Menggunakan IAM kebijakan dengan AWS KMS - AWS Key Management Service
Mengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan IAM kebijakan dengan AWS KMS

Anda dapat menggunakan IAM kebijakan, bersama dengan kebijakan utama, hibah, dan kebijakan VPC titik akhir, untuk mengontrol akses ke akun Anda AWS KMS keys . AWS KMS

catatan

Untuk menggunakan IAM kebijakan untuk mengontrol akses ke KMS kunci, kebijakan kunci untuk KMS kunci harus memberikan izin akun untuk menggunakan IAM kebijakan. Secara khusus, kebijakan utama harus menyertakan pernyataan kebijakan yang memungkinkan IAM kebijakan.

Bagian ini menjelaskan cara menggunakan IAM kebijakan untuk mengontrol akses ke AWS KMS operasi. Untuk informasi lebih umum tentangIAM, lihat Panduan IAM Pengguna.

Semua KMS kunci harus memiliki kebijakan kunci. IAMkebijakan bersifat opsional. Untuk menggunakan IAM kebijakan untuk mengontrol akses ke KMS kunci, kebijakan kunci untuk KMS kunci harus memberikan izin akun untuk menggunakan IAM kebijakan. Secara khusus, kebijakan utama harus menyertakan pernyataan kebijakan yang memungkinkan IAM kebijakan.

IAMkebijakan dapat mengontrol akses ke AWS KMS operasi apa pun. Tidak seperti kebijakan utama, IAM kebijakan dapat mengontrol akses ke beberapa KMS kunci dan memberikan izin untuk pengoperasian beberapa AWS layanan terkait. Tetapi IAM kebijakan sangat berguna untuk mengendalikan akses ke operasi, seperti CreateKey, yang tidak dapat dikendalikan oleh kebijakan utama karena mereka tidak melibatkan KMS kunci tertentu.

Jika Anda mengakses AWS KMS melalui titik akhir Amazon Virtual Private Cloud (AmazonVPC), Anda juga dapat menggunakan kebijakan VPC titik akhir untuk membatasi akses ke AWS KMS sumber daya saat menggunakan titik akhir. Misalnya, saat menggunakan VPC titik akhir, Anda mungkin hanya mengizinkan prinsipal di Anda Akun AWS untuk mengakses kunci terkelola pelanggan Anda. Untuk detailnya, lihat kebijakan VPC titik akhir.

Untuk bantuan menulis dan memformat dokumen JSON kebijakan, lihat Referensi IAM JSON Kebijakan di Panduan IAM Pengguna.

Anda dapat menggunakan IAM kebijakan dengan cara berikut:

  • Lampirkan kebijakan izin ke peran untuk izin federasi atau lintas akun — Anda dapat melampirkan IAM kebijakan ke IAM peran untuk mengaktifkan federasi identitas, mengizinkan izin lintas akun, atau memberikan izin ke aplikasi yang berjalan pada instance. EC2 Untuk informasi selengkapnya tentang berbagai kasus penggunaan untuk IAM peran, lihat IAMPeran di Panduan IAM Pengguna.

  • Melampirkan kebijakan izin ke pengguna atau grup — Anda dapat melampirkan kebijakan yang memungkinkan pengguna atau grup pengguna untuk memanggil AWS KMS operasi. Namun, praktik IAM terbaik merekomendasikan agar Anda menggunakan identitas dengan kredensi sementara, seperti IAM peran, bila memungkinkan.

Contoh berikut menunjukkan IAM kebijakan dengan AWS KMS izin. Kebijakan ini memungkinkan IAM identitas yang dilampirkan untuk mencantumkan semua KMS kunci dan alias.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

Seperti semua IAM kebijakan, kebijakan ini tidak memiliki Principal elemen. Saat Anda melampirkan IAM kebijakan ke IAM identitas, identitas tersebut akan mendapatkan izin yang ditentukan dalam kebijakan tersebut.

Untuk tabel yang menunjukkan semua AWS KMS API tindakan dan sumber daya yang mereka terapkan, lihatReferensi izin.

Mengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS

IAMgrup bukan prinsip yang valid dalam kebijakan utama. Untuk memungkinkan beberapa pengguna dan peran mengakses KMS kunci, lakukan salah satu hal berikut:

  • Gunakan IAM peran sebagai prinsipal dalam kebijakan kunci. Beberapa pengguna yang berwenang dapat mengambil peran sesuai kebutuhan. Untuk detailnya, lihat IAMperan di Panduan IAM Pengguna.

    Meskipun Anda dapat mencantumkan beberapa IAM pengguna dalam kebijakan utama, praktik ini tidak disarankan karena mengharuskan Anda memperbarui kebijakan kunci setiap kali daftar pengguna yang berwenang berubah. Selain itu, praktik IAM terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

  • Gunakan IAM kebijakan untuk memberikan izin kepada IAM grup. Untuk melakukan ini, pastikan bahwa kebijakan kunci menyertakan pernyataan yang memungkinkan IAM kebijakan mengizinkan akses ke KMS kunci, membuat IAM kebijakan yang memungkinkan akses ke KMS kunci, dan kemudian melampirkan kebijakan tersebut ke IAM grup yang berisi IAM pengguna yang berwenang. Dengan menggunakan pendekatan ini, Anda tidak perlu mengubah kebijakan apa pun ketika daftar pengguna yang diotorisasi berubah. Sebagai gantinya, Anda hanya perlu menambah atau menghapus pengguna tersebut dari IAM grup yang sesuai. Untuk detailnya, lihat grup IAM pengguna di Panduan IAM Pengguna

Untuk informasi selengkapnya tentang cara kebijakan dan IAM kebijakan AWS KMS utama bekerja sama, lihatIzin pemecahan masalah AWS KMS.