Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontrollieren Sie den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher
Sie verwenden IAM Richtlinien, um den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher und Ihren AWS CloudHSM Cluster zu kontrollieren. Sie können wichtige Richtlinien, IAM Richtlinien und Genehmigungen verwenden, um den Zugriff auf den Schlüsselspeicher AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher zu kontrollieren. Sie sollten Benutzern, Gruppen und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.
Themen
Autorisieren von Managern und Benutzern von AWS CloudHSM Key-Stores
Achten Sie beim Entwerfen Ihres AWS CloudHSM Schlüsselspeichers darauf, dass die Prinzipale, die ihn verwenden und verwalten, nur über die erforderlichen Berechtigungen verfügen. In der folgenden Liste werden die Mindestberechtigungen beschrieben, die für Manager und Benutzer von AWS CloudHSM Schlüsselspeichern erforderlich sind.
-
Prinzipale, die Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwalten, benötigen die folgenden Berechtigungen, um die AWS CloudHSM API Schlüsselspeicheroperationen verwenden zu können.
-
cloudhsm:DescribeClusters -
kms:CreateCustomKeyStore -
kms:ConnectCustomKeyStore -
kms:DeleteCustomKeyStore -
kms:DescribeCustomKeyStores -
kms:DisconnectCustomKeyStore -
kms:UpdateCustomKeyStore -
iam:CreateServiceLinkedRole
-
-
Principals, die den AWS CloudHSM Cluster erstellen und verwalten, der Ihrem AWS CloudHSM Schlüsselspeicher zugeordnet ist, benötigen die Erlaubnis, einen Cluster zu erstellen und zu initialisieren. AWS CloudHSM Dies beinhaltet die Erlaubnis, eine Amazon Virtual Private Cloud (VPC) zu erstellen oder zu verwenden, Subnetze zu erstellen und eine EC2 Amazon-Instance zu erstellen. Möglicherweise müssen sie auch Backups erstellenHSMs, löschen und verwalten. Eine Liste der erforderlichen Berechtigungen finden Sie unter Identitäts- und Zugriffsverwaltung für AWS CloudHSM im AWS CloudHSM Benutzerhandbuch.
-
Principals, die AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher Daten erstellen und verwalten, benötigen dieselben Berechtigungen wie Benutzer, die KMS Schlüssel in AWS KMS erstellen und verwalten. Die Standard-Schlüsselrichtlinie für einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist identisch mit der Standard-Schlüsselrichtlinie für KMS Schlüssel in AWS KMS. Die attributebasierte Zugriffskontrolle (ABAC), die Tags und Aliase verwendet, um den Zugriff auf KMS Schlüssel zu kontrollieren, ist auch für Schlüssel in KMS Schlüsselspeichern wirksam. AWS CloudHSM
-
Prinzipale, die die KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher für kryptografische Operationen verwenden, benötigen eine Genehmigung, um die kryptografische Operation mit dem Schlüssel durchzuführen, z. B. kms:Decrypt. KMS Sie können diese Berechtigungen in einer wichtigen Richtlinie, der Richtlinie, bereitstellen. IAM Sie benötigen jedoch keine zusätzlichen Berechtigungen, um einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu verwenden.
Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon-Ressourcen EC2
Um Ihre AWS CloudHSM wichtigsten Speicher zu unterstützen, ist eine Genehmigung AWS KMS erforderlich, um Informationen über Ihre AWS CloudHSM Cluster abzurufen. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstbezogene Rolle in Ihrem AWS-Konto. Benutzer, die AWS CloudHSM Schlüsselspeicher erstellen, müssen über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügen, um dienstbezogene Rollen zu erstellen.
Themen
Über die AWS KMS dienstverknüpfte Rolle
Eine dienstbezogene Rolle ist eine IAM Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM Richtlinien erstellen und verwalten zu müssen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS KMS.
Für AWS CloudHSM Schlüsselspeicher AWS KMS wird die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstbezogene Rolle mit der AWSKeyManagementServiceCustomKeyStoresServiceRolePolicyRichtlinie erstellt. Diese Richtlinie gewährt der Rolle die folgenden Berechtigungen:
-
cloudHSM:Describe* — erkennt Änderungen im AWS CloudHSM Cluster, der an Ihren benutzerdefinierten Schlüsselspeicher angehängt ist.
-
ec2: CreateSecurityGroup — wird verwendet, wenn Sie einen AWS CloudHSM Schlüsselspeicher verbinden, um die Sicherheitsgruppe zu erstellen, die den Netzwerkdatenfluss zwischen und Ihrem Cluster ermöglicht. AWS KMS AWS CloudHSM
-
ec2: AuthorizeSecurityGroupIngress — wird verwendet, wenn Sie eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herstellen, um den Netzwerkzugriff von dort aus zu ermöglichen, AWS KMS in dem VPC sich Ihr AWS CloudHSM Cluster befindet.
-
ec2: CreateNetworkInterface — wird verwendet, wenn Sie einen AWS CloudHSM Schlüsselspeicher verbinden, um die Netzwerkschnittstelle zu erstellen, die für die Kommunikation zwischen dem Cluster AWS KMS und dem AWS CloudHSM Cluster verwendet wird.
-
ec2: RevokeSecurityGroupEgress — wird verwendet, wenn Sie eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herstellen, um alle ausgehenden Regeln aus der Sicherheitsgruppe zu entfernen, die erstellt wurde. AWS KMS
-
ec2: DeleteSecurityGroup — wird verwendet, wenn Sie die Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen, um Sicherheitsgruppen zu löschen, die beim Verbinden mit dem AWS CloudHSM Schlüsselspeicher erstellt wurden.
-
ec2: DescribeSecurityGroups — wird verwendet, um Änderungen an der Sicherheitsgruppe zu überwachen, die in der Sicherheitsgruppe AWS KMS erstellt wurdeVPC, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen eindeutige Fehlermeldungen ausgegeben werden AWS KMS können.
-
ec2: DescribeVpcs — wird verwendet, um Änderungen in der Umgebung VPC Ihres AWS CloudHSM Clusters zu überwachen, sodass bei Ausfällen eindeutige Fehlermeldungen ausgegeben werden AWS KMS können.
-
ec2: DescribeNetworkAcls — wird verwendet, um Änderungen im Netzwerk ACLs des VPC AWS CloudHSM Clusters zu überwachen, sodass bei AWS KMS Ausfällen eindeutige Fehlermeldungen ausgegeben werden können.
-
ec2: DescribeNetworkInterfaces — wird verwendet, um Änderungen an den Netzwerkschnittstellen zu überwachen, die in demVPC, in dem sich Ihr AWS CloudHSM Cluster befindet, AWS KMS erstellt wurden, sodass bei Ausfällen eindeutige Fehlermeldungen ausgegeben werden AWS KMS können.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }
Da die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstgebundene Rolle nur vertrauenswürdig istcks.kms.amazonaws.com, AWS KMS kann sie nur diese dienstgebundene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, die zum Anzeigen Ihrer AWS CloudHSM Cluster und zum Verbinden eines AWS CloudHSM Schlüsselspeichers mit dem zugehörigen Cluster AWS KMS erforderlich sind. AWS CloudHSM Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. Sie ist beispielsweise AWS KMS nicht berechtigt, Ihre AWS CloudHSM Cluster oder Backups zu erstellenHSMs, zu verwalten oder zu löschen.
Regionen
Wie die Funktion „ AWS CloudHSM Schlüsselspeicher“ wird die AWSServiceRoleForKeyManagementServiceCustomKeyStoresRolle AWS-Regionen überall unterstützt AWS KMS und AWS CloudHSM ist verfügbar. Eine Liste der Funktionen AWS-Regionen , die von den einzelnen Diensten unterstützt werden, finden Sie unter AWS Key Management Service Endpunkte und Kontingente und AWS CloudHSM Endpunkte und Kontingente in der. Allgemeine Amazon Web Services-Referenz
Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter Verwenden von dienstbezogenen Rollen im Benutzerhandbuch. IAM
Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstverknüpfte Rolle in Ihrem AWS-Konto , wenn Sie einen AWS CloudHSM Schlüsselspeicher erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Rollennamen oder die Richtlinienanweisungen in der AWSServiceRoleForKeyManagementServiceCustomKeyStoresserviceverknüpften Rolle nicht bearbeiten, aber Sie können die Rollenbeschreibung bearbeiten. Anweisungen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.
Löschen der serviceverknüpften Rolle
AWS KMS löscht die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstverknüpfte Rolle nicht aus Ihrem, AWS-Konto auch wenn Sie alle Ihre AWS CloudHSM Schlüsselspeicher gelöscht haben. Derzeit gibt es zwar kein Verfahren zum Löschen der AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstbezogenen Rolle, AWS KMS nimmt diese Rolle jedoch nicht an und verwendet auch nicht ihre Berechtigungen, sofern Sie nicht über aktive AWS CloudHSM Schlüsselspeicher verfügen.
