Controlla l'accesso al tuo archivio di AWS CloudHSM chiavi - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso al tuo archivio di AWS CloudHSM chiavi

Utilizzi IAM le policy per controllare l'accesso al tuo archivio di AWS CloudHSM chiavi e al tuo AWS CloudHSM cluster. È possibile utilizzare policy, IAM policy e concessioni chiave per controllare l'accesso a tali file AWS KMS keys nel proprio AWS CloudHSM key store. Ti consigliamo di concedere a utenti, gruppi e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio nel tuo. Account AWS Per ulteriori informazioni, consulta Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2.

Durante la progettazione del tuo archivio di AWS CloudHSM chiavi, assicurati che i responsabili che lo utilizzano e lo gestiscono dispongano solo delle autorizzazioni necessarie. L'elenco seguente descrive le autorizzazioni minime richieste per i gestori e gli AWS CloudHSM utenti dell'archivio chiavi.

  • I responsabili che creano e gestiscono l'archivio AWS CloudHSM delle chiavi richiedono la seguente autorizzazione per utilizzare le operazioni dell'archivio AWS CloudHSM API chiavi.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • I responsabili che creano e gestiscono il AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi necessitano dell'autorizzazione per creare e inizializzare un cluster. AWS CloudHSM Ciò include l'autorizzazione a creare o utilizzare un Amazon Virtual Private Cloud (VPC), creare sottoreti e creare un'istanza AmazonEC2. Potrebbero inoltre aver bisogno di creareHSMs, eliminare e gestire i backup. Per un elenco delle autorizzazioni necessarie, consulta Identity and access management per AWS CloudHSM nella Guida per l'utente di AWS CloudHSM .

  • I responsabili che creano e gestiscono AWS KMS keys nel tuo archivio di AWS CloudHSM chiavi richiedono le stesse autorizzazioni di coloro che creano e gestiscono qualsiasi KMS chiave in. AWS KMS La politica delle chiavi predefinita per una KMS chiave in un archivio AWS CloudHSM chiavi è identica alla politica di chiave predefinita per KMS le chiavi in ingresso. AWS KMS Il controllo di accesso basato sugli attributi (ABAC), che utilizza tag e alias per controllare l'accesso alle KMS chiavi, è efficace anche sulle chiavi negli archivi di KMS chiavi. AWS CloudHSM

  • I responsabili che utilizzano KMS le chiavi dell'archivio delle chiavi per le operazioni crittografiche necessitano dell'autorizzazione per eseguire l'operazione di crittografia con la AWS CloudHSM chiave, ad esempio KMS:Decrypt. KMS È possibile fornire queste autorizzazioni in una politica chiave, una politica. IAM Tuttavia, non hanno bisogno di autorizzazioni aggiuntive per utilizzare una KMS chiave in un archivio di AWS CloudHSM chiavi.