Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de claves
Al crear una granja nueva, puede elegir una de las siguientes claves para cifrar los datos de la granja:
-
AWS clave KMS propia: tipo de cifrado predeterminado si no especificas una clave al crear la granja. La clave KMS es propiedad de AWS Deadline Cloud. No puede ver, administrar ni usar las claves AWS propias. Sin embargo, no es necesario que realices ninguna acción para proteger las claves que cifran tus datos. Para obtener más información, consulta las claves AWS propias en la guía para AWS Key Management Service desarrolladores.
-
Clave de KMS gestionada por el cliente: al crear una granja, se especifica una clave gestionada por el cliente. Todo el contenido de la granja se cifra con la clave KMS. La clave se almacena en su cuenta y es usted quien la crea, es de su propiedad y la administra, por lo que se aplican AWS KMS cargos. Usted controla plenamente la clave KMS. Puede realizar tareas como las siguientes:
-
Establecer y mantener políticas clave
-
Establecer y mantener concesiones y políticas de IAM
-
Habilitar y deshabilitar políticas de claves
-
Agregar etiquetas.
-
Crear alias de clave
No se puede rotar manualmente una clave propiedad del cliente que se utiliza en una Deadline Cloud granja. Se admite la rotación automática de la llave.
Para obtener más información, consulte las claves propiedad del cliente en la Guía para AWS Key Management Service desarrolladores.
Para crear una clave gestionada por el cliente, sigue los pasos para crear claves simétricas gestionadas por el cliente que se indican en la Guía para AWS Key Management Service desarrolladores.
-
¿Cómo Deadline Cloud utilizar las subvenciones AWS KMS
Deadline Cloud requiere una concesión para utilizar la clave gestionada por el cliente. Cuando crea una granja cifrada con una clave gestionada por el cliente, Deadline Cloud crea una concesión en su nombre enviando una CreateGrant solicitud AWS KMS para obtener acceso a la clave KMS que especificó.
Deadline Cloud utiliza varias concesiones. Cada subvención es utilizada por una parte diferente Deadline Cloud que necesita cifrar o descifrar sus datos. Deadline Cloud también utiliza subvenciones para permitir el acceso a otros AWS servicios que se utilizan para almacenar datos en su nombre, como Amazon Simple Storage Service, Amazon Elastic Block Store o OpenSearch.
Las subvenciones que permiten Deadline Cloud gestionar las máquinas de una flota gestionada por un servicio incluyen un número de Deadline Cloud
cuenta y una función en el centro del servicio, en GranteePrincipal lugar de un director de servicio. Si bien no es habitual, esto es necesario para cifrar los volúmenes de Amazon EBS para los trabajadores de las flotas gestionadas por el servicio mediante la clave de KMS gestionada por el cliente especificada para la granja.
Política de claves administradas por el cliente
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave debe tener exactamente una política de claves que contenga instrucciones que determinen quién puede usar la clave y cómo puede usarla. Al crear la clave gestionada por el cliente, puede especificar una política clave. Para obtener más información, consulte Administración del acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .
Política de IAM mínima para CreateFarm
Para usar la clave administrada por el cliente para crear granjas mediante la consola o la operación de CreateFarm API, deben estar permitidas las siguientes operaciones de AWS KMS API:
-
kms:CreateGrant: añade una concesión a una clave administrada por el cliente. Concede acceso a la consola a una AWS KMS clave específica. Para obtener más información, consulta Cómo usar las subvenciones en la guía para AWS Key Management Service desarrolladores. -
kms:Decrypt— Permite Deadline Cloud descifrar los datos de la granja. -
kms:DescribeKey— Proporciona los detalles clave gestionados por el cliente Deadline Cloud para permitir su validación. -
kms:GenerateDataKey— Permite cifrar Deadline Cloud los datos mediante una clave de datos única.
La siguiente declaración de política otorga los permisos necesarios para la CreateFarm operación.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeadlineCreateGrants", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "arn:aws::kms:us-west-2:111122223333:key/1234567890abcdef0", "Condition": { "StringEquals": { "kms:ViaService": "deadline.us-west-2.amazonaws.com" } } } ] }
Política de IAM mínima para operaciones de solo lectura
Utilizar la clave gestionada por el cliente para Deadline Cloud operaciones de solo lectura, como obtener información sobre granjas, colas y flotas. Se deben permitir las siguientes operaciones AWS KMS de API:
-
kms:Decrypt— Permite Deadline Cloud descifrar los datos de la granja. -
kms:DescribeKey— Proporciona los detalles clave gestionados por el cliente Deadline Cloud para permitir su validación.
La siguiente declaración de política otorga los permisos necesarios para las operaciones de solo lectura.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeadlineReadOnly", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Condition": { "StringEquals": { "kms:ViaService": "deadline.us-west-2.amazonaws.com" } } } ] }
Política de IAM mínima para las operaciones de lectura-escritura
Utilizar la clave gestionada por el cliente para Deadline Cloud operaciones de lectura-escritura, como la creación y actualización de granjas, colas y flotas. Deben permitirse las siguientes operaciones AWS KMS de API:
-
kms:Decrypt— Permite Deadline Cloud descifrar los datos de la granja. -
kms:DescribeKey— Proporciona los detalles clave gestionados por el cliente Deadline Cloud para permitir su validación. -
kms:GenerateDataKey— Permite cifrar Deadline Cloud los datos mediante una clave de datos única.
La siguiente declaración de política otorga los permisos necesarios para la CreateFarm operación.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeadlineReadWrite", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", ], "Resource": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Condition": { "StringEquals": { "kms:ViaService": "deadline.us-west-2.amazonaws.com" } } } ] }
Supervisión de sus claves de cifrado
Cuando utilizas una clave gestionada por el AWS KMS cliente en tus Deadline Cloud granjas, puedes utilizar AWS CloudTrailAmazon CloudWatch Logs para realizar un seguimiento de las solicitudes que se Deadline Cloud envían a AWS KMS.
CloudTrail evento de concesión de subvenciones
El siguiente CloudTrail evento de ejemplo se produce cuando se crean las concesiones, normalmente cuando se llama a la CreateFleet operación CreateFarmCreateMonitor, o.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01", "arn": "arn:aws::sts::111122223333:assumed-role/Admin/SampleUser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE3", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws::iam::111122223333:role/Admin", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-04-23T02:05:26Z", "mfaAuthenticated": "false" } }, "invokedBy": "deadline.amazonaws.com" }, "eventTime": "2024-04-23T02:05:35Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "deadline.amazonaws.com", "userAgent": "deadline.amazonaws.com", "requestParameters": { "operations": [ "CreateGrant", "Decrypt", "DescribeKey", "Encrypt", "GenerateDataKey" ], "constraints": { "encryptionContextSubset": { "aws:deadline:farmId": "farm-abcdef12345678900987654321fedcba", "aws:deadline:accountId": "111122223333" } }, "granteePrincipal": "deadline.amazonaws.com", "keyId": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "retiringPrincipal": "deadline.amazonaws.com" }, "responseElements": { "grantId": "6bbe819394822a400fe5e3a75d0e9ef16c1733143fff0c1fc00dc7ac282a18a0", "keyId": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "readOnly": false, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE44444" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
CloudTrail evento de descifrado
El siguiente CloudTrail evento de ejemplo se produce al descifrar valores mediante la clave KMS administrada por el cliente.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01", "arn": "arn:aws::sts::111122223333:assumed-role/SampleRole/SampleUser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws::iam::111122223333:role/SampleRole", "accountId": "111122223333", "userName": "SampleRole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-04-23T18:46:51Z", "mfaAuthenticated": "false" } }, "invokedBy": "deadline.amazonaws.com" }, "eventTime": "2024-04-23T18:51:44Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "deadline.amazonaws.com", "userAgent": "deadline.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:deadline:farmId": "farm-abcdef12345678900987654321fedcba", "aws:deadline:accountId": "111122223333", "aws-crypto-public-key": "AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==" }, "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "responseElements": null, "requestID": "aaaaaaaa-bbbb-cccc-dddd-eeeeeeffffff", "eventID": "ffffffff-eeee-dddd-cccc-bbbbbbaaaaaa", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
CloudTrail evento de cifrado
El siguiente CloudTrail evento de ejemplo se produce al cifrar valores mediante la clave KMS administrada por el cliente.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01", "arn": "arn:aws::sts::111122223333:assumed-role/SampleRole/SampleUser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws::iam::111122223333:role/SampleRole", "accountId": "111122223333", "userName": "SampleRole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-04-23T18:46:51Z", "mfaAuthenticated": "false" } }, "invokedBy": "deadline.amazonaws.com" }, "eventTime": "2024-04-23T18:52:40Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "deadline.amazonaws.com", "userAgent": "deadline.amazonaws.com", "requestParameters": { "numberOfBytes": 32, "encryptionContext": { "aws:deadline:farmId": "farm-abcdef12345678900987654321fedcba", "aws:deadline:accountId": "111122223333", "aws-crypto-public-key": "AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==" }, "keyId": "arn:aws::kms:us-west-2:111122223333:key/abcdef12-3456-7890-0987-654321fedcba" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Eliminar una clave KMS administrada por el cliente
Eliminar una clave de KMS gestionada por el cliente en AWS Key Management Service (AWS KMS) es destructivo y potencialmente peligroso. Elimina el material de claves y todos los metadatos asociados con la clave. Esta acción es irreversible. Una vez que se elimina una clave KMS administrada por el cliente, ya no puede descifrar los datos que se habían cifrado con ella. Esto significa que los datos se vuelven irrecuperables.
Por eso, los AWS KMS clientes tienen un período de espera de hasta 30 días antes de eliminar la clave KMS. El periodo de espera predeterminado es de 30 días.
Acerca del período de espera
Dado que eliminar una clave de KMS gestionada por el cliente es destructivo y potencialmente peligroso, te pedimos que establezcas un período de espera de 7 a 30 días. El periodo de espera predeterminado es de 30 días.
Sin embargo, el período de espera real puede ser hasta 24 horas más largo que el período que programaste. Para obtener la fecha y la hora reales en las que se eliminará la clave, utilice el DescribeKeyoperación. O en la consola AWS KMS, en la página de detalles para la clave, en la sección Configuración general, consulte la eliminación programada. Fíjese en la zona horaria.
Durante el periodo de espera, el estado de la clave administrada por el cliente y el estado de la clave es Eliminación pendiente.
-
Una clave KMS administrada por el cliente que está pendiente de eliminación no puede utilizarse en ninguna operación criptográfica.
-
AWS KMS no rota las claves de respaldo de las claves de KMS administradas por el cliente que están pendientes de ser eliminadas.
Para obtener más información sobre cómo eliminar una clave KMS administrada por el cliente, consulte Eliminar las claves maestras del cliente en la Guía para AWS Key Management Service desarrolladores.
