Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs auf Ihren AWS CloudHSM-Schlüsselspeicher
Sie verwenden IAM-Richtlinien, um den Zugriff auf Ihren AWS CloudHSM-Schlüsselspeicher und Ihr AWS CloudHSM-Cluster zu steuern. Sie können Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen verwenden, um den Zugriff auf die AWS KMS keys in Ihrem AWS CloudHSM-Schlüsselspeicher zu steuern. Sie sollten Benutzern, Gruppen und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.
Themen
Autorisierung von Managern und Benutzern des AWS CloudHSM-Schlüsselspeichers
Achten Sie beim Entwerfen Ihres AWS CloudHSM-Schlüsselspeichers darauf, dass die Prinzipale, die diesen verwenden und verwalten, ausschließlich die Berechtigungen erhalten, die sie benötigen. Die folgende Liste beschreibt die Mindestberechtigungen, die Manager und Benutzer von AWS CloudHSM-Schlüsselspeichern benötigen.
-
Prinzipale, die Ihre AWS CloudHSM-Schlüsselspeicher erstellen und verwalten, benötigen die folgende Berechtigung, um die API-Operationen des AWS CloudHSM-Schlüsselspeichers verwenden zu können.
-
cloudhsm:DescribeClusters
-
kms:CreateCustomKeyStore
-
kms:ConnectCustomKeyStore
-
kms:DeleteCustomKeyStore
-
kms:DescribeCustomKeyStores
-
kms:DisconnectCustomKeyStore
-
kms:UpdateCustomKeyStore
-
iam:CreateServiceLinkedRole
-
-
Prinzipale, die den mit Ihrem AWS CloudHSM-Schlüsselspeicher verknüpften AWS CloudHSM-Cluster erstellen und verwalten, benötigen eine Berechtigung zum Erstellen und Initialisieren von AWS CloudHSM-Clustern. Dies schließt die Berechtigung zum Erstellen oder Verwenden einer Amazon Virtual Private Cloud (VPC), zum Erstellen von Subnetzen und zum Erstellen einer Amazon-EC2-Instance ein. Sie müssen möglicherweise auch HSMs erstellen und löschen und Sicherungen verwalten. Eine Liste der erforderlichen Berechtigungen finden Sie unter Identitäts- und Zugriffsverwaltung für AWS CloudHSM im AWS CloudHSM Benutzerhandbuch.
-
Prinzipale, die AWS KMS keys in Ihrem AWS CloudHSM-Schlüsselspeicher erstellen und verwalten, benötigen die gleichen Berechtigungen wie Prinzipale, die KMS-Schlüssel in AWS KMS erstellen und verwalten. Die Standard-Schlüsselrichtlinie für CMKs in AWS CloudHSM-Schlüsselspeichern ist identisch mit der Standard-Schlüsselrichtlinie für CMKs in AWS KMS. Attributbasierte Zugriffssteuerung (ABAC), das Tags und Aliasse verwendet, um den Zugriff auf KMS-Schlüssel zu steuern, ist auch für KMS-Schlüssel in AWS CloudHSM-Schlüsselspeichern wirksam.
-
Prinzipale, die die KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher für kryptografische Vorgänge verwenden, benötigen die Berechtigung zum Ausführen der kryptografischen Operation mit dem KMS-Schlüssel, z. B. kms:Decrypt. Sie können diese Berechtigungen in einer Schlüsselrichtlinie oder einer IAM-Richtlinie bereitstellen. Sie benötigen keine zusätzlichen Berechtigungen, um einen KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher verwenden zu können.
Autorisieren von AWS KMS für die Verwaltung von AWS CloudHSM- und Amazon-EC2-Ressourcen
Um Ihre AWS CloudHSM-Schlüsselspeicher zu verwalten, benötigt AWS KMS die Berechtigung zum Abrufen von Informationen zu Ihren AWS CloudHSM-Clustern. Darüber hinaus werden Berechtigungen zum Erstellen der Netzwerkinfrastruktur benötigt, die Ihren AWS CloudHSM-Schlüsselspeicher mit dessen –AWS CloudHSMCluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die AWSServiceRoleForKeyManagementServiceCustomKeyStores serviceverknüpfte Rolle in Ihrem AWS-Konto. Benutzer, die AWS CloudHSM-Schlüsselspeicher erstellen, müssen die Berechtigung iam:CreateServiceLinkedRole
zum Erstellen serviceverknüpfter Rollen besitzen.
Themen
Über die serviceverknüpfte Rolle AWS KMS
Eine serviceverknüpfte Rolle ist eine IAM-Rolle, die einem AWS-Service die Berechtigung gewährt, in Ihrem Namen andere AWS-Services aufzurufen. Sie soll die Verwendung der Funktionen mehrerer integrierter AWS-Services für Sie vereinfachen, da Sie keine komplexen IAM-Richtlinien erstellen und verwalten müssen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS KMS.
Für -AWS CloudHSMSchlüsselspeicher AWS KMS erstellt die AWSServiceRoleForKeyManagementServiceCustomKeyStores serviceverknüpfte Rolle mit der AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy Richtlinie . Diese Richtlinie gewährt der Rolle die folgenden Berechtigungen:
-
cloudhsm:Describe* – erkennt Änderungen in dem AWS CloudHSM Cluster, der an Ihren benutzerdefinierten Schlüsselspeicher angehängt ist.
-
ec2:CreateSecurityGroup – Wird verwendet, wenn Sie einen -AWS CloudHSMSchlüsselspeicher verbinden, um die Sicherheitsgruppe zu erstellen, die den Netzwerkverkehr zwischen AWS KMS und Ihrem AWS CloudHSM Cluster ermöglicht.
-
ec2:AuthorizeSecurityGroupIngress – Wird verwendet, wenn Sie einen -AWS CloudHSMSchlüsselspeicher verbinden, um den Netzwerkzugriff von AWS KMS in die VPC zu ermöglichen, die Ihren AWS CloudHSM Cluster enthält.
-
ec2:CreateNetworkInterface – Wird verwendet, wenn Sie einen -AWS CloudHSMSchlüsselspeicher verbinden, um die Netzwerkschnittstelle zu erstellen, die für die Kommunikation zwischen AWS KMS und dem AWS CloudHSM Cluster verwendet wird.
-
ec2:RevokeSecurityGroupEgress – Wird verwendet, wenn Sie einen -AWS CloudHSMSchlüsselspeicher verbinden, um alle ausgehenden Regeln aus der Sicherheitsgruppe zu entfernen, die AWS KMS erstellt hat.
-
ec2:DeleteSecurityGroup – Wird verwendet, wenn Sie einen -AWS CloudHSMSchlüsselspeicher trennen, um Sicherheitsgruppen zu löschen, die beim Verbinden des -AWS CloudHSMSchlüsselspeichers erstellt wurden.
-
ec2:DescribeSecurityGroups – Wird verwendet, um Änderungen an der Sicherheitsgruppe zu überwachen, die in der VPC AWS KMS erstellt hat, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen bereitstellen AWS KMS kann.
-
ec2:DescribeVpcs – Wird verwendet, um Änderungen in der VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen bereitstellen AWS KMS kann.
-
ec2:DescribeNetworkAcls – Wird verwendet, um Änderungen an den Netzwerk-ACLs für die VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen bereitstellen AWS KMS kann.
-
ec2:DescribeNetworkInterfaces – Wird verwendet, um Änderungen an den Netzwerkschnittstellen zu überwachen, die in der VPC AWS KMS erstellt hat, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen bereitstellen AWS KMS kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }
Da die AWSServiceRoleForKeyManagementServiceCustomKeyStores serviceverknüpfte Rolle nur vertrautcks.kms.amazonaws.com
, AWS KMS kann nur diese serviceverknüpfte Rolle übernehmen. Diese Rolle ist auf die Operationen beschränkt, die AWS KMS benötigt, um Ihre AWS CloudHSM-Cluster anzuzeigen und einen AWS CloudHSM-Schlüsselspeicher mit dem zugehörigen AWS CloudHSM-Cluster zu verbinden. AWS KMS werden keine weiteren Berechtigungen erteilt. Beispielsweise ist AWS KMS nicht zum Erstellen, Verwalten oder Löschen Ihrer AWS CloudHSM-Cluster, HSMs oder Sicherungen berechtigt.
Regionen
Wie die -AWS CloudHSMSchlüsselspeicherfunktion wird die AWSServiceRoleForKeyManagementServiceCustomKeyStores Rolle in allen unterstützt, in AWS-Regionen denen AWS KMS und verfügbar AWS CloudHSM sind. Eine Liste von AWS-Regionen, die jeder Service unterstützt, finden Sie unter AWS Key Management Service-Endpunkte und -Kontingente und AWS CloudHSM-Endpunkte und -Kontingente in der Allgemeine Amazon Web Services-Referenz.
Weitere Informationen darüber, wie AWS-Services serviceverknüpften Rollen verwenden, finden Sie unter Verwenden von serviceverknüpften Rollen im IAM-Benutzerhandbuch.
Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die AWSServiceRoleForKeyManagementServiceCustomKeyStores serviceverknüpfte Rolle in Ihrem , AWS-Konto wenn Sie einen -AWS CloudHSMSchlüsselspeicher erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Namen der Rolle oder die Richtlinienanweisungen in der serviceverknüpften Rolle AWSServiceRoleForKeyManagementServiceCustomKeyStores nicht bearbeiten. Sie können jedoch die Beschreibung der Rolle bearbeiten. Anweisungen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen der serviceverknüpften Rolle
AWS KMS löscht die AWSServiceRoleForKeyManagementServiceCustomKeyStores serviceverknüpfte Rolle nicht aus Ihrem , AWS-Konto selbst wenn Sie alle Ihre -AWS CloudHSMSchlüsselspeicher gelöscht haben. Obwohl es derzeit kein Verfahren zum Löschen der AWSServiceRoleForKeyManagementServiceCustomKeyStores serviceverknüpften Rolle gibt, übernimmt diese Rolle AWS KMS nicht und verwendet ihre Berechtigungen nicht, es sei denn, Sie haben aktive AWS CloudHSM Schlüsselspeicher.