Controle el acceso a las claves multirregionales - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controle el acceso a las claves multirregionales

Puede usar claves de varias regiones en escenarios de conformidad, recuperación de desastres y copia de seguridad que serían más complejos con claves de una sola región. Sin embargo, dado que las propiedades de seguridad de las claves de varias regiones son significativamente diferentes de las de las claves de una sola región, recomendamos tener precaución al autorizar la creación, la administración y el uso de claves de varias regiones.

nota

Las declaraciones IAM de política existentes con caracteres comodín en el Resource campo ahora se aplican tanto a las claves de una sola región como a las de varias regiones. Para restringirlas a KMS claves de una o varias regiones, utilice la clave de condición kms:. MultiRegion

Utilice las herramientas de autorización para evitar la creación y el uso de claves de varias regiones en cualquier escenario en el que una sola región sea suficiente. Permita que los directores repliquen una clave multirregional solo en Regiones de AWS aquellos lugares donde lo requieran. De permiso para las claves de varias regiones solo a las entidades principales que las necesiten y solo para las tareas que las requieran.

Puedes usar políticas, IAM políticas y subvenciones clave para permitir que IAM los directores administren y usen las claves multirregionales en tu empresa. Cuenta de AWS Cada clave multirregional es un recurso independiente con una clave ARN y una política clave únicas. Debe establecer y mantener una política clave para cada clave y asegurarse de que IAM las políticas nuevas y existentes implementen su estrategia de autorización.

Conceptos básicos de autorización para claves de varias regiones

Al diseñar políticas clave y IAM políticas para claves multirregionales, tenga en cuenta los siguientes principios.

  • Política clave: cada clave multirregional es un recurso KMS clave independiente con su propia política clave. Puede aplicar la misma política de clave o una política de clave diferente para cada clave del conjunto de claves de varias regiones relacionadas. Las políticas clave no son propiedades compartidas de las claves multirregionales. AWS KMS no copia ni sincroniza las políticas clave entre las claves multirregionales relacionadas.

    Al crear una clave de réplica en la AWS KMS consola, la consola muestra la política de claves actual de la clave principal para mayor comodidad. Puede utilizar esta política de claves, editarla o eliminarla y reemplazarla. Pero incluso si acepta la política de clave principal sin cambios, AWS KMS no sincroniza las políticas. Por ejemplo, si cambia la política de clave de la clave principal, la política de clave de la clave de réplica sigue siendo la misma.

  • Política de claves predeterminada: al crear claves multirregionales mediante las ReplicateKey operaciones CreateKeyy, se aplica la política de claves predeterminada, a menos que especifique una política de claves en la solicitud. Esta es la misma política de clave predeterminada que se aplica a las claves de una sola región.

  • IAMpolíticas: como ocurre con todas KMS las claves, puedes usar IAM políticas para controlar el acceso a las claves multirregionales solo cuando la política clave lo permita. IAMlas políticas se aplican a todas de forma Regiones de AWS predeterminada. Sin embargo, puede utilizar claves de condición, como aws: RequestedRegion, para limitar los permisos a una región concreta.

    Para crear claves principales y réplicas, los directores deben tener kms:CreateKey permiso en una IAM política que se aplique a la región en la que se crea la clave.

  • Subvenciones: AWS KMS las subvenciones son regionales. Cada concesión permite conceder permisos a una KMS clave. Puede utilizar concesiones para dar permisos a una clave principal de varias regiones o clave de réplica. Sin embargo, no puede utilizar una sola concesión para conceder permisos a varias KMS claves, incluso si son claves multirregionales relacionadas.

  • Clave ARN: cada clave multirregional tiene una clave única. ARN La clave ARNs de las claves multirregionales relacionadas tiene la misma partición, cuenta e ID de clave, pero distintas regiones.

    Para aplicar una declaración IAM de política a una clave multirregional concreta, utilice su clave ARN o un ARN patrón clave que incluya la región. Para aplicar una declaración IAM de política a todas las claves multirregionales relacionadas, utilice un carácter comodín (*) en el elemento Región delARN, como se muestra en el siguiente ejemplo.

    { "Effect": "Allow", "Action": [ "kms:Describe*", "kms:List*" ], "Resource": { "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab" } }

    Para aplicar una declaración de política a todas las claves multirregionales de su país Cuenta de AWS, puede utilizar la condición de MultiRegion política kms: o un patrón de identificador de clave que incluya el prefijo distintivo. mrk-

  • Función vinculada al servicio: los directores que crean claves principales multirregionales deben tener el permiso iam:. CreateServiceLinkedRole

    Para sincronizar las propiedades compartidas de las claves multirregionales relacionadas, asume una función vinculada al servicio. AWS KMS IAM AWS KMS crea el rol vinculado al servicio Cuenta de AWS cada vez que se crea una clave principal multirregional. (Si la función existe, AWS KMS lo recrea, que no tiene ningún efecto nocivo). El rol es válido en todas las regiones. Para poder crear (o volver AWS KMS a crear) el rol vinculado al servicio, los directores que creen claves principales multirregionales deben tener el permiso iam:. CreateServiceLinkedRole

Autorización de administradores y usuarios clave de varias regiones

Las entidades principales que crean y administran claves de varias regiones necesitan los siguientes permisos en las regiones principal y de réplica:

  • kms:CreateKey

  • kms:ReplicateKey

  • kms:UpdatePrimaryRegion

  • iam:CreateServiceLinkedRole

Creación de una clave principal

Para crear una clave principal multirregional, el director necesita CreateServiceLinkedRole permisos kms: CreateKey e iam: en una IAM política que sea efectiva en la región de la clave principal. Las entidades principales que tienen estos permisos pueden crear claves de una sola región y de varias regiones a menos que restrinja sus permisos.

El iam:CreateServiceLinkedRole permiso permite crear el AWSServiceRoleForKeyManagementServiceMultiRegionKeysrol AWS KMS para sincronizar las propiedades compartidas de las claves multirregionales relacionadas.

Por ejemplo, esta IAM política permite a un director crear cualquier tipo de KMS clave.

{ "Version": "2012-10-17", "Statement":{ "Action": [ "kms:CreateKey", "iam:CreateServiceLinkedRole" ], "Effect":"Allow", "Resource":"*" } }

Para permitir o denegar el permiso para crear claves principales de varias regiones, utilice la clave de MultiRegion condición kms:. Los valores válidos son true (clave de varias regiones) o false (clave de una sola región). Por ejemplo, la siguiente declaración IAM de política utiliza una Deny acción con la clave de kms:MultiRegion condición para impedir que los principales creen claves multirregionales.

{ "Version": "2012-10-17", "Statement":{ "Action":"kms:CreateKey", "Effect":"Deny", "Resource":"*", "Condition": { "Bool": "kms:MultiRegion": true } } }

Claves de replicación

Para crear una clave de réplica de varias regiones, la entidad principal necesita los siguientes permisos:

  • kms: ReplicateKey permiso en la política de claves de la clave principal.

  • kms: CreateKey permiso en una IAM política que está en vigor en la región de claves réplicas.

Tenga cuidado al permitir estos permisos. Permiten a los directores crear KMS las claves y las políticas clave que autorizan su uso. El permiso kms:ReplicateKey también autoriza la transferencia de material clave a través de los límites de la región dentro de AWS KMS.

Para restringir los campos Regiones de AWS en los que se puede replicar una clave multirregional, utilice la clave de condición kms: ReplicaRegion. Limita solo el permiso kms:ReplicateKey. De lo contrario, no tiene ningún efecto. Por ejemplo, la siguiente política de claves permite a la entidad principal replicar esta clave principal, pero solo en las regiones especificadas.

{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Administrator" }, "Action": "kms:ReplicateKey", "Resource": "*", "Condition": { "StringEquals": { "kms:ReplicaRegion": [ "us-east-1", "eu-west-3", "ap-southeast-2" ] } } }

Actualización de la región principal

Las entidades principales autorizadas pueden convertir una clave de réplica en una clave principal, lo que cambia la clave principal anterior en una réplica. Esta acción se denomina actualización de la región principal. Para actualizar la región principal, el director necesita el UpdatePrimaryRegion permiso kms: en ambas regiones. Puede proporcionar estos permisos en una política o IAM política clave.

  • kms:UpdatePrimaryRegion en la clave principal. Este permiso debe ser efectivo en la región de clave principal.

  • kms:UpdatePrimaryRegion en la clave de réplica. Este permiso debe ser efectivo en la región clave de réplica.

Por ejemplo, la siguiente política clave otorga a los usuarios que pueden asumir el rol de administrador permiso para actualizar la región principal de la KMS clave. Esta KMS clave puede ser la clave principal o una clave de réplica en esta operación.

{ "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Administrator" }, "Action": "kms:UpdatePrimaryRegion" }

Para restringir Regiones de AWS lo que puede alojar una clave principal, utilice la clave de PrimaryRegion condición kms:. Por ejemplo, la siguiente declaración de IAM política permite a los directores actualizar la región principal de las claves multirregionales de la región Cuenta de AWS, pero solo cuando la nueva región principal sea una de las regiones especificadas.

{ "Effect": "Allow", "Action": "kms:UpdatePrimaryRegion", "Resource": { "arn:aws:kms:*:111122223333:key/*" }, "Condition": { "StringEquals": { "kms:PrimaryRegion": [ "us-west-2", "sa-east-1", "ap-southeast-1" ] } } }

Uso y administración de claves de varias regiones

De forma predeterminada, los directores que tienen permiso para usar y administrar KMS claves en una región Cuenta de AWS y también tienen permiso para usar y administrar claves multirregionales. Sin embargo, puede usar la clave de MultiRegion condición kms: para permitir solo claves de una sola región o solo claves de varias regiones. O usa la clave de MultiRegionKeyType condición kms: para permitir solo las claves principales de varias regiones o solo las réplicas. Ambas claves de condición controlan el acceso a la CreateKeyoperación y a cualquier operación que utilice una KMS clave existente, como Encrypt o. EnableKey

El siguiente ejemplo IAM de declaración de política utiliza la clave de kms:MultiRegion condición para impedir que los principales utilicen o administren cualquier clave multirregional.

{ "Effect": "Deny", "Action": "kms:*", "Resource": "*", "Condition": { "Bool": "kms:MultiRegion": true } }

En este ejemplo IAM de declaración de política se utiliza la kms:MultiRegionKeyType condición para permitir a los directores programar y cancelar la eliminación de claves, pero solo en el caso de réplicas de claves multirregionales.

{ "Effect": "Allow", "Action": [ "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": { "arn:aws:kms:us-west-2:111122223333:key/*" }, "Condition": { "StringEquals": "kms:MultiRegionKeyType": "REPLICA" } }

Autorizar la sincronización de claves AWS KMS multirregionales

Para admitir claves multirregionales, AWS KMS utiliza un rol vinculado a un IAM servicio. Este rol otorga AWS KMS los permisos que necesita para sincronizar las propiedades compartidas. Puede ver el SynchronizeMultiRegionKey CloudTrail evento que registra la AWS KMS sincronización de propiedades compartidas en sus AWS CloudTrail registros.

Acerca del rol vinculado a un servicio para claves de varias regiones

Un rol vinculado a un servicio es un IAM rol que permite a un AWS servicio llamar a otros AWS servicios en tu nombre. Está diseñado para facilitar el uso de las funciones de varios AWS servicios integrados sin tener que crear y mantener políticas complejasIAM.

En el caso de las claves multirregionales, AWS KMS crea el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio con la política. AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy Esta política le confiere al rol el permiso kms:SynchronizeMultiRegionKey, que le permite sincronizar las propiedades compartidas de claves de varias regiones.

Como el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio es únicamente de confianzamrk.kms.amazonaws.com, solo AWS KMS puede asumir este rol vinculado al servicio. Esta función se limita a las operaciones necesarias para sincronizar las propiedades compartidas AWS KMS de varias regiones. No otorga AWS KMS ningún permiso adicional. Por ejemplo, AWS KMS no tiene permiso para crear, replicar o eliminar ninguna KMS clave.

Para obtener más información sobre cómo AWS los servicios utilizan las funciones vinculadas a servicios, consulte Uso de funciones vinculadas a servicios en la Guía del usuario. IAM

Creación del rol vinculado a servicios

AWS KMS crea automáticamente el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio en su nombre Cuenta de AWS al crear una clave multirregional, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente.

Editar la descripción del rol vinculado a un servicio

No puede editar el nombre del rol ni las declaraciones de política del rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio, pero sí puede editar la descripción del rol. Para obtener instrucciones, consulte Edición de un rol vinculado a un servicio en la Guía del usuario. IAM

Eliminar el rol vinculado a servicios

AWS KMS no elimina el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio de su cuenta Cuenta de AWS y usted no puede eliminarlo. Sin embargo, AWS KMS no asume el AWSServiceRoleForKeyManagementServiceMultiRegionKeysrol ni usa ninguno de sus permisos a menos que tenga claves multirregionales en su Cuenta de AWS región.