Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für AWS CloudHSM
AWS verwendet Sicherheitsanmeldeinformationen, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS-Ressourcen zu gewähren. Sie können Funktionen von AWS Identity and Access Management (IAM) verwenden, um anderen Benutzern, Services und Anwendungen die vollständige oder eingeschränkte Nutzung Ihrer AWS-Ressourcen zu ermöglichen. Sie können dies tun, ohne Ihre Sicherheitsanmeldeinformationen zu teilen.
IAM-Benutzer sind standardmäßig nicht berechtigt, AWS-Ressourcen zu erstellen, anzuzeigen oder zu ändern. Um einem IAM-Benutzer den Zugriff auf Ressourcen wie einen Load Balancer und das Ausführen von Aufgaben zu ermöglichen, gehen Sie folgendermaßen vor:
-
Erstellen Sie eine IAM-Richtlinie, die dem IAM-Benutzer die Berechtigung zur Nutzung der jeweiligen Ressourcen und API-Aktionen erteilt, die er benötigt.
-
Weisen Sie die Richtlinie dem IAM-Benutzer oder der Gruppe zu, zu der der IAM-Benutzer gehört.
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Sie können IAM beispielsweise verwenden, um Benutzer und Gruppen unter Ihrem AWS-Konto zu erstellen. Ein IAM-Benutzer kann eine Person, ein System oder eine Anwendung sein. Anschließend gewähren Sie den Benutzern und Gruppen Berechtigungen, um bestimmte Aktionen für die angegebenen Ressourcen mithilfe einer IAM-Richtlinie durchzuführen.
Erteilen von Berechtigungen mithilfe von IAM-Richtlinien
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jedes Statement ist dem folgenden Beispiel entsprechend strukturiert.
{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
-
Effect: Der effect-Wert kann
AllowoderDenylauten. IAM-Benutzer verfügen standardmäßig nicht über die Berechtigung zur Verwendung von Ressourcen und API-Aktionen. Daher werden alle Anfragen abgelehnt. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis. -
Aktion: Mit Aktion wird die API-Aktion spezifiziert, für die Sie Berechtigungen erteilen oder verweigern. Für weitere Informationen zum Angeben von Aktionen siehe API-Aktionen für AWS CloudHSM.
-
Ressource — Die Ressource, die von der Aktion betroffen ist. AWS CloudHSM unterstützt keine Berechtigungen auf Ressourcenebene. Sie müssen den Platzhalter „*“ verwenden, um alle Ressourcen anzugeben. AWS CloudHSM
-
Condition: Sie können optional Bedingungen verwenden, um zu steuern, wann die Richtlinie wirksam ist. Weitere Informationen finden Sie unter Bedingungsschlüssel für AWS CloudHSM.
Weitere Informationen finden Sie im IAM-Benutzerhandbuch.
API-Aktionen für AWS CloudHSM
Im Action-Element Ihrer IAM-Richtlinienerklärung können Sie jede API-Aktion angeben, die AWS CloudHSM angeboten wird. Dem Namen der Aktion muss wie im folgenden Beispiel die Zeichenfolge cloudhsm: in Kleinbuchstaben vorangestellt werden.
"Action": "cloudhsm:DescribeClusters"Wenn Sie mehrere Aktionen in einer einzigen Anweisung angeben möchten, setzen Sie sie in eckige Klammern und trennen Sie sie wie im folgenden Beispiel dargestellt durch Kommas.
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]Sie können auch mehrere Aktionen mithilfe des Platzhalters * angeben. Im folgenden Beispiel werden alle API-Aktionsnamen angegeben AWS CloudHSM , die mit List beginnen.
"Action": "cloudhsm:List*"Um alle API-Aktionen für anzugeben AWS CloudHSM, verwenden Sie den Platzhalter *, wie im folgenden Beispiel gezeigt.
"Action": "cloudhsm:*"Eine Liste der API-Aktionen für finden Sie AWS CloudHSM unter AWS CloudHSM Aktionen.
Bedingungsschlüssel für AWS CloudHSM
Beim Erstellen einer Richtlinie können Sie die Bedingungen angeben, die steuern, wann die Richtlinie wirksam wird. Jede Bedingung enthält ein oder mehrere Schlüssel-Wert-Paare. Es gibt globale Bedingungsschlüssel und servicespezifische Bedingungsschlüssel.
AWS CloudHSM hat keine dienstspezifischen Kontextschlüssel.
Weitere Informationen über globale Bedingungsschlüssel finden Sie unter Globale Bedingungskontextschlüssel in AWS im IAM-Benutzer-Leitfaden.
Vordefinierte AWS-verwaltete Richtlinien für AWS CloudHSM
Die von AWS erstellten verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für häufige Anwendungsfälle. Sie können diese Richtlinien basierend auf dem erforderlichen Zugriff auf AWS CloudHSM an IAM-Benutzer anfügen:
-
AWSCloudHSMFullZugriff — Gewährt vollen Zugriff, der für die Nutzung der AWS CloudHSM Funktionen erforderlich ist.
-
AWSCloudHSMReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf AWS CloudHSM Funktionen.
Vom Kunden verwaltete Richtlinien für AWS CloudHSM
Wir empfehlen Ihnen, dafür eine IAM-Administratorgruppe zu erstellen AWS CloudHSM , die nur die für die Ausführung AWS CloudHSM erforderlichen Berechtigungen enthält. Fügen Sie die Richtlinie mit den benötigten Berechtigungen an diese Gruppe an. Fügen Sie der Gruppe bei Bedarf IAM-Benutzer hinzu. Jeder hinzugefügte Benutzer erbt die Richtlinie von der Administratorgruppe.
Außerdem empfehlen wir, zusätzliche Benutzergruppen basierend auf den Berechtigungen zu erstellen, die die jeweiligen Benutzer benötigen. Dadurch wird sichergestellt, dass nur vertrauenswürdige Benutzer Zugriff auf kritische API-Aktionen erhalten. Sie könnten beispielsweise eine Benutzergruppe erstellen, mit der Sie Clustern und nur Lesezugriff gewähren. HSMs Da diese Gruppe es einem Benutzer nicht erlaubt, Cluster zu löschen HSMs, oder ein nicht vertrauenswürdiger Benutzer kann die Verfügbarkeit eines Produktions-Workloads nicht beeinflussen.
Da im Laufe der Zeit neue AWS CloudHSM Verwaltungsfunktionen hinzugefügt werden, können Sie sicherstellen, dass nur vertrauenswürdige Benutzer sofort Zugriff erhalten. Indem Sie den Richtlinien bei der Erstellung begrenzte Berechtigungen zuweisen, können Sie diesen zu einem späteren Zeitpunkt neue Funktionsberechtigungen manuell zuweisen.
Im Folgenden finden Sie Beispielrichtlinien für AWS CloudHSM. Informationen zum Erstellen einer Richtlinie und zum Anfügen an eine IAM-Benutzergruppe finden Sie unter Erstellen von Richtlinien auf der Registerkarte „JSON“ im IAM-Benutzer-Leitfaden.
Beispiele
Beispiel: Berechtigungen mit Schreibschutz
Diese Richtlinie gewährt Zugriff auf die API-Aktionen DescribeClusters und DescribeBackups. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 Amazon-API-Aktionen. Es erlaubt dem Benutzer nicht, Cluster zu löschen oder HSMs.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
Beispiel: Berechtigungen für Hauptbenutzer
Diese Richtlinie ermöglicht den Zugriff auf eine Teilmenge der AWS CloudHSM API-Aktionen. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 Amazon-Aktionen. Es erlaubt dem Benutzer nicht, Cluster zu löschen oder HSMs. Sie müssen die iam:CreateServiceLinkedRole Aktion angeben, mit der die automatische Erstellung der mit dem AWSServiceRoleForCloudHSM-Dienst verknüpften Rolle in Ihrem Konto ermöglicht AWS CloudHSM wird. Diese Rolle ermöglicht das AWS CloudHSM Protokollieren von Ereignissen. Weitere Informationen finden Sie unter Mit Diensten verknüpfte Rollen für AWS CloudHSM.
Anmerkung
Eine Liste der Aktionen in jedem Service finden Sie unter Aktionen, Ressourcen und Konditionsschlüssel für AWS CloudHSM in der Referenz zur Serviceberechtigung.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
Beispiel: Berechtigungen für Administratoren
Diese Richtlinie ermöglicht den Zugriff auf alle AWS CloudHSM API-Aktionen, einschließlich der Aktionen zum Löschen HSMs und Clustern. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 Amazon-Aktionen. Sie müssen die iam:CreateServiceLinkedRole Aktion angeben, um die automatische Erstellung der mit dem AWSServiceRoleForCloudHSM-Service verknüpften Rolle in Ihrem Konto zu ermöglichen AWS CloudHSM . Diese Rolle ermöglicht das AWS CloudHSM Protokollieren von Ereignissen. Weitere Informationen finden Sie unter Mit Diensten verknüpfte Rollen für AWS CloudHSM.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }
