Autorizar a administradores y usuarios del almacén de claves de AWS CloudHSM Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2

Controlar el acceso al almacén de claves de AWS CloudHSM

Utilice las políticas de IAM para controlar el acceso al almacén de claves de AWS CloudHSM y al clúster de AWS CloudHSM. Puede usar las políticas de claves y las políticas de IAM y concesiones para controlar el acceso a las AWS KMS keys en su almacén de claves de AWS CloudHSM. Le recomendamos que únicamente otorgue a los usuarios, grupos y roles los permisos necesarios para las tareas que es probable que se vayan a realizar.

Temas

Autorizar a administradores y usuarios del almacén de claves de AWS CloudHSM
Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2

Autorizar a administradores y usuarios del almacén de claves de AWS CloudHSM

Al diseñar el almacén de claves de AWS CloudHSM, asegúrese de que las entidades principales que usan y administran el almacén dispongan únicamente de los permisos que necesitan. En la siguiente lista se describen los permisos mínimos necesarios para los administradores y usuarios del almacén de claves de AWS CloudHSM.

Las entidades principales que crean y administran el almacén de claves de AWS CloudHSM requieren el siguiente permiso para utilizar las operaciones de API del almacén de claves de AWS CloudHSM.
- cloudhsm:DescribeClusters
- kms:CreateCustomKeyStore
- kms:ConnectCustomKeyStore
- kms:DeleteCustomKeyStore
- kms:DescribeCustomKeyStores
- kms:DisconnectCustomKeyStore
- kms:UpdateCustomKeyStore
- iam:CreateServiceLinkedRole
Las entidades principales que crean y administran el clúster de AWS CloudHSM asociado al almacén de claves de AWS CloudHSM requieren permiso para crear e inicializar un clúster de AWS CloudHSM. Este permiso también les permite crear o utilizar una nube privada virtual (VPC), crear subredes y crear una instancia de Amazon EC2. También es posible que deban crear y eliminar HSM, y administrar copias de seguridad. Para obtener una lista de los permisos necesarios, consulte Administración de identidades y accesos para AWS CloudHSM en la Guía del usuario de AWS CloudHSM.
Las entidades principales que crean y administran AWS KMS keys del almacén de claves de AWS CloudHSM necesitan los mismos permisos que aquellas que crean y administran las claves de KMS en AWS KMS. La política de claves predeterminada para claves de KMS en un almacén de claves de AWS CloudHSM es idéntica a la política de claves predeterminada para claves de KMS en AWS KMS. El control de acceso basado en atributos (ABAC), que utiliza etiquetas y alias para controlar el acceso a las claves de KMS, también es efectivo en claves de KMS de almacenes de claves de AWS CloudHSM.
Las entidades principales que usan las claves de KMS en el almacén de claves de AWS CloudHSM para operaciones criptográficas requieren permiso para realizar la operación criptográfica con la clave de KMS, por ejemplo, kms:Decrypt. Puede proporcionar estos permisos en una política de claves o una política de IAM. Sin embargo, no necesitan más permisos para utilizar una clave de KMS en un almacén de claves de AWS CloudHSM.

Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2

Para dar soporte a los almacenes de claves de AWS CloudHSM, AWS KMS necesita permiso para obtener información de los clústeres de AWS CloudHSM. También necesita permiso para crear la infraestructura de red que conecta el almacén de claves de AWS CloudHSM con su clúster de AWS CloudHSM. Para obtener estos permisos, AWS KMS crea el rol AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculado al servicio en su. Cuenta de AWS Los usuarios que crean almacenes de claves de AWS CloudHSM deben tener el permiso iam:CreateServiceLinkedRole que les permite crear roles vinculados a un servicio.

Temas

Acerca del rol vinculado a un servicio de AWS KMS
Creación del rol vinculado a servicios
Editar la descripción del rol vinculado a un servicio
Eliminar el rol vinculado a servicios

Acerca del rol vinculado a un servicio de AWS KMS

Un rol vinculado a un servicio es un rol de IAM que otorga permiso a un servicio de AWS para llamar a otros servicios de AWS en su nombre. Se ha diseñado para facilitar el uso de las características de múltiples servicios de AWS integrados sin tener que crear ni actualizar políticas de IAM complejas. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS KMS.

En el AWS CloudHSM caso de los almacenes de claves, AWS KMS crea el rol AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculado al servicio con la política. AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy Esta política concede los siguientes permisos al rol:

CloudHSM:Describe*: detecta los cambios en el AWS CloudHSM clúster adjunto a su almacén de claves personalizado.
ec2: CreateSecurityGroup — se utiliza cuando se conecta un almacén de AWS CloudHSM claves para crear el grupo de seguridad que permite el flujo de tráfico de red entre el clúster y el clúster. AWS KMS AWS CloudHSM
ec2: AuthorizeSecurityGroupIngress — se utiliza cuando se conecta un almacén de AWS CloudHSM claves para permitir el acceso a la red desde AWS KMS la VPC que contiene AWS CloudHSM el clúster.
ec2: CreateNetworkInterface — se utiliza cuando se conecta un almacén de AWS CloudHSM claves para crear la interfaz de red que se utiliza para la comunicación entre el clúster AWS KMS y el clúster. AWS CloudHSM
ec2: RevokeSecurityGroupEgress — se utiliza cuando se conecta un almacén de AWS CloudHSM claves para eliminar todas las reglas de salida del grupo de seguridad que lo creó. AWS KMS
ec2: DeleteSecurityGroup — se utiliza cuando se desconecta un almacén de AWS CloudHSM claves para eliminar los grupos de seguridad que se crearon al conectar el AWS CloudHSM almacén de claves.
ec2: DescribeSecurityGroups — se usa para monitorear los cambios en el grupo de seguridad que se AWS KMS creó en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
ec2: DescribeVpcs — se usa para monitorear los cambios en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
ec2: DescribeNetworkAcls — se utiliza para supervisar los cambios en las ACL de la red de la VPC que contiene el AWS CloudHSM clúster, de modo que AWS KMS pueda proporcionar mensajes de error claros en caso de errores.
ec2: DescribeNetworkInterfaces — se utiliza para supervisar los cambios en las interfaces de red que se AWS KMS crearon en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que puedan proporcionar mensajes de error claros en caso de errores.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Como el rol AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculado al servicio solo es de confianzacks.kms.amazonaws.com, solo AWS KMS puede asumir este rol vinculado al servicio. Este rol está limitado a las operaciones que necesita AWS KMS para ver los clústeres de AWS CloudHSM y para conectar un almacén de claves de AWS CloudHSM con su clúster de AWS CloudHSM asociado. No concede permisos adicionales a AWS KMS. Por ejemplo, AWS KMS no dispone de permiso para crear, administrar o eliminar los clústeres de AWS CloudHSM, los HSM o las copias de seguridad.

Regiones

Al igual que la función de almacenes de AWS CloudHSM claves, el AWSServiceRoleForKeyManagementServiceCustomKeyStoresrol se admite en todas Regiones de AWS partes AWS KMS y está disponible. AWS CloudHSM Para obtener una lista de las Regiones de AWS que admiten cada servicio, consulte AWS Key Management Service Endpoints and Quotas y AWS CloudHSM endpoints and quotas en la Referencia general de Amazon Web Services.

Para obtener más información acerca de cómo los servicios de AWS utilizan los roles vinculados con el servicio, consulte Uso de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado a servicios

AWS KMScrea automáticamente el rol AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculado al servicio en su cuenta Cuenta de AWS al crear un almacén de AWS CloudHSM claves, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente.

Editar la descripción del rol vinculado a un servicio

No puede editar el nombre del rol o las instrucciones de la política en el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores, aunque sí puede editar la descripción del rol. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminar el rol vinculado a servicios

AWS KMSno elimina el rol AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculado al servicio de su cuenta, Cuenta de AWS incluso si ha eliminado todos sus almacenes de claves. AWS CloudHSM Aunque actualmente no existe ningún procedimiento para eliminar la función AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculada al servicio, AWS KMS no la asume ni utiliza sus permisos a menos que tenga almacenes de claves activos. AWS CloudHSM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Conceptos del almacén de claves de AWS CloudHSM

Administrar un almacén de claves personalizado de CloudHSM