Mengontrol akses ke kunci HMAC KMS - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses ke kunci HMAC KMS

Untuk mengontrol akses ke kunci HMAC KMS, Anda menggunakan kebijakan kunci, yang diperlukan untuk setiap kunci KMS. Anda juga dapat menggunakan kebijakan dan hibah IAM.

Kebijakan kunci default untuk kunci HMAC yang dibuat di AWS KMS konsol memberikan izin kepada pengguna kunci untuk memanggil GenerateMacdan VerifyMacoperasi. Namun, itu tidak termasuk pernyataan kebijakan utama yang dirancang untuk menggunakan hibah dengan AWS layanan. Jika Anda membuat kunci HMAC dengan menggunakan CreateKeyoperasi, Anda harus menentukan izin ini dalam kebijakan kunci atau kebijakan IAM.

Anda dapat menggunakan kunci kondisi AWS global dan tombol AWS KMS kondisi untuk memperbaiki dan membatasi izin ke kunci HMAC. Misalnya, Anda dapat menggunakan tombol kms:ResourceAliaseskondisi untuk mengontrol akses ke AWS KMS operasi berdasarkan alias yang terkait dengan kunci HMAC. Ketentuan AWS KMS kebijakan berikut berguna untuk kebijakan pada kunci HMAC.

  • Gunakan tombol kms:MacAlgorithmkondisi untuk membatasi algoritme yang dapat diminta oleh prinsipal saat mereka memanggil dan operasi. GenerateMacVerifyMac Misalnya, Anda dapat mengizinkan prinsipal untuk memanggil GenerateMac operasi tetapi hanya ketika algoritma MAC dalam permintaan tersebut. HMAC_SHA_384

  • Gunakan tombol kms:KeySpeckondisi untuk mengizinkan atau mencegah prinsipal membuat jenis kunci HMAC tertentu. Misalnya, untuk mengizinkan prinsipal membuat hanya kunci HMAC, Anda dapat mengizinkan CreateKeyoperasi, tetapi gunakan kms:KeySpec kondisi untuk mengizinkan hanya kunci dengan spesifikasi kunci. HMAC_384

    Anda juga dapat menggunakan tombol kms:KeySpec kondisi untuk mengontrol akses ke operasi lain pada kunci KMS berdasarkan spesifikasi kunci kunci. Misalnya, Anda dapat mengizinkan prinsipal untuk menjadwalkan dan membatalkan penghapusan kunci hanya pada kunci KMS dengan spesifikasi kunci. HMAC_256

  • Gunakan tombol kms:KeyUsagekondisi untuk mengizinkan atau mencegah prinsipal membuat kunci HMAC apa pun. Misalnya, untuk mengizinkan prinsipal membuat hanya kunci HMAC, Anda dapat mengizinkan CreateKeyoperasi, tetapi gunakan kms:KeyUsage kondisi untuk mengizinkan hanya kunci dengan penggunaan kunci. GENERATE_VERIFY_MAC

    Anda juga dapat menggunakan tombol kms:KeyUsage kondisi untuk mengontrol akses ke operasi lain pada kunci KMS berdasarkan penggunaan kunci kunci. Misalnya, Anda dapat mengizinkan prinsipal untuk mengaktifkan dan menonaktifkan hanya pada kunci KMS dengan penggunaan kunci. GENERATE_VERIFY_MAC

Anda juga dapat membuat hibah untuk GenerateMacdan VerifyMacoperasi, yang merupakan operasi hibah. Namun, Anda tidak dapat menggunakan batasan hibah konteks enkripsi dalam hibah untuk kunci HMAC. Format tag HMAC tidak mendukung nilai konteks enkripsi.