Politique de clé KMS requise pour une utilisation avec des volumes EBS chiffrés sur PCS AWS

AWS PCS utilise des rôles liés aux services pour déléguer des autorisations à d'autres personnes. Services AWS Le rôle lié au service AWS PCS est prédéfini et inclut les autorisations dont AWS PCS a besoin pour appeler d'autres personnes en votre Services AWS nom. Les autorisations prédéfinies incluent également l'accès à vos clés gérées par le client Clés gérées par AWS , mais pas à celles gérées par vos clients.

Cette rubrique explique comment configurer la politique de clé requise pour lancer des instances lorsque vous spécifiez une clé gérée par le client pour le chiffrement Amazon EBS.

Note

AWS PCS n'a pas besoin d'autorisation supplémentaire pour utiliser la valeur par défaut Clé gérée par AWS afin de protéger les volumes chiffrés de votre compte.

Table des matières

• Présentation

• Configurer des politiques de clé

• Exemple 1 : sections de la politique de clé qui autorisent l'accès à la clé gérée par le client

• Exemple 2 : sections de la politique de clé autorisant l'accès entre comptes à la clé gérée par le client

• Modifier des politiques de clé dans la console AWS KMS

Présentation

Vous pouvez utiliser les éléments suivants AWS KMS keys pour le chiffrement Amazon EBS lorsque AWS PCS lance des instances :

• Clé gérée par AWS— Une clé de chiffrement dans votre compte créée, détenue et gérée par Amazon EBS. Il s'agit de la clé de chiffrement par défaut d'un nouveau compte. Amazon EBS utilise le Clé gérée par AWS pour le chiffrement, sauf si vous spécifiez une clé gérée par le client.

• Clé gérée par le client : clé de chiffrement personnalisée que vous créez, détenez et gérez. Pour plus d'informations, consultez la section Création d'une clé KMS dans le guide du AWS Key Management Service développeur.

  Note

  La clé doit être symétrique. Amazon EBS ne prend pas en charge les clés asymétriques gérées par le client.

Vous configurez les clés gérées par le client lorsque vous créez des instantanés chiffrés ou un modèle de lancement qui spécifie des volumes chiffrés, ou lorsque vous choisissez d'activer le chiffrement par défaut.

Configurer des politiques de clé

Vos clés KMS doivent avoir une politique clé qui permet à AWS PCS de lancer des instances avec des volumes Amazon EBS chiffrés à l'aide d'une clé gérée par le client.

Utilisez les exemples de cette page pour configurer une politique de clé afin de permettre à AWS PCS d'accéder à votre clé gérée par le client. Vous pouvez modifier la politique clé de la clé gérée par le client lors de la création de la clé ou ultérieurement.

La politique clé doit comporter les énoncés suivants :

• Une instruction qui permet à l'identité IAM spécifiée dans l'Principalélément d'utiliser directement la clé gérée par le client. Il inclut les autorisations permettant d'effectuer les DescribeKey opérations AWS KMS Encrypt DecryptReEncrypt*,GenerateDataKey*,, et sur la clé.

• Une instruction qui permet à l'identité IAM spécifiée dans l'Principalélément d'utiliser l'CreateGrantopération pour générer des autorisations déléguant un sous-ensemble de ses propres autorisations à des entités intégrées à Services AWS un autre principal AWS KMS ou à un autre. Il est ainsi possible d'utiliser la clé pour créer des ressources chiffrées en votre nom.

Ne modifiez aucune déclaration existante dans la politique lorsque vous ajoutez les nouvelles déclarations de politique à votre politique principale.

Pour plus d'informations, consultez :

• create-key dans la référence de commande AWS CLI

• put-key-policy dans la référence de commande de l'AWS CLI

• Trouvez l'ID et l'ARN de la clé dans le guide du AWS Key Management Service développeur

• Rôles liés aux services pour PCS AWS

• Chiffrement Amazon EBS dans le guide de l'utilisateur Amazon EBS

• AWS Key Management Servicedans le guide AWS Key Management Service du développeur

Exemple 1 : sections de la politique de clé qui autorisent l'accès à la clé gérée par le client

Ajoutez les déclarations de politique suivantes à la politique clé de la clé gérée par le client. Remplacez l'exemple d'ARN par l'ARN du rôle AWSServiceRoleForPCS lié à votre service. Cet exemple de politique donne au rôle lié au service AWS PCS (AWSServiceRoleForPCS) l'autorisation d'utiliser la clé gérée par le client.

{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}

{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}

Exemple 2 : sections de la politique de clé autorisant l'accès entre comptes à la clé gérée par le client

Si vous créez une clé gérée par le client dans un compte différent de celui de votre cluster AWS PCS, vous devez utiliser une autorisation en combinaison avec la politique en matière de clés pour autoriser l'accès à la clé entre comptes.

Pour autoriser l'accès à la clé

1. Ajoutez les déclarations de politique suivantes à la politique clé de la clé gérée par le client. Remplacez l'exemple d'ARN par l'ARN de l'autre compte. 111122223333Remplacez-le par l'ID de compte réel du compte dans Compte AWS lequel vous souhaitez créer le cluster AWS PCS. Cela vous permet de donner à un utilisateur ou à un rôle IAM du compte spécifié l'autorisation de créer un octroi pour la clé à l'aide de la commande CLI suivante. Par défaut, les utilisateurs n'ont pas accès à la clé.

   {.
      "Sid": "Allow external account 111122223333 use of the customer managed key",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey"
      ],
      "Resource": "*"
   }

   {
      "Sid": "Allow attachment of persistent resources in external account 111122223333",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:CreateGrant"
      ],
      "Resource": "*"
   }

2. À partir du compte dans lequel vous souhaitez créer le cluster AWS PCS, créez une subvention qui délègue les autorisations pertinentes au rôle lié au service AWS PCS. La valeur de grantee-principal est l'ARN du rôle lié au service. La valeur de key-id est l'ARN de la clé.

   L'exemple de commande CLI create-grant suivant donne au rôle lié au service nommé AWSServiceRoleForPCS dans le compte l'111122223333autorisation d'utiliser la clé gérée par le client dans le compte. 444455556666

   aws kms create-grant \
     --region us-west-2 \
     --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
     --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \
     --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"

   Note

   L'utilisateur qui fait la demande doit être autorisé à utiliser l'kms:CreateGrantaction.

   L'exemple de politique IAM suivant permet à une identité IAM (utilisateur ou rôle) dans le compte 111122223333 de créer une autorisation pour la clé gérée par le client dans le compte. 444455556666

   JSON

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
         "Effect": "Allow",
         "Action": "kms:CreateGrant",
         "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
       }
     ]
   }
   

   Pour plus d'informations sur la création d'un octroi pour une clé KMS dans un autre Compte AWS, consultez la rubrique Octrois dans AWS KMS dans le Guide du développeur AWS Key Management Service .

   Important

   Le nom du rôle lié au service spécifié en tant que principal bénéficiaire doit être le nom d'un rôle existant. Après avoir créé la subvention, pour vous assurer qu'elle autorise AWS PCS à utiliser la clé KMS spécifiée, ne supprimez pas et ne recréez pas le rôle lié au service.

Modifier des politiques de clé dans la console AWS KMS

Les exemples des sections précédentes montrent comment ajouter des déclarations à une politique de clé, qui est simplement un moyen de modifier une politique de clé. Le moyen le plus simple de modifier une politique clé consiste à utiliser la vue par défaut de la AWS KMS console pour les politiques clés et à faire d'une identité IAM (utilisateur ou rôle) l'un des principaux utilisateurs de la stratégie clé appropriée. Pour plus d'informations, consultez la section Utilisation de l'affichage AWS Management Console par défaut dans le Guide du AWS Key Management Service développeur.

Avertissement

Les déclarations de politique d'affichage par défaut de la console incluent les autorisations permettant d'effectuer AWS KMS Revoke des opérations sur la clé gérée par le client. Si vous révoquez une autorisation qui donnait Compte AWS accès à une clé gérée par le client dans votre compte, les utilisateurs de ce compte Compte AWS perdent l'accès aux données cryptées et à la clé.