Autoriser les gestionnaires et utilisateurs d'un magasin de clés AWS CloudHSM Autoriser AWS KMS à gérer AWS CloudHSM et les ressources Amazon EC2

Contrôler l'accès à votre magasin de clés AWS CloudHSM

Vous utilisez les politiques IAM pour contrôler l'accès à votre magasin de clés AWS CloudHSM et votre cluster AWS CloudHSM. Vous pouvez utiliser les politiques IAM et les politiques de clé pour contrôler l'accès aux AWS KMS keys de votre magasin de clés AWS CloudHSM. Nous vous recommandons de fournir aux utilisateurs, groupes et rôles uniquement les autorisations dont ils ont besoin pour les tâches qu'ils sont susceptibles d'effectuer.

Rubriques

Autoriser les gestionnaires et utilisateurs d'un magasin de clés AWS CloudHSM
Autoriser AWS KMS à gérer AWS CloudHSM et les ressources Amazon EC2

Autoriser les gestionnaires et utilisateurs d'un magasin de clés AWS CloudHSM

Lors de la conception de votre magasin de clés AWS CloudHSM, veillez à ce que les principaux qui l'utilisent et le gèrent disposent uniquement des autorisations dont ils ont besoin. La liste suivante décrit les autorisations minimales requises pour les gestionnaires et les utilisateurs des magasins de clés AWS CloudHSM.

Les principaux qui créent et gèrent votre magasin de clés AWS CloudHSM nécessitent l'autorisation suivante pour utiliser les opérations d'API du magasin de clés AWS CloudHSM.
- cloudhsm:DescribeClusters
- kms:CreateCustomKeyStore
- kms:ConnectCustomKeyStore
- kms:DeleteCustomKeyStore
- kms:DescribeCustomKeyStores
- kms:DisconnectCustomKeyStore
- kms:UpdateCustomKeyStore
- iam:CreateServiceLinkedRole
Les principaux qui créent et gèrent le cluster AWS CloudHSM associé à votre magasin de clés AWS CloudHSM ont besoin d'une autorisation pour créer et initialiser un cluster AWS CloudHSM. Cela inclut l'autorisation de créer ou d'utiliser un cloud privé virtuel (VPC) Amazon, de créer des sous-réseaux et de créer une instance Amazon EC2. Elles peuvent également créer et supprimer des HSM, et gérer des sauvegardes. Pour obtenir la liste des autorisations requises, veuillez consulter la rubrique Identity and access management for AWS CloudHSM (Gestion des identités et des accès pour ) dans le Guide de l'utilisateur AWS CloudHSM.
Les principaux qui créent et gèrent les AWS KMS keys de votre magasin de clés AWS CloudHSM nécessitent les mêmes autorisations que ceux qui créent et gèrent les clés KMS dans AWS KMS. La politique de clé par défaut pour une clé KMS d'un magasin de clés AWS CloudHSM est identique à la politique de clé par défaut pour les clés KMS dans AWS KMS. Le contrôle d'accès par attributs (ABAC), qui utilise des balises et des alias pour contrôler l'accès aux clés KMS, fonctionne également sur les clés KMS dans les magasins de clés AWS CloudHSM.
Les principaux qui utilisent les clés KMS dans votre magasin de clés AWS CloudHSM pour les opérations cryptographiques ont besoin des autorisations pour effectuer les opérations cryptographiques avec la clé KMS, telles que kms:Decrypt. Vous pouvez fournir ces autorisations dans une politique de clé, ou une politique IAM. Cependant, les principaux n'ont pas besoin d'autorisations supplémentaires pour utiliser une clé KMS dans un magasin de clés AWS CloudHSM.

Autoriser AWS KMS à gérer AWS CloudHSM et les ressources Amazon EC2

Pour prendre en charge vos magasins de clés AWS CloudHSM, AWS KMS a besoin d'une autorisation pour obtenir des informations sur vos clusters AWS CloudHSM. Il a aussi besoin de l'autorisation de créer l'infrastructure réseau qui connecte votre magasin de clés AWS CloudHSM à son cluster AWS CloudHSM. Pour obtenir ces autorisations, AWS KMS crée le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service dans votre. Compte AWS Les utilisateurs qui créent des magasins de clés AWS CloudHSM doivent avoir l'autorisation iam:CreateServiceLinkedRole leur permettant de créer des rôles liés à un service.

Rubriques

À propos du rôle lié à un service AWS KMS
Création du rôle lié à un service
Modifier la description du rôle lié à un service
Supprimer le rôle lié à un service

À propos du rôle lié à un service AWS KMS

Un rôle lié à un service est un rôle IAM qui accorde à un service AWS l'autorisation d'appeler d'autres services AWS en votre nom. Il est conçu pour faciliter l'utilisation des fonctions de plusieurs services AWS intégrés, sans avoir à créer et gérer des politiques IAM complexes. Pour plus d’informations, consultez Utilisation des rôles liés aux services pour AWS KMS.

Pour les magasins de AWS CloudHSM clés, AWS KMS crée le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service avec la AWSKeyManagementServiceCustomKeyStoresServiceRolePolicypolitique. Cette politique accorde au rôle les autorisations suivantes :

cloudHSM:Describe* — détecte les modifications dans le AWS CloudHSM cluster attaché à votre magasin de clés personnalisé.
ec2 : CreateSecurityGroup — utilisé lorsque vous connectez un magasin de AWS CloudHSM clés pour créer le groupe de sécurité qui permet le flux de trafic réseau entre AWS KMS et votre AWS CloudHSM cluster.
ec2 : AuthorizeSecurityGroupIngress — utilisé lorsque vous connectez un magasin de AWS CloudHSM clés pour autoriser l'accès au réseau depuis AWS KMS le VPC qui contient AWS CloudHSM votre cluster.
ec2 : CreateNetworkInterface — utilisé lorsque vous connectez un magasin de AWS CloudHSM clés pour créer l'interface réseau utilisée pour la communication entre AWS KMS et le AWS CloudHSM cluster.
ec2 : RevokeSecurityGroupEgress — utilisé lorsque vous connectez un magasin de AWS CloudHSM clés pour supprimer toutes les règles sortantes du groupe de sécurité créé. AWS KMS
ec2 : DeleteSecurityGroup — utilisé lorsque vous déconnectez un magasin de AWS CloudHSM clés pour supprimer les groupes de sécurité créés lors de la connexion du magasin de AWS CloudHSM clés.
ec2 : DescribeSecurityGroups — utilisé pour surveiller les modifications apportées au groupe de sécurité AWS KMS créé dans le VPC contenant AWS CloudHSM votre cluster afin AWS KMS de fournir des messages d'erreur clairs en cas de défaillance.
ec2 : DescribeVpcs — utilisé pour surveiller les modifications apportées au VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de pouvoir fournir des messages d'erreur clairs en cas de défaillance.
ec2 : DescribeNetworkAcls — utilisé pour surveiller les modifications des ACL du réseau pour le VPC qui contient votre AWS CloudHSM cluster afin de AWS KMS pouvoir fournir des messages d'erreur clairs en cas de défaillance.
ec2 : DescribeNetworkInterfaces — utilisé pour surveiller les modifications des interfaces réseau AWS KMS créées dans le VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de fournir des messages d'erreur clairs en cas de défaillance.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Étant donné que le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service n'est fiable quecks.kms.amazonaws.com, seul le rôle lié au service AWS KMS peut assumer ce rôle lié au service. Ce rôle est limité aux opérations dont AWS KMS a besoin pour afficher vos clusters AWS CloudHSM et connecter un magasin de clés AWS CloudHSM à son cluster AWS CloudHSM associé. Aucune autre autorisation n'est accordée à AWS KMS. Par exemple, AWS KMS n'a pas l'autorisation de créer, gérer ou supprimer vos clusters AWS CloudHSM, vos HSM ou vos sauvegardes.

Régions

À l'instar de la fonctionnalité AWS CloudHSM Key Stores, le AWSServiceRoleForKeyManagementServiceCustomKeyStoresrôle est pris en charge partout Régions AWS où il AWS KMS est disponible. AWS CloudHSM Pour obtenir la liste de Régions AWS pris en charge par chaque service, consultez les Points de terminaison et quotas AWS Key Management Service et les points de terminaison et quotas AWS CloudHSM dans le Référence générale d'Amazon Web Services

Pour plus d'informations sur l'utilisation des rôles liés à un service par les services AWS, veuillez consulter la rubrique Utilisation des rôles liés à un service dans le Guide de l'utilisateur IAM.

Création du rôle lié à un service

AWS KMScrée automatiquement le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service dans votre magasin de clés Compte AWS lorsque vous créez un magasin de AWS CloudHSM clés, si le rôle n'existe pas déjà. Vous ne pouvez pas créer ou recréer directement ce rôle lié à un service.

Modifier la description du rôle lié à un service

Vous ne pouvez pas modifier le nom du rôle ou les déclarations de stratégie du rôle lié à un service AWSServiceRoleForKeyManagementServiceCustomKeyStores, mais vous pouvez modifier la description du rôle. Pour obtenir des instructions, veuillez consulter la rubrique Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Supprimer le rôle lié à un service

AWS KMSne supprime pas le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service, Compte AWS même si vous avez supprimé tous vos AWS CloudHSM principaux magasins. Bien qu'il n'existe actuellement aucune procédure permettant de supprimer le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié à un service, AWS KMS elle n'assume pas ce rôle et n'utilise pas ses autorisations sauf si vous disposez de banques de AWS CloudHSM clés actives.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Concepts de magasins de clés AWS CloudHSM

Gérer un magasin de clés personnalisé CloudHSM