Mengotorisasi manajer dan pengguna toko AWS CloudHSM utama Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2

Kontrol akses ke toko AWS CloudHSM kunci Anda

Anda menggunakan IAM kebijakan untuk mengontrol akses ke penyimpanan AWS CloudHSM kunci dan AWS CloudHSM klaster Anda. Anda dapat menggunakan kebijakan, IAM kebijakan, dan hibah utama untuk mengontrol akses ke AWS KMS keys toko AWS CloudHSM kunci Anda. Sebaiknya Anda menyediakan pengguna, grup, dan peran izin yang hanya mereka perlukan untuk tugas-tugas yang sangat mungkin akan mereka lakukan.

Topik

Mengotorisasi manajer dan pengguna toko AWS CloudHSM utama
Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2

Mengotorisasi manajer dan pengguna toko AWS CloudHSM utama

Saat mendesain toko AWS CloudHSM kunci Anda, pastikan bahwa kepala sekolah yang menggunakan dan mengelolanya hanya memiliki izin yang mereka butuhkan. Daftar berikut menjelaskan izin minimum yang diperlukan untuk pengelola dan pengguna toko AWS CloudHSM utama.

Prinsipal yang membuat dan mengelola toko AWS CloudHSM kunci Anda memerlukan izin berikut untuk menggunakan operasi penyimpanan AWS CloudHSM kunci. API
- cloudhsm:DescribeClusters
- kms:CreateCustomKeyStore
- kms:ConnectCustomKeyStore
- kms:DeleteCustomKeyStore
- kms:DescribeCustomKeyStores
- kms:DisconnectCustomKeyStore
- kms:UpdateCustomKeyStore
- iam:CreateServiceLinkedRole
Prinsipal yang membuat dan mengelola AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda memerlukan izin untuk membuat dan menginisialisasi cluster. AWS CloudHSM Ini termasuk izin untuk membuat atau menggunakan Amazon Virtual Private Cloud (VPC), membuat subnet, dan membuat EC2 instance Amazon. Mereka mungkin juga perlu membuat dan menghapusHSMs, dan mengelola cadangan. Untuk daftar izin yang diperlukan, lihat Identitas dan manajemen akses AWS CloudHSM di Panduan AWS CloudHSM Pengguna.
Prinsipal yang membuat dan mengelola AWS KMS keys di toko AWS CloudHSM kunci Anda memerlukan izin yang sama dengan mereka yang membuat dan mengelola kunci apa pun. KMS AWS KMSKebijakan kunci default untuk KMS kunci di penyimpanan AWS CloudHSM kunci identik dengan kebijakan kunci default untuk KMS kunci masuk AWS KMS. Attribute-based access control (ABAC), yang menggunakan tag dan alias untuk mengontrol akses ke KMS kunci, juga efektif pada KMS kunci di AWS CloudHSM toko utama.
Prinsipal yang menggunakan KMS kunci di toko AWS CloudHSM kunci Anda untuk operasi kriptografi memerlukan izin untuk melakukan operasi kriptografi dengan KMS kunci, seperti KMS: Decrypt. Anda dapat memberikan izin ini dalam kebijakan utama, IAM kebijakan. Tapi, mereka tidak memerlukan izin tambahan untuk menggunakan KMS kunci di toko AWS CloudHSM kunci.

Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2

Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan di Anda. Akun AWS Pengguna yang membuat toko AWS CloudHSM kunci harus memiliki iam:CreateServiceLinkedRole izin yang memungkinkan mereka membuat peran terkait layanan.

Tentang peran AWS KMS terkait layanan

Peran terkait layanan adalah IAM peran yang memberikan satu izin AWS layanan untuk memanggil AWS layanan lain atas nama Anda. Ini dirancang untuk memudahkan Anda menggunakan fitur dari beberapa AWS layanan terintegrasi tanpa harus membuat dan memelihara IAM kebijakan yang kompleks. Untuk informasi selengkapnya, lihat Menggunakan peran tertaut layanan untuk AWS KMS.

Untuk penyimpanan AWS CloudHSM utama, AWS KMS buat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan dengan kebijakan. AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy Kebijakan ini memberi peran izin berikut:

Cloudhsm:describe* — mendeteksi perubahan dalam AWS CloudHSM cluster yang dilampirkan ke toko kunci kustom Anda.
ec2: CreateSecurityGroup — digunakan saat Anda menghubungkan toko AWS CloudHSM kunci untuk membuat grup keamanan yang memungkinkan arus lalu lintas jaringan antara AWS KMS dan AWS CloudHSM cluster Anda.
ec2: AuthorizeSecurityGroupIngress — digunakan ketika Anda menghubungkan toko AWS CloudHSM kunci untuk memungkinkan akses jaringan dari AWS KMS ke VPC yang berisi AWS CloudHSM cluster Anda.
ec2: CreateNetworkInterface — digunakan ketika Anda menghubungkan toko AWS CloudHSM kunci untuk membuat antarmuka jaringan yang digunakan untuk komunikasi antara AWS KMS dan AWS CloudHSM cluster.
ec2: RevokeSecurityGroupEgress — digunakan saat Anda menghubungkan toko AWS CloudHSM kunci untuk menghapus semua aturan keluar dari grup keamanan yang AWS KMS dibuat.
ec2: DeleteSecurityGroup — digunakan saat Anda memutuskan penyimpanan AWS CloudHSM kunci untuk menghapus grup keamanan yang dibuat saat Anda menghubungkan toko AWS CloudHSM kunci.
ec2: DescribeSecurityGroups — digunakan untuk memantau perubahan dalam grup keamanan yang AWS KMS dibuat di VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.
ec2: DescribeVpcs — digunakan untuk memantau perubahan VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.
ec2: DescribeNetworkAcls — digunakan untuk memantau perubahan dalam jaringan ACLs untuk VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.
ec2: DescribeNetworkInterfaces — digunakan untuk memantau perubahan pada antarmuka jaringan yang AWS KMS dibuat di VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Karena peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan hanya mempercayaicks.kms.amazonaws.com, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang AWS KMS perlu melihat AWS CloudHSM kluster Anda dan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkait. Itu tidak memberikan AWS KMS izin tambahan. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mengelola, atau menghapus AWS CloudHSM cluster,HSMs, atau backup Anda.

Daerah

Seperti fitur toko AWS CloudHSM utama, AWSServiceRoleForKeyManagementServiceCustomKeyStoresperan ini didukung di semua Wilayah AWS tempat AWS KMS dan AWS CloudHSM tersedia. Untuk daftar yang didukung Wilayah AWS oleh setiap layanan, lihat AWS Key Management Service Titik Akhir dan Kuota dan AWS CloudHSM titik akhir dan kuota di. Referensi Umum Amazon Web Services

Untuk informasi selengkapnya tentang cara AWS layanan menggunakan peran terkait layanan, lihat Menggunakan peran terkait layanan di Panduan Pengguna. IAM

Membuat peran terkait layanan

AWS KMS secara otomatis membuat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan di Akun AWS saat Anda membuat penyimpanan AWS CloudHSM kunci, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung.

Mengedit deskripsi peran tertaut layanan

Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk petunjuknya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.

Menghapus peran terkait layanan

AWS KMS tidak menghapus peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan dari Anda Akun AWS bahkan jika Anda telah menghapus semua toko AWS CloudHSM utama Anda. Meskipun saat ini tidak ada prosedur untuk menghapus peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan, AWS KMS tidak mengambil peran ini atau menggunakan izinnya kecuali Anda memiliki penyimpanan kunci aktif. AWS CloudHSM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS CloudHSM toko-toko utama

Buat toko AWS CloudHSM kunci