Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk menggunakannya AWS KMS, Anda harus memiliki kredensi yang AWS dapat digunakan untuk mengautentikasi permintaan Anda. Kredensi harus menyertakan izin untuk mengakses AWS sumber daya: AWS KMS keys dan alias. Tidak ada AWS prinsipal yang memiliki izin untuk kunci KMS kecuali izin tersebut diberikan secara eksplisit dan tidak pernah ditolak. Tidak ada izin implisit atau otomatis untuk menggunakan atau mengelola kunci KMS.
Untuk mengontrol akses ke kunci KMS, Anda dapat menggunakan mekanisme kebijakan berikut.
-
Kebijakan kunci — Setiap kunci KMS memiliki kebijakan utama. Ini adalah mekanisme utama untuk mengendalikan akses ke kunci KMS. Anda dapat menggunakan kebijakan kunci sendiri untuk mengontrol akses, yang berarti cakupan penuh akses ke kunci KMS didefinisikan dalam satu dokumen (kebijakan kunci). Untuk informasi selengkapnya tentang cara menggunakan kebijakan kunci, lihat Kebijakan utama.
-
Kebijakan IAM — Anda dapat menggunakan kebijakan IAM dalam kombinasi dengan kebijakan utama dan hibah untuk mengontrol akses ke kunci KMS. Mengontrol akses dengan cara ini memungkinkan Anda mengelola semua izin untuk identitas IAM Anda di IAM. Untuk menggunakan kebijakan IAM untuk mengizinkan akses ke kunci KMS, kebijakan kunci harus secara eksplisit mengizinkannya. Untuk informasi selengkapnya tentang cara menggunakan kebijakan IAM, lihat Kebijakan IAM.
-
Hibah — Anda dapat menggunakan hibah dalam kombinasi dengan kebijakan utama dan kebijakan IAM untuk mengizinkan akses ke kunci KMS. Mengontrol akses dengan cara ini memungkinkan Anda mengizinkan akses ke kunci KMS dalam kebijakan kunci, dan mengizinkan identitas mendelegasikan akses mereka ke orang lain. Untuk informasi selengkapnya tentang cara menggunakan izin, lihat Hibah di AWS KMS.
Kebijakan utama KMS
Cara utama untuk mengelola akses ke AWS KMS sumber daya Anda adalah dengan kebijakan. Kebijakan adalah dokumen yang menjelaskan prinsip mana yang dapat mengakses sumber daya mana. Kebijakan yang melekat pada identitas IAM disebut kebijakan berbasis identitas (atau kebijakan IAM), dan kebijakan yang melekat pada jenis sumber daya lainnya disebut kebijakan sumber daya. AWS KMS kebijakan sumber daya untuk kunci KMS disebut kebijakan kunci.
Semua kunci KMS memiliki kebijakan kunci. Jika Anda tidak menyediakannya, AWS KMS buatlah satu untuk Anda. Kebijakan kunci default yang AWS KMS menggunakan berbeda tergantung pada apakah Anda membuat kunci di AWS KMS konsol atau Anda menggunakan AWS KMS API. Sebaiknya Anda mengedit kebijakan kunci default agar selaras dengan persyaratan organisasi Anda untuk izin hak istimewa paling sedikit.
Anda dapat menggunakan kebijakan kunci sendiri untuk mengontrol akses jika kunci dan prinsipal IAM berada di AWS akun yang sama, yang berarti cakupan penuh akses ke kunci KMS didefinisikan dalam satu dokumen (kebijakan kunci). Namun, ketika penelepon di satu akun harus mengakses kunci di akun yang berbeda, Anda tidak dapat menggunakan kebijakan kunci sendiri untuk memberikan akses. Dalam skenario lintas akun, kebijakan IAM harus dilampirkan ke pengguna atau peran pemanggil yang secara eksplisit memungkinkan pemanggil untuk melakukan panggilan API.
Anda juga dapat menggunakan kebijakan IAM dalam kombinasi dengan kebijakan utama dan hibah untuk mengontrol akses ke kunci KMS. Untuk menggunakan kebijakan IAM untuk mengontrol akses ke kunci KMS, kebijakan kunci harus memberikan izin akun untuk menggunakan kebijakan IAM. Anda dapat menentukan pernyataan kebijakan kunci yang mengaktifkan kebijakan IAM, atau Anda dapat secara eksplisit menentukan prinsip yang diizinkan dalam kebijakan utama.
Saat menulis kebijakan, pastikan Anda memiliki kontrol kuat yang membatasi siapa yang dapat melakukan tindakan berikut:
-
Memperbarui, membuat, dan menghapus kebijakan kunci IAM dan KMS
-
Lampirkan dan lepaskan kebijakan IAM dari pengguna, peran, dan grup
-
Pasang dan lepaskan kebijakan kunci KMS dari kunci KMS Anda
Hibah kunci KMS
Selain IAM dan kebijakan utama, AWS KMS mendukung hibah. Hibah menyediakan cara yang fleksibel dan ampuh untuk mendelegasikan izin. Anda dapat menggunakan hibah untuk mengeluarkan akses kunci KMS terikat waktu ke prinsipal IAM di akun Anda, atau di akun AWS lain. AWS Kami merekomendasikan untuk mengeluarkan akses terikat waktu jika Anda tidak mengetahui nama prinsipal pada saat kebijakan dibuat, atau jika prinsip yang memerlukan akses sering berubah. Pokok penerima hibah dapat berada di akun yang sama dengan kunci KMS atau akun yang berbeda. Jika kunci utama dan KMS berada di akun yang berbeda, maka Anda harus menentukan kebijakan IAM selain hibah. Hibah memerlukan manajemen tambahan karena Anda harus memanggil API untuk membuat hibah dan untuk pensiun atau mencabut hibah ketika tidak lagi diperlukan.
Topik berikut memberikan rincian tentang bagaimana Anda dapat menggunakan AWS Identity and Access Management (IAM) dan AWS KMS izin untuk membantu mengamankan sumber daya Anda dengan mengontrol siapa yang dapat mengaksesnya.
