Política de claves de KMS obligatoria para su uso con volúmenes de EBS cifrados en PCS AWS

AWS PCS utiliza funciones vinculadas a servicios para delegar permisos a otras personas. Servicios de AWS La función vinculada al servicio de AWS PCS está predefinida e incluye los permisos que AWS PCS necesita para llamar a otras Servicios de AWS personas en su nombre. Los permisos predefinidos también incluyen el acceso a sus claves gestionadas por el cliente Claves administradas por AWS , pero no a las que administra el cliente.

En este tema se describe cómo configurar la política de claves necesaria para lanzar instancias cuando se especifica una clave gestionada por el cliente para el cifrado de Amazon EBS.

nota

AWS El PCS no requiere una autorización adicional para usar la predeterminada Clave administrada de AWS a fin de proteger los volúmenes cifrados de su cuenta.

Contenido

• Descripción general

• Configuración de las políticas de claves

• Ejemplo 1: secciones de la política de claves que permiten el acceso a la clave administrada por el cliente

• Ejemplo 2: secciones de la política de claves que permiten el acceso entre cuentas a la clave administrada por el cliente

• Edición de las políticas de claves en la consola de AWS KMS

Descripción general

Puede usar lo siguiente AWS KMS keys para el cifrado de Amazon EBS cuando AWS PCS lance instancias:

• Clave administrada de AWS: una clave de cifrado de su cuenta que Amazon EBS crea, posee y administra. Esta es la clave de cifrado predeterminada en las cuentas nuevas. Amazon EBS la utiliza Clave administrada de AWS para el cifrado, a menos que especifique una clave gestionada por el cliente.

• Clave administrada por el cliente: una clave de cifrado personalizada que usted crea, posee y administra. Para obtener más información, consulte Crear una clave KMS en la Guía para AWS Key Management Service desarrolladores.

  nota

  La clave debe ser simétrica. Amazon EBS no admite claves asimétricas administradas por el cliente.

Las claves administradas por el cliente se configuran cuando se crean instantáneas cifradas o una plantilla de lanzamiento que especifica los volúmenes cifrados, o cuando se decide habilitar el cifrado de forma predeterminada.

Configuración de las políticas de claves

Sus claves de KMS deben tener una política de claves que permita a AWS PCS lanzar instancias con volúmenes de Amazon EBS cifrados con una clave administrada por el cliente.

Utilice los ejemplos de esta página para configurar una política de claves que permita a AWS PCS acceder a su clave gestionada por el cliente. Puede modificar la política de claves de la clave gestionada por el cliente al crear la clave o más adelante.

La política clave debe incluir las siguientes declaraciones:

• Una declaración que permite que la identidad de IAM especificada en el Principal elemento utilice directamente la clave gestionada por el cliente. Incluye permisos para realizar las DescribeKey operaciones AWS KMS EncryptDecrypt,ReEncrypt*,GenerateDataKey*, y en la clave.

• Una declaración que permite a la identidad de IAM especificada en el Principal elemento utilizar la CreateGrant operación para generar concesiones que deleguen un subconjunto de sus propios permisos en uno de los Servicios de AWS que estén integrados con AWS KMS o con otro principal. Esto les permite utilizar la clave para crear recursos cifrados en su nombre.

No modifique ninguna declaración existente en la política cuando añada las nuevas declaraciones de política a su política clave.

Para obtener más información, consulte:

• create-key en la Referencia de comandos AWS CLI

• put-key-policy en la Referencia de comandos de la AWS CLI

• Busque el ID de clave y el ARN clave en la AWS Key Management Service Guía para desarrolladores

• Funciones vinculadas al servicio para PCS AWS

• Cifrado de Amazon EBS en la Guía del usuario de Amazon EBS

• AWS Key Management Serviceen la Guía para desarrolladores AWS Key Management Service

Ejemplo 1: secciones de la política de claves que permiten el acceso a la clave administrada por el cliente

Añada las siguientes declaraciones de política a la política clave de la clave gestionada por el cliente. Sustituya el ARN de ejemplo por el ARN de su función vinculada al servicio. AWSServiceRoleForPCS Esta política de ejemplo otorga a la función vinculada al servicio de AWS PCS permisos para usar la clave AWSServiceRoleForPCS administrada por el cliente.

{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}

{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}

Ejemplo 2: secciones de la política de claves que permiten el acceso entre cuentas a la clave administrada por el cliente

Si crea una clave gestionada por el cliente en una cuenta diferente a la de su clúster de AWS PCS, debe utilizar una concesión en combinación con la política de claves para permitir el acceso a la clave entre cuentas.

Para conceder el acceso a la clave

1. Añada las siguientes declaraciones de política a la política clave de la clave gestionada por el cliente. Sustituya el ARN de ejemplo por el ARN de la otra cuenta. 111122223333Sustitúyalo por el ID de cuenta real en el Cuenta de AWS que desea crear el clúster de AWS PCS. Esto le permite otorgar a un usuario o rol de IAM en la cuenta especificada permiso para crear una concesión para la clave mediante el siguiente comando CLI. De forma predeterminada, los usuarios no tienen acceso a la clave.

   {.
      "Sid": "Allow external account 111122223333 use of the customer managed key",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey"
      ],
      "Resource": "*"
   }

   {
      "Sid": "Allow attachment of persistent resources in external account 111122223333",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:CreateGrant"
      ],
      "Resource": "*"
   }

2. Desde la cuenta en la que desee crear el clúster de AWS PCS, cree una concesión que delegue los permisos pertinentes a la función vinculada al servicio de AWS PCS. El valor de grantee-principal es el ARN del rol vinculado al servicio. El valor de key-id es el ARN de la clave.

   El siguiente ejemplo de comando CLI create-grant otorga 111122223333 permisos al rol vinculado al servicio mencionado AWSServiceRoleForPCS en la cuenta para usar la clave administrada por el cliente en la cuenta. 444455556666

   aws kms create-grant \
     --region us-west-2 \
     --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
     --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \
     --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"

   nota

   El usuario que realiza la solicitud debe tener permisos para usar la acción. kms:CreateGrant

   El siguiente ejemplo de política de IAM permite que una identidad de IAM (usuario o rol) en la cuenta 111122223333 cree una concesión para la cuenta clave gestionada por el cliente. 444455556666

   JSON

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
         "Effect": "Allow",
         "Action": "kms:CreateGrant",
         "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
       }
     ]
   }
   

   Para obtener más información acerca de cómo crear una concesión para una clave KMS en una Cuenta de AWS diferente, consulte Concesiones en AWS KMS en laAWS Key Management Service Guía para desarrolladores.

   importante

   El nombre del rol vinculado al servicio especificado como principal del beneficiario debe ser el nombre de un rol existente. Tras crear la concesión, para asegurarse de que permite a AWS PCS utilizar la clave de KMS especificada, no elimine ni vuelva a crear la función vinculada al servicio.

Edición de las políticas de claves en la consola de AWS KMS

En los ejemplos que aparecen en las secciones anteriores, solo se explica cómo agregar instrucciones a una política de claves, que es una de las múltiples formas de cambiar una de dichas políticas. La forma más sencilla de cambiar una política clave es utilizar la vista predeterminada de la AWS KMS consola para las políticas clave y convertir una identidad de IAM (usuario o rol) en uno de los usuarios clave de la política clave correspondiente. Para obtener más información, consulte Uso de la vista AWS Management Console predeterminada en la Guía para AWS Key Management Service desarrolladores.

aviso

Las declaraciones de política de visualización predeterminadas de la consola incluyen permisos para realizar AWS KMS Revoke operaciones en la clave gestionada por el cliente. Si revocas una concesión que daba Cuenta de AWS acceso a una clave gestionada por el cliente en tu cuenta, los usuarios de esa cuenta Cuenta de AWS pierden el acceso a los datos cifrados y a la clave.