Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan kunci KMS yang diperlukan untuk digunakan dengan volume EBS terenkripsi di PCS AWS
AWS PCS menggunakan peran terkait layanan untuk mendelegasikan izin ke yang lain. Layanan AWS Peran terkait layanan AWS PCS telah ditentukan sebelumnya dan mencakup izin yang diperlukan AWS PCS untuk memanggil orang lain Layanan AWS atas nama Anda. Izin yang telah ditentukan juga mencakup akses ke kunci yang dikelola pelanggan Anda Kunci yang dikelola AWS tetapi tidak ke kunci yang dikelola pelanggan Anda.
Topik ini menjelaskan cara menyiapkan kebijakan kunci yang diperlukan untuk meluncurkan instance saat Anda menentukan kunci terkelola pelanggan untuk enkripsi Amazon EBS.
catatan
AWS PCS tidak memerlukan otorisasi tambahan untuk menggunakan default Kunci yang dikelola AWS untuk melindungi volume terenkripsi di akun Anda.
Daftar Isi
Gambaran Umum
Anda dapat menggunakan yang berikut ini AWS KMS keys untuk enkripsi Amazon EBS saat AWS PCS meluncurkan instance:
-
Kunci yang dikelola AWS— Kunci enkripsi di akun Anda yang dibuat, dimiliki, dan dikelola Amazon EBS. Ini adalah kunci enkripsi default untuk akun baru. Amazon EBS menggunakan enkripsi Kunci yang dikelola AWS for kecuali Anda menentukan kunci yang dikelola pelanggan.
-
Kunci terkelola pelanggan — Kunci enkripsi khusus yang Anda buat, miliki, dan kelola. Untuk informasi selengkapnya, lihat Membuat kunci KMS di Panduan AWS Key Management Service Pengembang.
catatan
Kuncinya harus simetris. Amazon EBS tidak mendukung kunci yang dikelola pelanggan asimetris.
Anda mengonfigurasi kunci terkelola pelanggan saat membuat snapshot terenkripsi atau templat peluncuran yang menentukan volume terenkripsi, atau saat Anda memilih untuk mengaktifkan enkripsi secara default.
Konfigurasikan kebijakan utama
Kunci KMS Anda harus memiliki kebijakan kunci yang memungkinkan AWS PCS meluncurkan instans dengan volume Amazon EBS yang dienkripsi dengan kunci yang dikelola pelanggan.
Gunakan contoh di halaman ini untuk mengonfigurasi kebijakan kunci agar AWS PCS mengakses kunci terkelola pelanggan Anda. Anda dapat mengubah kebijakan kunci kunci terkelola pelanggan saat Anda membuat kunci atau di lain waktu.
Kebijakan utama harus memiliki pernyataan berikut:
-
Pernyataan yang memungkinkan identitas IAM yang ditentukan dalam
Principalelemen untuk menggunakan kunci yang dikelola pelanggan secara langsung. Ini termasuk izin untuk melakukan AWS KMSEncrypt,,Decrypt,ReEncrypt*GenerateDataKey*, danDescribeKeyoperasi pada kunci. -
Pernyataan yang memungkinkan identitas IAM yang ditentukan dalam
Principalelemen untuk menggunakanCreateGrantoperasi untuk menghasilkan hibah yang mendelegasikan subset dari izinnya sendiri untuk Layanan AWS yang terintegrasi dengan atau prinsipal lain. AWS KMS Ini memungkinkan mereka untuk menggunakan kunci untuk membuat sumber daya terenkripsi atas nama Anda.
Jangan mengubah pernyataan yang ada dalam kebijakan saat Anda menambahkan pernyataan kebijakan baru ke kebijakan utama Anda.
Untuk informasi selengkapnya, lihat:
-
create-key di Command Reference AWS CLI
-
put-key-policydalam Referensi AWS CLI Perintah
-
Temukan ID kunci dan kunci ARN di Panduan Pengembang AWS Key Management Service
-
Enkripsi Amazon EBS di Panduan Pengguna Amazon EBS
-
AWS Key Management Servicedi Panduan AWS Key Management Service Pengembang
Contoh 1: Bagian kebijakan utama yang memungkinkan akses ke kunci yang dikelola pelanggan
Tambahkan pernyataan kebijakan berikut ke kebijakan kunci kunci yang dikelola pelanggan. Ganti contoh ARN dengan ARN dari peran terkait layanan Anda. AWSServiceRoleForPCS Kebijakan contoh ini memberikan izin peran (AWSServiceRoleForPCS) terkait layanan AWS PCS untuk menggunakan kunci terkelola pelanggan.
{ "Sid": "Allow service-linked role use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }
Contoh 2: Bagian kebijakan utama yang memungkinkan akses lintas akun ke kunci yang dikelola pelanggan
Jika Anda membuat kunci terkelola pelanggan di akun yang berbeda dari klaster AWS PCS Anda, Anda harus menggunakan hibah yang dikombinasikan dengan kebijakan kunci untuk mengizinkan akses lintas akun ke kunci tersebut.
Untuk memberikan akses ke kunci
-
Tambahkan pernyataan kebijakan berikut ke kebijakan kunci kunci terkelola pelanggan. Ganti contoh ARN dengan ARN dari akun lain. Ganti
111122223333dengan ID akun aktual dari tempat Akun AWS Anda ingin membuat cluster AWS PCS. Ini memungkinkan Anda untuk memberikan pengguna IAM atau peran dalam izin akun yang ditentukan untuk membuat hibah untuk kunci menggunakan perintah CLI yang mengikuti. Secara default, pengguna tidak memiliki akses ke kunci.{. "Sid": "Allow external account111122223333use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }{ "Sid": "Allow attachment of persistent resources in external account111122223333", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*" } -
Dari akun tempat Anda ingin membuat klaster AWS PCS, buat hibah yang mendelegasikan izin yang relevan ke peran terkait layanan AWS PCS. Nilai
grantee-principaladalah ARN dari peran terkait layanan. Nilaikey-idadalah ARN dari kuncinya.Contoh perintah CLI create-grant berikut memberikan peran terkait layanan yang
AWSServiceRoleForPCSdinamai dalam izin111122223333akun untuk menggunakan kunci terkelola pelanggan di akun.444455556666aws kms create-grant \ --regionus-west-2\ --key-idarn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d\ --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"catatan
Pengguna yang membuat permintaan harus memiliki izin untuk menggunakan
kms:CreateGranttindakan.Contoh berikut kebijakan IAM memungkinkan identitas IAM (pengguna atau peran) di akun
111122223333untuk membuat hibah untuk kunci yang dikelola pelanggan di akun.444455556666Untuk informasi selengkapnya tentang membuat hibah untuk kunci KMS yang berbeda Akun AWS, lihat Hibah AWS KMS di Panduan AWS Key Management Service Pengembang.
penting
Nama peran terkait layanan yang ditentukan sebagai kepala penerima hibah harus merupakan nama peran yang ada. Setelah membuat hibah, untuk memastikan bahwa hibah memungkinkan AWS PCS untuk menggunakan kunci KMS yang ditentukan, jangan hapus dan buat ulang peran terkait layanan.
Edit kebijakan utama di AWS KMS konsol
Contoh di bagian sebelumnya hanya menunjukkan cara menambahkan pernyataan ke kebijakan kunci, yang merupakan salah satu cara untuk mengubah kebijakan kunci. Cara termudah untuk mengubah kebijakan kunci adalah dengan menggunakan tampilan default AWS KMS konsol untuk kebijakan utama dan menjadikan identitas IAM (pengguna atau peran) sebagai salah satu pengguna utama untuk kebijakan kunci yang sesuai. Untuk informasi selengkapnya, lihat Menggunakan tampilan AWS Management Console default di Panduan AWS Key Management Service Pengembang.
Awas
Pernyataan kebijakan tampilan default konsol menyertakan izin untuk melakukan AWS KMS Revoke operasi pada kunci terkelola pelanggan. Jika Anda mencabut hibah yang memberikan Akun AWS akses ke kunci yang dikelola pelanggan di akun Anda, pengguna yang Akun AWS kehilangan akses ke data terenkripsi dan kunci tersebut.
