Autorizzazione di gestori e utenti dell'archivio delle chiavi di AWS CloudHSM Autorizzazione di AWS KMS per gestire risorse AWS CloudHSM e Amazon EC2

Controllo dell'accesso all'archivio delle chiavi di AWS CloudHSM

Le policy IAM ti consentono di controllare l'accesso all'archivio delle chiavi di AWS CloudHSM e al cluster AWS CloudHSM. Puoi utilizzare le policy chiave, le policy IAM e le concessioni per controllare l'accesso alle AWS KMS keys nell'archivio delle chiavi di AWS CloudHSM. Ti consigliamo di concedere a utenti, gruppi e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

Argomenti

Autorizzazione di gestori e utenti dell'archivio delle chiavi di AWS CloudHSM
Autorizzazione di AWS KMS per gestire risorse AWS CloudHSM e Amazon EC2

Autorizzazione di gestori e utenti dell'archivio delle chiavi di AWS CloudHSM

Durante la progettazione dell'archivio delle chiavi di AWS CloudHSM, assicurati che i principali che lo utilizzano e gestiscono dispongano soltanto delle autorizzazioni necessarie. L'elenco seguente descrive le autorizzazioni minime necessarie per i gestori e gli utenti dell'archivio delle chiavi di AWS CloudHSM.

I principali che creano e gestiscono l'archivio delle chiavi di AWS CloudHSM necessitano della seguente autorizzazione per utilizzare le operazioni API relative all'archivio di AWS CloudHSM.
- cloudhsm:DescribeClusters
- kms:CreateCustomKeyStore
- kms:ConnectCustomKeyStore
- kms:DeleteCustomKeyStore
- kms:DescribeCustomKeyStores
- kms:DisconnectCustomKeyStore
- kms:UpdateCustomKeyStore
- iam:CreateServiceLinkedRole
I principali che creano e gestiscono il cluster AWS CloudHSM associato all'archivio delle chiavi di AWS CloudHSM devono disporre dell'autorizzazione per creare e inizializzare un cluster AWS CloudHSM. Ciò include l'autorizzazione a creare o utilizzare un cloud privato virtuale (VPC) di Amazon, creare sottoreti e un'istanza Amazon EC2. Potrebbero inoltre aver bisogno di creare ed eliminare HSM e gestire backup. Per un elenco delle autorizzazioni necessarie, consulta Identity and access management per AWS CloudHSM nella Guida per l'utente di AWS CloudHSM.
I principali che creano e gestiscono le AWS KMS keys nell'archivio delle chiavi di AWS CloudHSM devono disporre delle stesse autorizzazioni degli utenti che creano e gestiscono le chiavi KMS in AWS KMS. La policy chiave predefinita per le chiavi KMS in un archivio delle chiavi di AWS CloudHSM è identica alla policy chiave predefinita per le chiavi KMS in AWS KMS. Il controllo degli accessi basato su attributi (ABAC), che utilizza tag e alias per controllare l'accesso alle chiavi KMS, è efficace anche per le chiavi KMS negli archivi delle chiavi di AWS CloudHSM.
I principali che utilizzano le chiavi KMS nell'archivio delle chiavi di AWS CloudHSM per operazioni di crittografia devono essere autorizzati a eseguire l'operazione di crittografia con la chiave KMS, ad esempio kms:Decrypt. Puoi fornire queste autorizzazioni in una policy delle chiavi, una policy IAM. I principali non hanno tuttavia bisogno di autorizzazioni supplementari per utilizzare una chiave KMS in un archivio delle chiavi di AWS CloudHSM.

Autorizzazione di AWS KMS per gestire risorse AWS CloudHSM e Amazon EC2

Per supportare gli archivi delle chiavi di AWS CloudHSM, AWS KMS deve disporre dell'autorizzazione per ottenere informazioni sui cluster AWS CloudHSM. Ha inoltre bisogno dell'autorizzazione per creare l'infrastruttura di rete che connette l'archivio delle chiavi di AWS CloudHSM al relativo cluster AWS CloudHSM. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio nel tuo. Account AWS Gli utenti che creano archivi delle chiavi di AWS CloudHSM devono disporre dell'autorizzazione iam:CreateServiceLinkedRole che consente loro di creare ruoli collegati ai servizi.

Argomenti

Informazioni sul ruolo collegato ai servizi AWS KMS
Creazione del ruolo collegato ai servizi
Modifica della descrizione di un ruolo collegato ai servizi
Eliminazione del ruolo collegato ai servizi

Informazioni sul ruolo collegato ai servizi AWS KMS

Un ruolo collegato ai servizi è un ruolo IAM che concede a un servizio AWS l'autorizzazione per chiamare altri servizi AWS a tuo nome. È concepito per facilitare l'utilizzo delle funzionalità di molteplici servizi AWS integrati senza la necessità di creare e gestire policy IAM complesse. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS KMS.

Per gli archivi AWS CloudHSM chiave, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio con la policy. AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy Questa policy concede al ruolo le seguenti autorizzazioni:

CloudHSM:Describe* — rileva le modifiche nel AWS CloudHSM cluster collegato al tuo archivio di chiavi personalizzato.
ec2: CreateSecurityGroup — utilizzato quando connetti un archivio di AWS CloudHSM chiavi per creare il gruppo di sicurezza che abilita il flusso del traffico di rete tra e il cluster. AWS KMS AWS CloudHSM
ec2: AuthorizeSecurityGroupIngress — utilizzato quando si connette un AWS CloudHSM key store per consentire l'accesso alla rete dal AWS KMS VPC che contiene AWS CloudHSM il cluster.
ec2: CreateNetworkInterface — utilizzato quando si connette un AWS CloudHSM key store per creare l'interfaccia di rete utilizzata per la comunicazione tra AWS KMS e il cluster. AWS CloudHSM
ec2: RevokeSecurityGroupEgress — utilizzato quando si connette un archivio di AWS CloudHSM chiavi per rimuovere tutte le regole in uscita dal gruppo di sicurezza creato. AWS KMS
ec2: DeleteSecurityGroup — utilizzato quando si disconnette un archivio di AWS CloudHSM chiavi per eliminare i gruppi di sicurezza creati quando si è connesso l'archivio chiavi. AWS CloudHSM
ec2: DescribeSecurityGroups — utilizzato per monitorare le modifiche nel gruppo di sicurezza AWS KMS creato nel VPC che contiene AWS CloudHSM il cluster in modo AWS KMS che possa fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeVpcs — utilizzato per monitorare le modifiche nel VPC che contiene AWS CloudHSM il cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeNetworkAcls — utilizzato per monitorare le modifiche negli ACL di rete per il VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeNetworkInterfaces — utilizzato per monitorare le modifiche nelle interfacce di rete AWS KMS create nel VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Poiché solo il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio è affidabilecks.kms.amazonaws.com, solo può assumere questo ruolo collegato al servizio. AWS KMS Questo ruolo è limitato alle operazioni di cui AWS KMS necessita per visualizzare i cluster AWS CloudHSM e connettere un archivio delle chiavi di AWS CloudHSM al relativo cluster AWS CloudHSM. Non fornisce a AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, gestire o eliminare cluster AWS CloudHSM, HSM o backup.

Regioni

Come la funzionalità degli archivi AWS CloudHSM chiave, il AWSServiceRoleForKeyManagementServiceCustomKeyStoresruolo è supportato ovunque e è disponibile. Regioni AWS AWS KMS AWS CloudHSM Per un elenco di Regioni AWS supportate da ogni servizio, consulta Endpoint e quote AWS Key Management Service ed Endpoint e quote AWS CloudHSM nella Riferimenti generali di Amazon Web Services.

Per ulteriori informazioni su come i servizi AWS utilizzano i ruoli collegati ai servizi, consulta la pagina Uso di ruoli collegati ai servizi nella Guida per l'utente di IAM.

Creazione del ruolo collegato ai servizi

AWS KMScrea automaticamente il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio Account AWS quando crei un archivio di AWS CloudHSM chiavi, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.

Modifica della descrizione di un ruolo collegato ai servizi

Non puoi modificare il nome del ruolo o le istruzioni di policy nel ruolo collegato ai servizi AWSServiceRoleForKeyManagementServiceCustomKeyStores, ma puoi modificare la descrizione del ruolo. Per istruzioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione del ruolo collegato ai servizi

AWS KMSnon elimina il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio dal tuo Account AWS anche se hai eliminato tutti i tuoi archivi di chiavi. AWS CloudHSM Sebbene al momento non esista una procedura per eliminare il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio, non assume questo ruolo né ne utilizza le autorizzazioni a meno che AWS KMS non disponga di archivi di chiavi attivi. AWS CloudHSM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concetti fondamentali sull'archivio delle chiavi di AWS CloudHSM

Gestione di un archivio delle chiavi personalizzate di CloudHSM