Kontrol akses ke toko AWS CloudHSM kunci Anda - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol akses ke toko AWS CloudHSM kunci Anda

Anda menggunakan IAM kebijakan untuk mengontrol akses ke penyimpanan AWS CloudHSM kunci dan AWS CloudHSM klaster Anda. Anda dapat menggunakan kebijakan, IAM kebijakan, dan hibah utama untuk mengontrol akses ke AWS KMS keys toko AWS CloudHSM kunci Anda. Sebaiknya Anda menyediakan pengguna, grup, dan peran izin yang hanya mereka perlukan untuk tugas-tugas yang sangat mungkin akan mereka lakukan.

Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan di Anda. Akun AWS Untuk informasi selengkapnya, lihat Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2.

Saat mendesain toko AWS CloudHSM kunci Anda, pastikan bahwa kepala sekolah yang menggunakan dan mengelolanya hanya memiliki izin yang mereka butuhkan. Daftar berikut menjelaskan izin minimum yang diperlukan untuk pengelola dan pengguna toko AWS CloudHSM utama.

  • Prinsipal yang membuat dan mengelola toko AWS CloudHSM kunci Anda memerlukan izin berikut untuk menggunakan operasi penyimpanan AWS CloudHSM kunci. API

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • Prinsipal yang membuat dan mengelola AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda memerlukan izin untuk membuat dan menginisialisasi cluster. AWS CloudHSM Ini termasuk izin untuk membuat atau menggunakan Amazon Virtual Private Cloud (VPC), membuat subnet, dan membuat EC2 instance Amazon. Mereka mungkin juga perlu membuat dan menghapusHSMs, dan mengelola cadangan. Untuk daftar izin yang diperlukan, lihat Identitas dan manajemen akses AWS CloudHSM di Panduan AWS CloudHSM Pengguna.

  • Prinsipal yang membuat dan mengelola AWS KMS keys di toko AWS CloudHSM kunci Anda memerlukan izin yang sama dengan mereka yang membuat dan mengelola kunci apa pun. KMS AWS KMSKebijakan kunci default untuk KMS kunci di penyimpanan AWS CloudHSM kunci identik dengan kebijakan kunci default untuk KMS kunci masuk AWS KMS. Attribute-based access control (ABAC), yang menggunakan tag dan alias untuk mengontrol akses ke KMS kunci, juga efektif pada KMS kunci di AWS CloudHSM toko utama.

  • Prinsipal yang menggunakan KMS kunci di toko AWS CloudHSM kunci Anda untuk operasi kriptografi memerlukan izin untuk melakukan operasi kriptografi dengan KMS kunci, seperti KMS: Decrypt. Anda dapat memberikan izin ini dalam kebijakan utama, IAM kebijakan. Tapi, mereka tidak memerlukan izin tambahan untuk menggunakan KMS kunci di toko AWS CloudHSM kunci.