Kontrollieren Sie den Zugang zu Ihrem AWS CloudHSM Schlüsselspeicher - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontrollieren Sie den Zugang zu Ihrem AWS CloudHSM Schlüsselspeicher

Sie verwenden IAM Richtlinien, um den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher und Ihren AWS CloudHSM Cluster zu kontrollieren. Sie können wichtige Richtlinien, IAM Richtlinien und Genehmigungen verwenden, um den Zugriff auf den Schlüsselspeicher AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher zu kontrollieren. Sie sollten Benutzern, Gruppen und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.

Um Ihre AWS CloudHSM Schlüsselspeicher zu unterstützen, AWS KMS ist eine Genehmigung zum Abrufen von Informationen über Ihre AWS CloudHSM Cluster erforderlich. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstbezogene Rolle in Ihrem AWS-Konto. Weitere Informationen finden Sie unter Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon-Ressourcen EC2.

Achten Sie beim Entwerfen Ihres AWS CloudHSM Schlüsselspeichers darauf, dass die Prinzipale, die ihn verwenden und verwalten, nur über die erforderlichen Berechtigungen verfügen. In der folgenden Liste werden die Mindestberechtigungen beschrieben, die für Manager und Benutzer von AWS CloudHSM Schlüsselspeichern erforderlich sind.

  • Prinzipale, die Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwalten, benötigen die folgenden Berechtigungen, um die AWS CloudHSM API Schlüsselspeicheroperationen verwenden zu können.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • Principals, die den AWS CloudHSM Cluster erstellen und verwalten, der Ihrem AWS CloudHSM Schlüsselspeicher zugeordnet ist, benötigen die Erlaubnis, einen Cluster zu erstellen und zu initialisieren. AWS CloudHSM Dies beinhaltet die Erlaubnis, eine Amazon Virtual Private Cloud (VPC) zu erstellen oder zu verwenden, Subnetze zu erstellen und eine EC2 Amazon-Instance zu erstellen. Möglicherweise müssen sie auch Backups erstellenHSMs, löschen und verwalten. Eine Liste der erforderlichen Berechtigungen finden Sie unter Identitäts- und Zugriffsverwaltung für AWS CloudHSM im AWS CloudHSM Benutzerhandbuch.

  • Principals, die AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher Daten erstellen und verwalten, benötigen dieselben Berechtigungen wie Benutzer, die KMS Schlüssel in AWS KMS erstellen und verwalten. Die Standard-Schlüsselrichtlinie für einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist identisch mit der Standard-Schlüsselrichtlinie für KMS Schlüssel in AWS KMS. Die attributebasierte Zugriffskontrolle (ABAC), die Tags und Aliase verwendet, um den Zugriff auf KMS Schlüssel zu kontrollieren, ist auch für Schlüssel in KMS Schlüsselspeichern wirksam. AWS CloudHSM

  • Prinzipale, die die KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher für kryptografische Operationen verwenden, benötigen eine Genehmigung, um die kryptografische Operation mit dem Schlüssel durchzuführen, z. B. kms:Decrypt. KMS Sie können diese Berechtigungen in einer wichtigen Richtlinie, der Richtlinie, bereitstellen. IAM Sie benötigen jedoch keine zusätzlichen Berechtigungen, um einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu verwenden.