AWS politica gestita per utenti esperti - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politica gestita per utenti esperti

È possibile utilizzare una policy gestita da AWSKeyManagementServicePowerUser per assegnare ai principali IAM dell'account le autorizzazioni di un utente esperto. Gli utenti esperti possono creare chiavi KMS, utilizzare e gestire le chiavi KMS da loro create e visualizzare tutte le chiavi KMS e le identità IAM. I principali che dispongono della policy gestita AWSKeyManagementServicePowerUser possono ottenere le autorizzazioni anche da altre origini, incluse le policy delle chiavi, altre policy IAM e concessioni.

AWSKeyManagementServicePowerUserè una policy IAM AWS gestita. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.

Nota

Le autorizzazioni incluse in questa policy che sono specifiche per una chiave KMS, come kms:TagResource ekms:GetKeyRotationStatus, sono efficaci solo quando la policy chiave per quella chiave KMS consente esplicitamente di utilizzare le policy IAM Account AWS per controllare l'accesso alla chiave. Per determinare se un'autorizzazione è specifica di una chiave KMS, consultare AWS KMS autorizzazioni e cercare un valore di chiave KMS nella colonna Resources (Risorse).

Questa policy fornisce all'utente esperto le autorizzazioni per qualsiasi chiave KMS con una policy delle chiavi che consenta l'operazione. Per autorizzazioni multi-account, come kms:DescribeKey e kms:ListGrants, ciò potrebbe includere chiavi KMS in Account AWS non attendibili. Per informazioni dettagliate, consulta Best practice per le policy IAM e Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS. Per determinare se un'autorizzazione è valida per le chiavi KMS in altri account, consultare AWS KMS autorizzazioni e cercare un valore Yes (Sì) nella colonna Cross-account use (Utilizzo per più account).

Per consentire ai responsabili di visualizzare la AWS KMS console senza errori, il principale necessita del tag: GetResources permission, che non è incluso nella policy. AWSKeyManagementServicePowerUser È possibile concedere questa autorizzazione in una policy IAM separata.

La policy IAM AWSKeyManagementServicePowerUsergestita include le seguenti autorizzazioni.

  • Consente ai principali di creare chiavi KMS. Poiché questo processo include l'impostazione della policy delle chiavi, gli utenti esperti possono concedere a se stessi e ad altri l'autorizzazione per utilizzare e gestire le chiavi KMS create.

  • Consente ai principali di creare ed eliminare alias e tag in tutte le chiavi KMS. La modifica di un tag o alias può consentire o negare l'autorizzazione all'utilizzo e alla gestione della chiave KMS. Per informazioni dettagliate, vedi ABAC per AWS KMS.

  • Consente ai principali di ottenere informazioni dettagliate su tutte le chiavi KMS, compreso l'ARN della chiave, la configurazione di crittografia, la policy delle chiavi, gli alias, i tag e lo stato di rotazione.

  • Consente ai principali di elencare utenti, gruppi e ruoli IAM.

  • Questa policy non consente ai principali di utilizzare o gestire le chiavi KMS che non hanno creato. Tuttavia, possono modificare alias e tag su tutte le chiavi KMS, il che potrebbe consentire o negare loro l'autorizzazione all'utilizzo o alla gestione di una chiave KMS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}