Dem Namen der Aktion muss wie im folgenden Beispiel die Zeichenfolge cloudhsm: in Kleinbuchstaben vorangestellt werden.
"Action": "cloudhsm:DescribeClusters"Wenn Sie mehrere Aktionen in einer einzigen Anweisung angeben möchten, setzen Sie sie in eckige Klammern und trennen Sie sie wie im folgenden Beispiel dargestellt durch Kommas.
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]Sie können auch mehrere Aktionen mithilfe des Platzhalters * angeben. Im folgenden Beispiel werden alle API Aktionsnamen angegeben AWS CloudHSM , die mit beginnenList.
"Action": "cloudhsm:List*"Um alle API Aktionen für anzugeben AWS CloudHSM, verwenden Sie den Platzhalter *, wie im folgenden Beispiel gezeigt.
"Action": "cloudhsm:*"Eine Liste der API Aktionen für finden Sie AWS CloudHSM unter AWS CloudHSM Aktionen.
Zustandstasten für AWS CloudHSM
Beim Erstellen einer Richtlinie können Sie die Bedingungen angeben, die steuern, wann die Richtlinie wirksam wird. Jede Bedingung enthält ein oder mehrere Schlüssel-Wert-Paare. Es gibt globale Bedingungsschlüssel und servicespezifische Bedingungsschlüssel.
AWS CloudHSM hat keine dienstspezifischen Kontextschlüssel.
Weitere Informationen zu globalen Bedingungsschlüsseln finden Sie unter AWSGlobale Bedingungskontextschlüssel im IAMBenutzerhandbuch.
Vordefinierte AWS verwaltete Richtlinien für AWS CloudHSM
Die verwalteten Richtlinien, die von erstellt wurden, AWS gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle. Sie können diese Richtlinien an Ihre IAM Benutzer anhängen, je nachdem AWS CloudHSM , welchen Zugriff sie benötigen:
-
AWSCloudHSMFullAccess— Gewährt vollen Zugriff, der für die Nutzung der AWS CloudHSM Funktionen erforderlich ist.
-
AWSCloudHSMReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf AWS CloudHSM Funktionen.
Vom Kunden verwaltete Richtlinien für AWS CloudHSM
Wir empfehlen Ihnen, dafür eine IAM Administratorgruppe zu erstellen AWS CloudHSM , die nur die für die Ausführung erforderlichen Berechtigungen enthält AWS CloudHSM. Fügen Sie die Richtlinie mit den benötigten Berechtigungen an diese Gruppe an. Fügen Sie der Gruppe nach Bedarf IAM Benutzer hinzu. Jeder hinzugefügte Benutzer erbt die Richtlinie von der Administratorgruppe.
Außerdem empfehlen wir, zusätzliche Benutzergruppen basierend auf den Berechtigungen zu erstellen, die die jeweiligen Benutzer benötigen. Dadurch wird sichergestellt, dass nur vertrauenswürdige Benutzer Zugriff auf kritische API Aktionen haben. Sie könnten beispielsweise eine Benutzergruppe erstellen, mit der Sie Clustern und nur Lesezugriff gewähren. HSMs Da diese Gruppe es einem Benutzer nicht erlaubt, Cluster zu löschenHSMs, oder ein nicht vertrauenswürdiger Benutzer kann die Verfügbarkeit eines Produktions-Workloads nicht beeinflussen.
Da im Laufe der Zeit neue AWS CloudHSM Verwaltungsfunktionen hinzugefügt werden, können Sie sicherstellen, dass nur vertrauenswürdige Benutzer sofort Zugriff erhalten. Indem Sie den Richtlinien bei der Erstellung begrenzte Berechtigungen zuweisen, können Sie diesen zu einem späteren Zeitpunkt neue Funktionsberechtigungen manuell zuweisen.
Im Folgenden finden Sie Beispielrichtlinien für AWS CloudHSM. Informationen dazu, wie Sie eine Richtlinie erstellen und sie einer IAM Benutzergruppe zuordnen, finden Sie im IAMBenutzerhandbuch unter Richtlinien auf der JSON Registerkarte erstellen.
Beispiele
Beispiel: Berechtigungen mit Schreibschutz
Diese Richtlinie ermöglicht den Zugriff auf die DescribeBackups API Aktionen DescribeClusters und. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 API Amazon-Aktionen. Es erlaubt dem Benutzer nicht, Cluster zu löschen oderHSMs.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
Beispiel: Berechtigungen für Hauptbenutzer
Diese Richtlinie ermöglicht den Zugriff auf eine Teilmenge der AWS CloudHSM API Aktionen. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 Amazon-Aktionen. Es erlaubt dem Benutzer nicht, Cluster zu löschen oderHSMs. Sie müssen die iam:CreateServiceLinkedRole Aktion angeben, mit der die automatische Erstellung der AWSServiceRoleForCloudHSMserviceverknüpften Rolle in Ihrem Konto ermöglicht AWS CloudHSM wird. Diese Rolle ermöglicht das AWS CloudHSM Protokollieren von Ereignissen. Weitere Informationen finden Sie unter Mit Diensten verknüpfte Rollen für AWS CloudHSM.
Anmerkung
Die jeweiligen Berechtigungen finden Sie AWS CloudHSM in der Serviceautorisierungsreferenz unter Aktionen, Ressourcen und Bedingungsschlüssel für. API
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
Beispiel: Berechtigungen für Administratoren
Diese Richtlinie ermöglicht den Zugriff auf alle AWS CloudHSM API Aktionen, einschließlich der Aktionen zum Löschen HSMs und Clustern. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 Amazon-Aktionen. Sie müssen die iam:CreateServiceLinkedRole Aktion angeben, damit AWS CloudHSM die AWSServiceRoleForCloudHSMserviceverknüpfte Rolle automatisch in Ihrem Konto erstellt werden kann. Diese Rolle ermöglicht das AWS CloudHSM Protokollieren von Ereignissen. Weitere Informationen finden Sie unter Mit Diensten verknüpfte Rollen für AWS CloudHSM.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }
