Autorizzazione dei gestori e degli utenti del AWS CloudHSM key store Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2

Controlla l'accesso al tuo archivio di AWS CloudHSM chiavi

Utilizzi IAM le policy per controllare l'accesso al tuo archivio di AWS CloudHSM chiavi e al tuo AWS CloudHSM cluster. È possibile utilizzare policy, IAM policy e concessioni chiave per controllare l'accesso a tali file AWS KMS keys nel proprio AWS CloudHSM key store. Ti consigliamo di concedere a utenti, gruppi e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

Argomenti

Autorizzazione dei gestori e degli utenti del AWS CloudHSM key store
Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2

Autorizzazione dei gestori e degli utenti del AWS CloudHSM key store

Quando progettate il vostro archivio di AWS CloudHSM chiavi, assicuratevi che i responsabili che lo utilizzano e lo gestiscono dispongano solo delle autorizzazioni necessarie. L'elenco seguente descrive le autorizzazioni minime richieste per i gestori e gli AWS CloudHSM utenti dell'archivio chiavi.

I responsabili che creano e gestiscono l'archivio AWS CloudHSM delle chiavi richiedono la seguente autorizzazione per utilizzare le operazioni dell'archivio AWS CloudHSM API chiavi.
- cloudhsm:DescribeClusters
- kms:CreateCustomKeyStore
- kms:ConnectCustomKeyStore
- kms:DeleteCustomKeyStore
- kms:DescribeCustomKeyStores
- kms:DisconnectCustomKeyStore
- kms:UpdateCustomKeyStore
- iam:CreateServiceLinkedRole
I responsabili che creano e gestiscono il AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi necessitano dell'autorizzazione per creare e inizializzare un cluster. AWS CloudHSM Ciò include l'autorizzazione a creare o utilizzare un Amazon Virtual Private Cloud (VPC), creare sottoreti e creare un'istanza AmazonEC2. Potrebbero inoltre aver bisogno di creareHSMs, eliminare e gestire i backup. Per un elenco delle autorizzazioni necessarie, consulta Identity and access management per AWS CloudHSM nella Guida per l'utente di AWS CloudHSM .
I responsabili che creano e gestiscono AWS KMS keys nel tuo archivio di AWS CloudHSM chiavi richiedono le stesse autorizzazioni di coloro che creano e gestiscono qualsiasi KMS chiave in. AWS KMS La politica delle chiavi predefinita per una KMS chiave in un archivio AWS CloudHSM chiavi è identica alla politica di chiave predefinita per KMS le chiavi in ingresso. AWS KMS Il controllo di accesso basato sugli attributi (ABAC), che utilizza tag e alias per controllare l'accesso alle KMS chiavi, è efficace anche sulle chiavi negli archivi di KMS chiavi. AWS CloudHSM
I responsabili che utilizzano KMS le chiavi dell'archivio delle chiavi per le operazioni crittografiche necessitano dell'autorizzazione per eseguire l'operazione di crittografia con la AWS CloudHSM chiave, ad esempio KMS:Decrypt. KMS È possibile fornire queste autorizzazioni in una politica chiave, una politica. IAM Tuttavia, non hanno bisogno di autorizzazioni aggiuntive per utilizzare una KMS chiave in un archivio di AWS CloudHSM chiavi.

Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2

Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio nel tuo. Account AWS Gli utenti che creano archivi di AWS CloudHSM chiavi devono disporre dell'iam:CreateServiceLinkedRoleautorizzazione che consenta loro di creare ruoli collegati ai servizi.

Argomenti

Informazioni sul ruolo collegato al servizio AWS KMS
Creazione del ruolo collegato ai servizi
Modifica della descrizione di un ruolo collegato ai servizi
Eliminazione del ruolo collegato ai servizi

Informazioni sul ruolo collegato al servizio AWS KMS

Un ruolo collegato al servizio è un IAM ruolo che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per conto dell'utente. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche complesseIAM. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS KMS.

Per gli archivi AWS CloudHSM chiave, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato ai servizi con la AWSKeyManagementServiceCustomKeyStoresServiceRolePolicypolicy. Questa policy concede al ruolo le seguenti autorizzazioni:

CloudHSM:Describe* — rileva le modifiche nel AWS CloudHSM cluster collegato al tuo archivio di chiavi personalizzato.
ec2: CreateSecurityGroup — utilizzato quando connetti un archivio di AWS CloudHSM chiavi per creare il gruppo di sicurezza che abilita il flusso del traffico di rete tra e il cluster. AWS KMS AWS CloudHSM
ec2: AuthorizeSecurityGroupIngress — utilizzato quando connetti un archivio di AWS CloudHSM chiavi per consentire l'accesso alla rete dall' AWS KMS interno del cluster VPC che contiene il AWS CloudHSM cluster.
ec2: CreateNetworkInterface — utilizzato quando si connette un archivio di AWS CloudHSM chiavi per creare l'interfaccia di rete utilizzata per la comunicazione tra AWS KMS e il AWS CloudHSM cluster.
ec2: RevokeSecurityGroupEgress — utilizzato quando si connette un archivio di AWS CloudHSM chiavi per rimuovere tutte le regole in uscita dal gruppo di sicurezza creato. AWS KMS
ec2: DeleteSecurityGroup — utilizzato quando si disconnette un archivio di AWS CloudHSM chiavi per eliminare i gruppi di sicurezza creati quando si è connesso l'archivio chiavi. AWS CloudHSM
ec2: DescribeSecurityGroups — utilizzato per monitorare le modifiche nel gruppo di sicurezza AWS KMS creato nel gruppo di sicurezza VPC che contiene il AWS CloudHSM cluster in modo che AWS KMS possa fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeVpcs — utilizzato per monitorare le modifiche nel cluster VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeNetworkAcls — utilizzato per monitorare i cambiamenti nella rete ACLs VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeNetworkInterfaces — utilizzato per monitorare i cambiamenti nelle interfacce di rete AWS KMS create nel cluster VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Poiché solo il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio è affidabilecks.kms.amazonaws.com, solo AWS KMS può assumere questo ruolo collegato al servizio. Questo ruolo è limitato alle operazioni che AWS KMS richiedono la visualizzazione dei AWS CloudHSM cluster e la connessione di un archivio di AWS CloudHSM chiavi al cluster associato. AWS CloudHSM Non fornisce AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, gestire o eliminare AWS CloudHSM i cluster o HSMs i backup.

Regioni

Come la funzionalità di archiviazione delle AWS CloudHSM chiavi, il AWSServiceRoleForKeyManagementServiceCustomKeyStoresruolo è supportato Regioni AWS ovunque AWS KMS ed AWS CloudHSM è disponibile. Per un elenco delle funzionalità Regioni AWS supportate da ciascun servizio, consulta AWS Key Management Service Endpoints and Quotas e AWS CloudHSM endpoints and quotas in. Riferimenti generali di Amazon Web Services

Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, vedere Utilizzo dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione del ruolo collegato ai servizi

AWS KMS crea automaticamente il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio Account AWS quando crei un archivio di AWS CloudHSM chiavi, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.

Modifica della descrizione di un ruolo collegato ai servizi

Non è possibile modificare il nome del ruolo o le dichiarazioni politiche nel ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio, ma è possibile modificare la descrizione del ruolo. Per istruzioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'utente. IAM

Eliminazione del ruolo collegato ai servizi

AWS KMS non elimina il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio dal tuo Account AWS anche se hai eliminato tutti i tuoi archivi di chiavi. AWS CloudHSM Sebbene al momento non esista una procedura per eliminare il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio, non assume questo ruolo né ne utilizza le autorizzazioni a meno che AWS KMS non disponga di archivi di chiavi attivi. AWS CloudHSM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS CloudHSM negozi chiave

Crea un archivio di AWS CloudHSM chiavi