Control del acceso a claves de varias regiones - AWS Key Management Service
Conceptos básicos de autorización para claves de varias regionesAutorización de administradores y usuarios clave de varias regionesAutorización de AWS KMS para la sincronización de claves de varias regiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a claves de varias regiones

Puede usar claves de varias regiones en escenarios de conformidad, recuperación de desastres y copia de seguridad que serían más complejos con claves de una sola región. Sin embargo, dado que las propiedades de seguridad de las claves de varias regiones son significativamente diferentes de las de las claves de una sola región, recomendamos tener precaución al autorizar la creación, la administración y el uso de claves de varias regiones.

nota

Las declaraciones de la política de IAM existentes con caracteres comodín en el campo Resource ahora se aplican a las claves de una sola región y de varias regiones. Para restringirlas a claves KMS de una sola región o claves de varias regiones, utilice la clave de MultiRegion condición kms:.

Utilice las herramientas de autorización para evitar la creación y el uso de claves de varias regiones en cualquier escenario en el que una sola región sea suficiente. Permita a las entidades principales replicar una clave de varias regiones solo en las Regiones de AWS que las requieran. De permiso para las claves de varias regiones solo a las entidades principales que las necesiten y solo para las tareas que las requieran.

Puede usar políticas de clave, políticas de IAM y concesiones para permitir que las entidades principales de IAM administren y usen claves de varias regiones en su Cuenta de AWS. Cada clave de varias regiones es un recurso independiente con un ARN clave única y una política clave. Debe establecer y mantener una política clave para cada clave y asegurarse de que las políticas de IAM nuevas y existentes implementen su estrategia de autorización.

Conceptos básicos de autorización para claves de varias regiones

Al diseñar políticas de claves y políticas de IAM para claves de varias regiones, tenga en cuenta los siguientes principios.

  • Política de claves: cada clave de varias regiones es un recurso clave KMS independiente con su propia política de claves. Puede aplicar la misma política de clave o una política de clave diferente para cada clave del conjunto de claves de varias regiones relacionadas. Las políticas de claves no son propiedades compartidas de claves de varias regiones. AWS KMS no copia ni sincroniza las políticas clave entre las claves de varias regiones relacionadas.

    Cuando se crea una clave de réplica en la consola de AWS KMS, la consola muestra la política de clave actual de la clave principal como conveniencia. Puede utilizar esta política de claves, editarla o eliminarla y reemplazarla. Pero incluso si acepta la política de clave principal sin cambios, AWS KMSno sincroniza las políticas. Por ejemplo, si cambia la política de clave de la clave principal, la política de clave de la clave de réplica sigue siendo la misma.

  • Política de claves predeterminada: al crear claves multirregionales mediante las ReplicateKey operaciones CreateKeyy, se aplica la política de claves predeterminada, a menos que especifique una política de claves en la solicitud. Esta es la misma política de clave predeterminada que se aplica a las claves de una sola región.

  • Políticas de IAM: al igual que con todas las claves KMS, puede usar políticas de IAM para controlar el acceso a las claves de varias regiones solo cuando la política clave lo permite. Las políticas de IAM se aplican a todas las Regiones de AWS de forma predeterminada. Sin embargo, puede utilizar claves de condición, como aws: RequestedRegion, para limitar los permisos a una región concreta.

    Para crear claves primarias y de réplica, las entidades principales deben tener permiso kms:CreateKey en una política de IAM que se aplica a la región donde se crea la clave.

  • Concesiones:AWS KMS las concesiones son regionales. Cada concesión da permisos para una clave KMS. Puede utilizar concesiones para dar permisos a una clave principal de varias regiones o clave de réplica. Sin embargo, no puede utilizar una sola concesión para dar permisos a varias claves KMS, incluso si se trata de claves de varias regiones relacionadas.

  • ARN de clave: cada clave de varias regiones tiene un ARN de clave única. Los ARN clave de las claves de varias regiones relacionadas tienen la misma partición, cuenta e ID de clave, pero diferentes regiones.

    Para aplicar una declaración de política de IAM a una clave concreta de varias regiones, utilice su ARN clave o un patrón ARN clave que incluya la región. Para aplicar una declaración de política de IAM a todas las claves de varias regiones, utilice un comodín (*) en el elemento Región del ARN, como se muestra en el siguiente ejemplo.

    {
  "Effect": "Allow",  
  "Action": [
    "kms:Describe*",
    "kms:List*"
  ],
  "Resource": {
      "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
  }
}

    Para aplicar una declaración de política a todas las claves multirregionales de su Cuenta de AWS país, puede utilizar la condición de MultiRegion política kms: o un patrón de identificador de clave que incluya el mrk- prefijo distintivo.

  • Función vinculada al servicio: los directores que crean claves principales multirregionales deben tener el permiso iam:. CreateServiceLinkedRole

    Para sincronizar las propiedades compartidas de claves de varias regiones relacionadas, AWS KMS asume un rol vinculado al servicio de de IAM. AWS KMS crea el rol vinculado a un servicio en la Cuenta de AWS cuando crea una clave principal de varias regiones. (Si la función existe, AWS KMS lo recrea, que no tiene ningún efecto nocivo). El rol es válido en todas las regiones. Para poder crear (o volver AWS KMS a crear) el rol vinculado al servicio, los directores que creen claves principales multirregionales deben tener el permiso iam:. CreateServiceLinkedRole

Autorización de administradores y usuarios clave de varias regiones

Las entidades principales que crean y administran claves de varias regiones necesitan los siguientes permisos en las regiones principal y de réplica:

  • kms:CreateKey

  • kms:ReplicateKey

  • kms:UpdatePrimaryRegion

  • iam:CreateServiceLinkedRole

Creación de una clave principal

Para crear una clave principal multirregional, el director necesita CreateServiceLinkedRole permisos kms: CreateKey e iam: en una política de IAM que sea efectiva en la región de la clave principal. Las entidades principales que tienen estos permisos pueden crear claves de una sola región y de varias regiones a menos que restrinja sus permisos.

El iam:CreateServiceLinkedRole permiso permite crear el AWSServiceRoleForKeyManagementServiceMultiRegionKeysrol AWS KMS para sincronizar las propiedades compartidas de las claves multirregionales relacionadas.

Por ejemplo, esta política de IAM permite a una entidad de seguridad crear cualquier tipo de clave KMS.

{
  "Version": "2012-10-17",
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}

Para permitir o denegar el permiso para crear claves principales multirregionales, utilice la clave de condición kms: MultiRegion. Los valores válidos son true (clave de varias regiones) o false (clave de una sola región). Por ejemplo, la siguiente declaración de política de IAM utiliza una acción Deny con la clave de condición kms:MultiRegion para evitar que las entidades principales creen claves de varias regiones. 

{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": "kms:MultiRegion": true
      }
  }
}

Claves de replicación

Para crear una clave de réplica de varias regiones, la entidad principal necesita los siguientes permisos:

  • kms: ReplicateKey permiso en la política de claves de la clave principal.

  • kms: CreateKey permiso en una política de IAM que está en vigor en la región de claves réplicas.

Tenga cuidado al permitir estos permisos. Permiten a las entidades principales crear claves KMS y las políticas de claves que autorizan su uso. El permiso kms:ReplicateKey también autoriza la transferencia de material clave a través de los límites de la región dentro de AWS KMS.

Para restringir los campos Regiones de AWS en los que se puede replicar una clave multirregional, utilice la clave de condición kms: ReplicaRegion. Limita solo el permiso kms:ReplicateKey. De lo contrario, no tiene ningún efecto. Por ejemplo, la siguiente política de claves permite a la entidad principal replicar esta clave principal, pero solo en las regiones especificadas.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Actualización de la región principal

Las entidades principales autorizadas pueden convertir una clave de réplica en una clave principal, lo que cambia la clave principal anterior en una réplica. Esta acción se denomina actualización de la región principal. Para actualizar la región principal, el director necesita el UpdatePrimaryRegion permiso kms: en ambas regiones. Puede proporcionar estos permisos en una política de claves o una política de IAM.

  • kms:UpdatePrimaryRegion en la clave principal. Este permiso debe ser efectivo en la región de clave principal.

  • kms:UpdatePrimaryRegion en la clave de réplica. Este permiso debe ser efectivo en la región clave de réplica.

Por ejemplo, la siguiente política de clave otorga a los usuarios que pueden asumir el permiso de rol de Administrador para actualizar la región principal de la clave KMS. Esta clave KMS puede ser la clave principal o una clave de réplica en esta operación.

{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}

Para restringir Regiones de AWS lo que puede alojar una clave principal, utilice la clave de PrimaryRegion condición kms:. Por ejemplo, la siguiente declaración de política de IAM permite que las entidades principales actualicen la región principal de las claves de varias regiones en la Cuenta de AWS, pero solo cuando la nueva Región principal es una de las Regiones especificadas.

{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}

Uso y administración de claves de varias regiones

De forma predeterminada, las principales entidades que tienen permiso para usar y administrar claves KMS en una Cuenta de AWS y Región también tienen permiso para usar y administrar claves de varias regiones. Sin embargo, puede usar la clave de MultiRegion condición kms: para permitir solo claves de una sola región o solo claves de varias regiones. O bien, utilice la clave de MultiRegionKeyType condición kms: para permitir solo las claves principales de varias regiones o solo las claves de réplica. Ambas claves de condición controlan el acceso a la CreateKeyoperación y a cualquier operación que utilice una clave KMS existente, como Encrypt o. EnableKey

En el siguiente ejemplo de declaración de política de IAM se utiliza la clave de condición kms:MultiRegion para evitar que las entidades principales utilicen o administren cualquier clave de varias regiones.

{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}

Esta declaración de política de IAM de ejemplo utiliza la condición kms:MultiRegionKeyType para permitir que las entidades principales programen y cancelen la eliminación de claves, pero solo en las claves de réplica de varias regiones.

{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}

Autorización de AWS KMS para la sincronización de claves de varias regiones

Para apoyar las claves de varias regiones, AWS KMS utiliza una función vinculada al servicio de IAM. Este rol le da a AWS KMS los permisos que necesita para sincronizar propiedades compartidas. Puede ver el SynchronizeMultiRegionKey CloudTrail evento que registra la AWS KMS sincronización de propiedades compartidas en sus AWS CloudTrail registros.

Acerca del rol vinculado a un servicio para claves de varias regiones

Un rol vinculado a un servicio es un rol de IAM que otorga permiso a un servicio de AWS para llamar a otros servicios de AWS en su nombre. Se ha diseñado para facilitar el uso de las características de múltiples servicios de AWS integrados sin tener que crear ni actualizar políticas de IAM complejas.

En el caso de las claves multirregionales, AWS KMS crea el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio con la política. AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy Esta política le confiere al rol el permiso kms:SynchronizeMultiRegionKey, que le permite sincronizar las propiedades compartidas de claves de varias regiones.

Como el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio es únicamente de confianzamrk.kms.amazonaws.com, solo AWS KMS puede asumir este rol vinculado al servicio. Este rol se limita a las operaciones que AWS KMS necesita para sincronizar las propiedades compartidas de varias regiones. No concede permisos adicionales a AWS KMS. Por ejemplo, AWS KMS no tiene permiso para crear, replicar o eliminar claves KMS.

Para obtener más información acerca de cómo los servicios de AWS utilizan los roles vinculados con el servicio, consulte Uso de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado a servicios

AWS KMScrea automáticamente el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio en usted Cuenta de AWS al crear una clave multirregional, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente.

Editar la descripción del rol vinculado a un servicio

No puede editar el nombre del rol ni las declaraciones de política del rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio, pero sí puede editar la descripción del rol. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminar el rol vinculado a servicios

AWS KMSno elimina el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio de su cuenta Cuenta de AWS y usted no puede eliminarlo. Sin embargo, AWS KMS no asume el AWSServiceRoleForKeyManagementServiceMultiRegionKeysrol ni usa ninguno de sus permisos a menos que tenga claves multirregionales en su Cuenta de AWS región.