AWS KMS chiavi di condizione

AWS KMS fornisce un set di chiavi di condizione che è possibile utilizzare nelle politiche chiave e nelle politiche IAM. Queste chiavi di condizione sono specifiche per AWS KMS. Ad esempio, puoi utilizzare la chiave di condizione kms:EncryptionContext:context-key per richiedere un contesto di crittografia specifico per controllare l'accesso a una chiave KMS di crittografia simmetrica.

Condizioni per una richiesta di operazione API

Molte chiavi AWS KMS condizionali controllano l'accesso a una chiave KMS in base al valore di un parametro nella richiesta di un' AWS KMS operazione. Ad esempio, puoi utilizzare la chiave kms: KeySpec condition in una policy IAM per consentire l'uso dell'CreateKeyoperazione solo quando il valore del KeySpec parametro nella CreateKey richiesta è. RSA_4096

Questo tipo di condizione funziona anche quando il parametro non è presente nella richiesta, ad esempio quando si usa il valore predefinito del parametro. Ad esempio, puoi utilizzare la chiave kms: KeySpec condition per consentire agli utenti di utilizzare l'CreateKeyoperazione solo quando il valore del KeySpec parametro èSYMMETRIC_DEFAULT, che è il valore predefinito. Questa condizione consente le richieste che hanno il parametro KeySpec con il valore SYMMETRIC_DEFAULT e le richieste che non hanno alcun parametro KeySpec.

Condizioni per le chiavi KMS utilizzate nelle operazioni API

Alcune chiavi AWS KMS condizionali possono controllare l'accesso alle operazioni in base a una proprietà della chiave KMS utilizzata nell'operazione. Ad esempio, puoi utilizzare la KeyOrigin condizione kms: per consentire ai responsabili di GenerateDataKeyrichiamare una chiave KMS solo quando la Origin chiave KMS è. AWS_KMS Per scoprire se una chiave di condizione può essere utilizzata in questo modo, osserva la descrizione della chiave di condizione.

L'operazione deve essere un'operazione delle risorse delle chiavi KMS, ossia un'operazione autorizzata per una determinata chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella Azioni e risorse, cerca un valore della KMS key nella colonna Resources per l'operazione. Se si utilizza questo tipo di chiave condizionale con un'operazione non autorizzata per una particolare risorsa chiave KMS, ad esempio ListKeys, l'autorizzazione non è efficace perché la condizione non può mai essere soddisfatta. Non c'è nessuna risorsa chiave KMS coinvolta nell'autorizzazione dell'operazione ListKeys e nessuna proprietà KeySpec.

Gli argomenti seguenti descrivono ogni chiave di AWS KMS condizione e includono esempi di istruzioni sulle politiche che illustrano la sintassi delle politiche.

Utilizzo di operatori con chiavi di condizione

Quando una condizione di policy confronta due set di valori, ad esempio il set di tag in una richiesta e il set di tag in una policy, è necessario spiegare AWS come confrontare i set. Per farlo, IAM definisce due operatori, ForAnyValue e ForAllValues. Utilizza gli operatori solo con le chiavi di condizione multivalore che li richiedono. Non utilizzare operatori con chiavi di condizione a valore singolo. Testa sempre in modo approfondito le istruzioni di policy prima di avvalertene in un ambiente di produzione.

Le chiavi di condizione sono a valore singolo o multivalore. Per determinare se una chiave di AWS KMS condizione è a valore singolo o multivalore, consultate la colonna Tipo di valore nella descrizione della chiave di condizione.

• Le chiavi di condizione a valore singolo hanno al massimo un valore nel contesto di autorizzazione (la richiesta o la risorsa). Ad esempio, poiché ogni chiamata API può provenire da una sola Account AWS, kms: CallerAccount è una chiave di condizione a valore singolo. Non utilizzare operatori con una chiave di condizione a valore singolo.

• Le chiavi di condizione multivalore hanno più valori nel contesto di autorizzazione (la richiesta o la risorsa). Ad esempio, poiché ogni chiave KMS può avere più alias, kms: ResourceAliases può avere più valori. Le chiavi di condizione multivalore richiedono un operatore.

Si noti che la differenza tra chiavi di condizione a valore singolo e multivalore dipende dal numero di valori nel contesto di autorizzazione e non dal numero di valori nella condizione di policy.

avvertimento

L'utilizzo di un operatore con una chiave di condizione a valore singolo può creare un'istruzione di policy eccessivamente permissiva (o eccessivamente restrittiva). Utilizza gli operatori solo con le chiavi di condizione multivalore.

Se crei o aggiorni una politica che include un operatore ForAllValues set con le chiavi kms:EncryptionContext: context-key o aws:RequestTag/tag-key condition, AWS KMS restituisce il seguente messaggio di errore:

OverlyPermissiveCondition: Using the ForAllValues set operator with a single-valued condition key matches requests without the specified [encryption context or tag] or with an unspecified [encryption context or tag]. To fix, remove ForAllValues.

Per informazioni dettagliate su ForAnyValue e sugli operatori ForAllValues, consulta Utilizzo di più chiavi e valori nella Guida per l'utente di IAM. Per informazioni sul rischio di utilizzare l'operatore ForAllValues set con una condizione a valore singolo, consulta Avviso di sicurezza: ForAllValues con chiave a valore singolo nella Guida per l'utente IAM.

km: BypassPolicyLockoutSafetyCheck

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:BypassPolicyLockoutSafetyCheck	Booleano	A valore singolo	CreateKey PutKeyPolicy	Solo policy IAM Policy delle chiavi e policy IAM

Il tasto kms:BypassPolicyLockoutSafetyCheck condition controlla l'accesso alle PutKeyPolicyoperazioni CreateKeyand in base al valore del BypassPolicyLockoutSafetyCheck parametro nella richiesta.

La seguente istruzione di policy IAM di esempio impedisce agli utenti di aggirare il controllo di sicurezza di blocco della policy rifiutando l'autorizzazione a creare le chiavi KMS quando il valore del parametro BypassPolicyLockoutSafetyCheck nella richiesta CreateKey è true.

{
  "Effect": "Deny",
  "Action": [
    "kms:CreateKey",
    "kms:PutKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "Bool": {
      "kms:BypassPolicyLockoutSafetyCheck": true
    }
  }
}

È inoltre possibile utilizzare la chiave di condizione kms:BypassPolicyLockoutSafetyCheck in una policy IAM o della chiave per controllare l'accesso all'operazione PutKeyPolicy. La seguente istruzione di policy di esempio da una policy delle chiavi impedisce agli utenti di aggirare il controllo di sicurezza di blocco della policy durante la modifica della policy di una chiave KMS.

Invece di utilizzare un Deny esplicito, questa istruzione di policy utilizza Allow con l'operatore di condizione Null per consentire l'accesso solo quando la richiesta non include il parametro BypassPolicyLockoutSafetyCheck. Quando il parametro non viene utilizzato, il valore predefinito è false. Questa istruzione di policy leggermente più debole può essere sostituita nel raro caso in cui un bypass sia necessario.

{
  "Effect": "Allow",
  "Action": "kms:PutKeyPolicy",
  "Resource": "*",
  "Condition": {
    "Null": {
      "kms:BypassPolicyLockoutSafetyCheck": true
    }
  }
}

Consulta anche

• km: KeySpec

• km: KeyOrigin

• km: KeyUsage

km: CallerAccount

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:CallerAccount	Stringa	A valore singolo	Operazioni delle risorse delle chiavi KMS Operazioni dell'archivio delle chiavi personalizzate	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per consentire o negare l'accesso a tutte le identità (utenti e ruoli) in un Account AWS. Nelle policy delle chiavi, è possibile utilizzare l'elemento Principal per specificare le identità per le quali vale l'istruzione di policy. La sintassi per l'elemento Principal non fornisce un modo per specificare tutte le identità in un Account AWS. Ma puoi ottenere questo effetto combinando questa chiave di condizione con un Principal elemento che specifica tutte le AWS identità.

È possibile utilizzarlo per controllare l'accesso a qualsiasi operazione di risorsa chiave KMS, ovvero a qualsiasi AWS KMS operazione che utilizza una particolare chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella Azioni e risorse, cerca un valore della KMS key nella colonna Resources per l'operazione. È valido anche per le operazioni che gestiscono gli archivi delle chiavi personalizzate.

Ad esempio, la seguente istruzione di policy chiave dimostra come utilizzare la chiave di condizione kms:CallerAccount. Questa dichiarazione rientra nella politica chiave Chiave gestita da AWS per Amazon EBS. Combina un Principal elemento che specifica tutte le AWS identità con la chiave di kms:CallerAccount condizione per consentire in modo efficace l'accesso a tutte le identità in 111122223333. Account AWS Contiene una chiave di AWS KMS condizione aggiuntiva (kms:ViaService) per limitare ulteriormente le autorizzazioni permettendo solo le richieste provenienti da Amazon EBS. Per ulteriori informazioni, consulta km: ViaService.

{
  "Sid": "Allow access through EBS for all principals in the account that are authorized to use EBS",
  "Effect": "Allow",
  "Principal": {"AWS": "*"},
  "Condition": {
    "StringEquals": {
      "kms:CallerAccount": "111122223333",
      "kms:ViaService": "ec2.us-west-2.amazonaws.com"
    }
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:CreateGrant",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

kms: (obsoletoCustomerMasterKeySpec)

La chiave di condizione kms:CustomerMasterKeySpec è obsoleta. Usa invece la chiave kms: condition. KeySpec

Le chiavi di condizione kms:CustomerMasterKeySpec e kms:KeySpec funzionano allo stesso modo. Solo i nomi differiscono. Ti consigliamo di utilizzare kms:KeySpec. Tuttavia, per evitare di interrompere le modifiche, AWS KMS supporta entrambe le chiavi di condizione.

kms: CustomerMasterKeyUsage (obsoleto)

La chiave di condizione kms:CustomerMasterKeyUsage è obsoleta. Usa invece la chiave kms: condition. KeyUsage

Le chiavi di condizione kms:CustomerMasterKeyUsage e kms:KeyUsage funzionano allo stesso modo. Solo i nomi differiscono. Ti consigliamo di utilizzare kms:KeyUsage. Tuttavia, per evitare di interrompere le modifiche, AWS KMS supporta entrambe le chiavi di condizione.

km: DataKeyPairSpec

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:DataKeyPairSpec	Stringa	A valore singolo	GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per controllare l'accesso alle GenerateDataKeyPairWithoutPlaintextoperazioni GenerateDataKeyPairand in base al valore del KeyPairSpec parametro nella richiesta. Ad esempio, è possibile consentire agli utenti di generare solo determinati tipi di coppie di chiavi di dati.

La seguente istruzione di policy delle chiavi di esempio utilizza la chiave di condizione kms:DataKeyPairSpec per consentire agli utenti di usare la chiave KMS per generare solo coppie di chiavi di dati RSA.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": [
    "kms:GenerateDataKeyPair",
    "kms:GenerateDataKeyPairWithoutPlaintext"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:DataKeyPairSpec": "RSA*"
    }
  }
}

Consulta anche

• km: KeySpec

• km: EncryptionAlgorithm

• kms: chiave contestuale EncryptionContext

• km: EncryptionContextKeys

km: EncryptionAlgorithm

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:EncryptionAlgorithm	Stringa	A valore singolo	Decrypt Encrypt GenerateDataKey GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext GenerateDataKeyWithoutPlaintext ReEncrypt	Policy delle chiavi e policy IAM

È possibile utilizzare la chiave di condizione kms:EncryptionAlgorithm per controllare l'accesso alle operazioni di crittografia in base all'algoritmo di crittografia usato nell'operazione. Per le ReEncryptoperazioni Encrypt, Decrypt and, controlla l'accesso in base al valore del EncryptionAlgorithmparametro nella richiesta. Per le operazioni che generano chiavi di dati e coppie di chiavi di dati, controlla l'accesso in base all'algoritmo di crittografia utilizzato per crittografare la chiave di dati.

Questa chiave condizionale non ha alcun effetto sulle operazioni eseguite all'esterno AWS KMS, come la crittografia con la chiave pubblica in una coppia di chiavi KMS asimmetrica all'esterno di. AWS KMS

EncryptionAlgorithm parametro in una richiesta

Per consentire agli utenti di utilizzare solo un particolare algoritmo di crittografia con una chiave KMS, usa un'istruzione di policy con un effetto Deny e un operatore di condizione StringNotEquals. Ad esempio, la seguente istruzione di policy delle chiavi di esempio impedisce ai principali che possono assumere il ruolo ExampleRole di utilizzare questa chiave KMS nelle operazioni di crittografia specificate a meno che l'algoritmo di crittografia nella richiesta non sia RSAES_OAEP_SHA_256, un algoritmo di crittografia asimmetrica utilizzato con le chiavi KMS RSA.

A differenza di un'istruzione di policy che consente a un utente di utilizzare un particolare algoritmo di crittografia, un'istruzione di policy con un doppio negativo come questa impedisce ad altre policy e concessioni per questa chiave KMS di autorizzare il ruolo a utilizzare altri algoritmi di crittografia. Il Deny in questa istruzione di policy chiave ha la precedenza sulle policy delle chiavi o policy IAM con effetto Allow, nonché su tutte le concessioni per questa chiave KMS e i relativi principali.

{
  "Sid": "Allow only one encryption algorithm with this asymmetric KMS key",
  "Effect": "Deny",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "kms:EncryptionAlgorithm": "RSAES_OAEP_SHA_256"
    }
  }
}

Algoritmo di crittografia utilizzato per l'operazione

È possibile utilizzare anche la chiave di condizione kms:EncryptionAlgorithm per controllare l'accesso alle operazioni basate sull'algoritmo di crittografia utilizzato nell'operazione, anche quando l'algoritmo non è specificato nella richiesta. Ciò consente di richiedere o vietare l'algoritmo SYMMETRIC_DEFAULT, che potrebbe non essere specificato in una richiesta perché è il valore predefinito.

Questa funzione ti consente di usare la chiave di condizione kms:EncryptionAlgorithm per controllare l'accesso alle operazioni che generano chiavi di dati e coppie di chiavi di dati. Queste operazioni utilizzano soltanto chiavi KMS di crittografia simmetrica e l'algoritmo SYMMETRIC_DEFAULT.

Ad esempio, questa policy IAM limita le sue entità principali alla crittografia simmetrica. Nega l'accesso a qualsiasi chiave KMS nell'account di esempio per le operazioni di crittografia a meno che l'algoritmo di crittografia specificato nella richiesta o utilizzato nell'operazione non sia SYMMETRIC_DEFAULT. GenerateDataKey*Incluse le aggiunte GenerateDataKeyGenerateDataKeyWithoutPlaintextGenerateDataKeyPair,, e GenerateDataKeyPairWithoutPlaintextalle autorizzazioni. La condizione non ha alcun effetto su queste operazioni perché utilizzano sempre un algoritmo di crittografia simmetrica.

{
  "Sid": "AllowOnlySymmetricAlgorithm",
  "Effect": "Deny",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringNotEquals": {
      "kms:EncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    }
  }
}

Consulta anche

• km: MacAlgorithm

• km: SigningAlgorithm

kms: chiave contestuale EncryptionContext

AWS KMS chiavi di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:EncryptionContext:context-key	Stringa	A valore singolo	CreateGrant Encrypt Decrypt GenerateDataKey GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext GenerateDataKeyWithoutPlaintext ReEncrypt	Policy delle chiavi e policy IAM

È possibile utilizzare la chiave di condizione kms:EncryptionContext:context-key per controllare l'accesso a una chiave KMS di crittografia simmetrica in base al contesto di crittografia in una richiesta per un'operazione di crittografia. Utilizza questa chiave di condizione per valutare sia la chiave sia il valore nella coppia del contesto di crittografia. Per valutare solo le chiavi del contesto di crittografia o richiedere un contesto di crittografia indipendentemente dalle chiavi o dai valori, usa la chiave kms: EncryptionContextKeys condition.

Nota

I valori delle chiavi di condizione devono rispettare le regole sul numero di caratteri delle policy delle chiavi e delle policy IAM. Alcuni caratteri che sono validi in un contesto di crittografia non sono validi nelle policy. Potrebbe non essere possibile utilizzare questa chiave di condizione per esprimere tutti i valori validi del contesto di crittografia. Per maggiori informazioni sulle regole delineate nel documento delle policy delle chiavi, consulta la sezione Formato della policy della chiave. Per informazioni dettagliate sulle regole delineate nel documento delle policy IAM, consulta la sezione Requisiti del nome IAM nella Guida per l'utente di IAM.

Non è possibile specificare un contesto di crittografia in un'operazione di crittografia con una chiave KMS asimmetrica o una chiave KMS HMAC. Gli algoritmi asimmetrici e gli algoritmi MAC non supportano un contesto di crittografia.

Per utilizzare la chiave di condizione kms:EncryptionContext: context-key, sostituisci il segnaposto della chiave contestuale con la chiave di contesto di crittografia. Sostituisci il segnaposto context-value con il valore del contesto di crittografia.

"kms:EncryptionContext:context-key": "context-value"

Ad esempio, la seguente chiave di condizione specifica un contesto di crittografia in cui la chiave è AppName e il valore è ExampleApp (AppName = ExampleApp).

"kms:EncryptionContext:AppName": "ExampleApp"

Si tratta di una chiave di condizione a valore singolo. La chiave nella chiave di condizione specifica una particolare chiave di contesto di crittografia (context-key). Sebbene sia possibile includere più coppie di contesto di crittografia in ogni richiesta API, la coppia di contesto di crittografia con la context-key specificata può avere un solo valore. Ad esempio, la chiave di condizione kms:EncryptionContext:Department si applica solo alle coppie di contesto di crittografia con una chiave Department e qualsiasi coppia di contesto di crittografia data con la chiave Department può avere solo un valore.

Non utilizzare un operatore con la chiave di condizione kms:EncryptionContext:context-key. Se crei un'istruzione di policy con un'azione Allow, la chiave di condizione kms:EncryptionContext:context-key e l'operatore ForAllValues, la condizione consente le richieste senza contesto di crittografia e senza le richieste con coppie di contesto di crittografia che non sono specificate nella condizione di policy.

avvertimento

Non utilizzare un operatore ForAnyValue or ForAllValues con una chiave di condizione a valore singolo. Questi operatori possono creare una condizione di policy che non richiede valori che intendi richiedere e consente valori che intendi vietare.

Se crei o aggiorni una politica che include un operatore ForAllValues set con la chiave contestuale kms::, restituisce il seguente messaggio di erroreEncryptionContext: AWS KMS

OverlyPermissiveCondition:EncryptionContext: Using the ForAllValues set operator with a single-valued condition key matches requests without the specified encryption context or with an unspecified encryption context. To fix, remove ForAllValues.

Per richiedere una particolare coppia di contesto di crittografia, utilizzare la chiave di condizione kms:EncryptionContext:context-key con l'operatore StringEquals.

La seguente istruzione di policy chiave di esempio consente alle entità principali che possono assumere il ruolo per utilizzare la chiave KMS in una richiesta GenerateDataKey solo quando il contesto di crittografia nella richiesta include la coppia AppName:ExampleApp. Altre coppie di contesto di crittografia sono consentite.

Il nome della chiave non fa distinzione tra maiuscole e minuscole. La distinzione tra maiuscole e minuscole che fa il valore è determinata dall'operatore della condizione, ad esempio StringEquals. Per informazioni dettagliate, vedi Distinzione tra maiuscole e minuscole della condizione del contesto.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:AppName": "ExampleApp"
    }
  }
}

Per richiedere una coppia di contesti di crittografia e vietare tutte le altre coppie di contesti di crittografia, usa sia kms:EncryptionContext: context-key che nell'informativa sulla politica. kms:EncryptionContextKeys La seguente istruzione di policy chiave utilizza la chiave di condizione kms:EncryptionContext:AppName per richiedere la coppia di contesto di crittografia AppName=ExampleApp nella richiesta. Utilizza inoltre una chiave di condizione kms:EncryptionContextKeys con l'operatore ForAllValues per consentire solo la chiave di contesto di crittografia AppName.

L'operatore ForAllValues limita le chiavi di contesto di crittografia nella richiesta a AppName. Se la condizione kms:EncryptionContextKeys con l'operatore ForAllValuese è stata utilizzata da sola in un'istruzione di policy, questo operatore consentirebbe le richieste senza contesto di crittografia. Tuttavia, se la richiesta non avesse un contesto di crittografia, la condizione kms:EncryptionContext:AppName avrebbe esito negativo. Per dettagli sull'operatore ForAllValues, consulta Utilizzo di più chiavi e valori nella Guida per l'utente di IAM.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KeyUsers"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:AppName": "ExampleApp"
    },
    "ForAllValues:StringEquals": {
      "kms:EncryptionContextKeys": [
        "AppName"
      ]
    }
  }
}  

È inoltre possibile utilizzare questa chiave di condizione per negare l'accesso a una chiave KMS per una determinata operazione. La seguente istruzione di policy della chiave di esempio utilizza un effetto Deny per impedire all'entità principale di utilizzare la chiave KMS se il contesto di crittografia nella richiesta include una coppia di contesto di crittografia Stage=Restricted. Questa condizione consente una richiesta con altre coppie di contesto di crittografia, incluse le coppie di contesto di crittografia con la chiave Stage e altri valori, come Stage=Test.

{
  "Effect": "Deny",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:Stage": "Restricted"
    }
  }
}

Utilizzo di più coppie di contesto di crittografia

È possibile richiedere o vietare più coppie di contesto di crittografia. È inoltre possibile richiedere una delle diverse coppie di contesto di crittografia. Per informazioni dettagliate sulla logica utilizzata per interpretare queste condizioni, consulta Creazione di una condizione con più chiavi o valori nella Guida per l'utente di IAM.

Nota

Le versioni precedenti di questo argomento mostravano istruzioni politiche che utilizzavano ForAnyValue e ForAllValues impostavano gli operatori con la chiave di condizione kms:: EncryptionContext context-key. L'utilizzo di un operatore con una chiave di condizione a valore singolo può comportare policy che consentono richieste senza contesto di crittografia e coppie di contesto di crittografia non specificate.

Ad esempio, una condizione di policy con l'effetto Allow, l'operatore ForAllValues e la chiave di condizione "kms:EncryptionContext:Department": "IT" non limita il contesto di crittografia alla coppia "Department=IT". Permette richieste senza contesto di crittografia e richieste con coppie di contesto di crittografia non specificate, come Stage=Restricted.

Rivedi le tue politiche ed elimina l'operatore set da qualsiasi condizione con kms:: context-key. EncryptionContext I tentativi di creare o aggiornare una policy con questo formato hanno esito negativo con un'eccezione OverlyPermissiveCondition. Per risolvere il problema, è necessario eliminare l'operatore.

Per richiedere più coppie di contesto di crittografia, elenca le coppie nella stessa condizione. La seguente istruzione di policy della chiave di esempio richiede due coppie di contesto di crittografia, Department=IT e Project=Alpha. Poiché le condizioni hanno chiavi diverse (kms:EncryptionContext:Department and kms:EncryptionContext:Project), sono implicitamente collegate da un operatore AND. Altre coppie di contesto di crittografia sono consentite, ma non obbligatorie.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:Department": "IT",
      "kms:EncryptionContext:Project": "Alpha"
    }
  }
}

Per richiedere una coppia di contesto di crittografia OPPURE un'altra coppia, inserire ciascuna chiave di condizione in un'istruzione di policy separata. La seguente policy chiave di esempio richiede coppie Department=IT o Project=Alpha, o entrambe. Altre coppie di contesto di crittografia sono consentite, ma non obbligatorie.

{
 "Effect": "Allow",
 "Principal": {
  "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
 },
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
  "StringEquals": {
   "kms:EncryptionContext:Department": "IT"
  }
 }
},
{
 "Effect": "Allow",
 "Principal": {
  "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
 },
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
  "StringEquals": {
   "kms:EncryptionContext:Project": "Alpha"
  }
 }
}

Per richiedere coppie di crittografia particolari ed escludere tutte le altre coppie di contesto di crittografia, usa sia kms:EncryptionContext: context-key che nella dichiarazione politica. kms:EncryptionContextKeys La seguente dichiarazione di policy chiave utilizza la condizione kms:EncryptionContext: context-key per richiedere un contesto di crittografia con entrambe le coppie. Department=IT Project=Alpha Utilizza una chiave di condizione kms:EncryptionContextKeys con l'operatore ForAllValues per consentire solo le chiavi di contesto di crittografia Department e Project.

L'operatore ForAllValues limita le chiavi di contesto di crittografia nella richiesta a Department e Project. Se fosse usato da solo in una condizione, questo operatore di set consentirebbe richieste senza contesto di crittografia, ma in questa configurazione, la chiave contestuale kms:EncryptionContext: in questa condizione fallirebbe.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:Department": "IT",
      "kms:EncryptionContext:Project": "Alpha"
    },
    "ForAllValues:StringEquals": {
      "kms:EncryptionContextKeys": [
        "Department",
        "Project"
      ]
    }
  }
}  

È inoltre possibile vietare più coppie di contesto di crittografia. La seguente istruzione di policy della chiave di esempio utilizza un effetto Deny per impedire all'entità principale di utilizzare le chiavi KMS se il contesto di crittografia nella richiesta include una coppia Stage=Restricted o Stage=Production.

Valori multipli (Restricted e Production) per la stessa chiave (kms:EncryptionContext:Stage) sono implicitamente collegati da un'OR. Per informazioni dettagliate, consulta Logica di valutazione per condizioni con più chiavi o valori nella Guida per l'utente di IAM.

{
  "Effect": "Deny",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:Stage": [
         "Restricted",
         "Production"
      ] 
    }
  }
}

Distinzione tra maiuscole e minuscole della condizione del contesto

Il contesto di crittografia specificato in un'operazione di decrittografia deve essere una corrispondenza esatta, che fa distinzione tra maiuscole e minuscole per il contesto di crittografia specificato nell'operazione di crittografia. Solo l'ordine delle coppie in un contesto di crittografia con più coppie può variare.

Tuttavia, nelle condizioni della policy, la chiave di condizione non fa distinzione tra maiuscole e minuscole. Se il valore della condizione fa distinzione tra minuscole e maiuscole viene determinato dall'operatore della condizione della policy che utilizzi, ad esempio StringEquals o StringEqualsIgnoreCase.

Per questo motivo, la chiave di condizione, che include il prefisso kms:EncryptionContext: e la sostituzione context-key, non fa distinzione tra minuscole e maiuscole. Una policy che utilizza questa condizione non controlla se i caratteri degli elementi della chiave di condizione sono in maiuscolo o minuscolo. Se il valore della condizione fa distinzione tra minuscole e maiuscole, ovvero la sostituzione di context-value, viene determinato dall'operatore della condizione della policy.

Ad esempio, la seguente istruzione di policy consente l'operazione quando il contesto di crittografia include una chiave Appname, senza considerare se i caratteri sono in minuscolo o maiuscolo. La condizione StringEquals richiede che ExampleApp sia scritto con caratteri maiuscoli come specificato.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:Appname": "ExampleApp"
    }
  }
}

Per richiedere una chiave contestuale di crittografia con distinzione tra maiuscole e minuscole, usa la condizione kms: EncryptionContextKeys policy con un operatore di condizione con distinzione tra maiuscole e minuscole, ad esempio. StringEquals In questa condizione della policy, poiché la chiave di contesto di crittografia è il valore della condizione della policy; la distinzione tra minuscole e maiuscole è determinata dall'operatore della condizione.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "ForAnyValue:StringEquals": {
      "kms:EncryptionContextKeys": "AppName"
    }
  }
}

Per richiedere una valutazione con distinzione tra maiuscole e minuscole sia della chiave che del valore del contesto di crittografia, utilizza insieme le condizioni della politica kms:EncryptionContextKeys e kms:EncryptionContext: contestuale nella stessa dichiarazione di policy. L'operatore condizione con distinzione tra maiuscole e minuscole (come StringEquals) si applica sempre al valore della condizione. La chiave di contesto di crittografia (ad esempio AppName) è il valore della condizione kms:EncryptionContextKeys. Il valore del contesto di crittografia (ad esempioExampleApp) è il valore della condizione kms:: context-key. EncryptionContext

Ad esempio, nella seguente istruzione della policy della chiave di esempio, in quanto l'operatore StringEquals fa distinzione tra minuscole e maiuscole, sia la chiave del contesto di crittografia sia il valore del contesto di crittografia fanno distinzione tra minuscole e maiuscole.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "ForAnyValue:StringEquals": {
      "kms:EncryptionContextKeys": "AppName"
    },
    "StringEquals": {
      "kms:EncryptionContext:AppName": "ExampleApp"
    }
  }
}

Utilizzo di variabili in una condizione del contesto di crittografia

La chiave e il valore in una coppia del contesto di crittografia devono essere stringhe letterali semplici. Non possono essere integer o oggetti o un qualsiasi tipo non completamente risolto. Se usi un tipo diverso, ad esempio un numero intero o un float, lo AWS KMS interpreta come una stringa letterale.

"encryptionContext": {
    "department": "10103.0"
}

Tuttavia, il valore della chiave di condizione kms:EncryptionContext:context-key può essere una variabile della policy IAM. Queste variabili di policy vengono risolte in fase di esecuzione (runtime) in base ai valori nella richiesta. Ad esempio, aws:CurrentTime restituisce l'ora della richiesta e aws:username restituisce il nome descrittivo dell'intermediario.

Puoi utilizzare queste variabili di policy per creare un'istruzione di policy con una condizione che richiede informazioni molto specifiche in un contesto di crittografia, ad esempio il nome utente dell'intermediario. Dal momento che contiene una variabile, puoi utilizzare la stessa istruzione di policy per tutti gli utenti che possono assumere il ruolo. Non è necessario scrivere un'istruzione di policy separata per ogni utente.

Considera una situazione in cui desideri che tutti gli utenti che possono assumere un ruolo utilizzino la stessa chiave KMS per crittografare e decrittare i dati. Tuttavia, vuoi consentire loro di decrittografare solo i dati che hanno crittografato. Inizia richiedendo che ogni richiesta AWS KMS includa un contesto di crittografia in cui la chiave è user e il valore è il nome AWS utente del chiamante, come il seguente.

"encryptionContext": {
    "user": "bob"
}

Quindi, per applicare questo requisito, puoi utilizzare un'istruzione di policy come quella nell'esempio seguente. Questa istruzione di policy concede al ruolo TestTeam l'autorizzazione per crittografare e decrittare i dati con la chiave KMS. Tuttavia, l'autorizzazione è valida solo quando il contesto di crittografia nella richiesta include una coppia "user": "<username>". Per rappresentare il nome utente, la condizione utilizza la variabile della policy aws:username.

Quando la richiesta viene valutata, il nome utente dell'intermediario sostituisce la variabile nella condizione. Pertanto, la condizione richiede un contesto di crittografia "user": "bob" per "bob" e "user": "alice" per "alice".

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/TestTeam"
  },
  "Action": [
    "kms:Decrypt",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:user": "${aws:username}"
    }
  }
}

Puoi utilizzare una variabile di policy IAM solo nel valore della coppia di chiavi di condizione kms:EncryptionContext:context-key. Non è possibile utilizzare una variabile nella chiave.

Puoi anche utilizzare le chiavi di contesto specifiche del provider nelle variabili. Queste chiavi di contesto identificano in modo univoco gli utenti che hanno effettuato l'accesso AWS utilizzando la federazione delle identità Web.

Come tutte le variabili, queste possono essere utilizzate solo nella condizione kms:EncryptionContext:context-key della policy, non nel contesto di crittografia effettivo. Inoltre, possono essere utilizzate solo nel valore della condizione, non nella chiave.

Ad esempio, la seguente istruzione della policy delle chiavi è simile a quella precedente. Tuttavia, la condizione richiede un contesto di crittografia in cui la chiave è sub e il valore identifica in modo univoco un utente connesso a un pool di utenti Amazon Cognito. Per dettagli sull'identificazione di utenti e ruoli in Amazon Cognito, consulta Ruoli IAM nella Guida per sviluppatori di Amazon Cognito.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/TestTeam"
  },
  "Action": [
    "kms:Decrypt",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
       "kms:EncryptionContext:sub": "${cognito-identity.amazonaws.com:sub}"
    }
  }
}

Consulta anche

• km: EncryptionContextKeys

• km: GrantConstraintType

km: EncryptionContextKeys

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:EncryptionContextKeys	Stringa (elenco)	Multivalore	CreateGrant Decrypt Encrypt GenerateDataKey GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext GenerateDataKeyWithoutPlaintext ReEncrypt	Policy delle chiavi e policy IAM

È possibile utilizzare la chiave di condizione kms:EncryptionContextKeys per controllare l'accesso a una chiave KMS di crittografia simmetrica in base al contesto di crittografia in una richiesta per un'operazione di crittografia. Utilizza questa chiave di condizione per valutare solo la chiave in ciascuna coppia del contesto di crittografia. Per valutare sia la chiave sia il valore nel contesto di crittografia, usa la chiave di condizione kms:EncryptionContext:context-key.

Non è possibile specificare un contesto di crittografia in un'operazione di crittografia con una chiave KMS asimmetrica o una chiave KMS HMAC. Gli algoritmi asimmetrici e gli algoritmi MAC non supportano un contesto di crittografia.

Nota

I valori delle chiavi condizionali, inclusa una chiave di contesto di crittografia, devono essere conformi ai caratteri e alle regole di codifica per le politiche AWS KMS chiave. Potrebbe non essere possibile utilizzare questa chiave di condizione per esprimere tutte le chiavi valide nel contesto di crittografia. Per maggiori informazioni sulle regole delineate nel documento delle policy delle chiavi, consulta la sezione Formato della policy della chiave. Per informazioni dettagliate sulle regole delineate nel documento delle policy IAM, consulta la sezione Requisiti del nome IAM nella Guida per l'utente di IAM.

Si tratta di una chiave di condizione multivalore. È possibile specificare più coppie di contesto di crittografia in ogni richiesta API. kms:EncryptionContextKeys confronta le chiavi del contesto di crittografia nella richiesta con il set di chiavi del contesto di crittografia nella policy. Per determinare il modo in cui questi set vengono confrontati, devi fornire un operatore ForAnyValue o ForAllValues nella condizione di policy. Per dettagli sugli operatori, consulta Utilizzo di più chiavi e valori nella Guida per l'utente di IAM.

• ForAnyValue: almeno una chiave di contesto di crittografia nella richiesta deve corrispondere a una chiave di contesto di crittografia nella condizione della policy. Sono consentite altre chiavi di contesto di crittografia. Se la richiesta non dispone di contesto di crittografia, la condizione non viene soddisfatta.

• ForAllValues: ogni chiave di contesto di crittografia nella richiesta deve corrispondere a una chiave di contesto di crittografia nella condizione della policy. Questo operatore limita le chiavi di contesto di crittografia a quelle nella condizione della policy. Non richiede alcuna chiave di contesto di crittografia, ma vieta le chiavi di contesto di crittografia non specificate.

La seguente istruzione di policy della chiave di esempio utilizza la chiave di condizione kms:EncryptionContextKeyscon l'operatore ForAnyValue. Questa istruzione di policy utilizza una chiave KMS per le operazioni specificate, ma solo quando almeno una delle coppie del contesto di crittografia nella richiesta include la chiave AppName, indipendentemente dal suo valore.

Ad esempio, questa istruzione di policy chiave consente una richiesta GenerateDataKey con due coppie di contesto di crittografia, AppName=Helper e Project=Alpha, perché la prima coppia di contesto di crittografia soddisfa la condizione. Una richiesta con solo Project=Alpha o senza contesto di crittografia avrebbe esito negativo.

Poiché l'operazione di StringEqualscondizione fa distinzione tra maiuscole e minuscole, questa dichiarazione di policy richiede l'ortografia e la minuscola della chiave di contesto di crittografia. Tuttavia, è possibile utilizzare un operatore della condizione che ignora se la chiave ha caratteri in minuscolo o maiuscolo, ad esempio StringEqualsIgnoreCase.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*",
  "Condition": {
    "ForAnyValue:StringEquals": {
      "kms:EncryptionContextKeys": "AppName"
    }
  }
}

Inoltre, è possibile utilizzare la chiave di condizione kms:EncryptionContextKeys per richiedere un qualsiasi contesto di crittografia nelle operazioni di crittografia che utilizzano la chiave KMS.

La seguente istruzione di policy della chiave di esempio utilizza la chiave di condizione kms:EncryptionContextKeys con Null condition operator per consentire l'accesso alla chiave KMS solo quando il contesto di crittografia nella richiesta dell'API è diverso da null. Questa condizione non verifica le chiavi o i valori del contesto di crittografia. Verifica solo che il contesto di crittografia esista.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*",
  "Condition": {
    "Null": {
      "kms:EncryptionContextKeys": false
    }
  }
}

Consulta anche

• kms: chiave contestuale EncryptionContext

• km: GrantConstraintType

km: ExpirationModel

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:ExpirationModel	Stringa	A valore singolo	ImportKeyMaterial	Policy delle chiavi e policy IAM

Il tasto kms:ExpirationModel condition controlla l'accesso all'ImportKeyMaterialoperazione in base al valore del ExpirationModelparametro nella richiesta.

ExpirationModel è un parametro opzionale che determina se il materiale della chiave importato scade. I valori validi sono KEY_MATERIAL_EXPIRES e KEY_MATERIAL_DOES_NOT_EXPIRE. Il valore predefinito è KEY_MATERIAL_EXPIRES.

La data e l'ora di scadenza sono determinate dal valore del ValidToparametro. Il parametro ValidTo è obbligatorio a meno che il valore del parametro ExpirationModel non sia KEY_MATERIAL_DOES_NOT_EXPIRE. Puoi anche utilizzare la chiave kms: ValidTo condition per richiedere una data di scadenza particolare come condizione per l'accesso.

La seguente istruzione di policy di esempio utilizza la chiave di condizione kms:ExpirationModel per consentire agli utenti di importare materiale della chiave in una chiave KMS solo quando la richiesta include il parametro ExpirationModel e il suo valore è KEY_MATERIAL_DOES_NOT_EXPIRE.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE"
    }
  }
}

È inoltre possibile utilizzare la chiave di condizione kms:ExpirationModel per consentire agli utenti di importare il materiale chiave solo quando il materiale della chiave scade. La seguente istruzione di policy di esempio utilizza la chiave di condizione kms:ExpirationModel con Null condition operator per consentire agli utenti di importare materiale chiave solo quando la richiesta non include il parametro ExpirationModel. Il valore predefinito per ExpirationModel èKEY_MATERIAL_EXPIRES.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "Null": {
      "kms:ExpirationModel": true
    }
  }
}

Consulta anche

• km: ValidTo

• km: WrappingAlgorithm

• km: WrappingKeySpec

km: GrantConstraintType

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:GrantConstraintType	Stringa	A valore singolo	CreateGrant	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per controllare l'accesso all'CreateGrantoperazione in base al tipo di vincolo di concessione nella richiesta.

Quando crei una concessione, opzionalmente è possibile specificare un vincolo di concessione per consentire le operazioni che la concessione consente solo quando è presente un determinato contesto di crittografia. Il vincolo di concessione può essere di due tipi: EncryptionContextEquals o EncryptionContextSubset. È possibile utilizzare questa chiave di condizione per controllare che la richiesta contenga uno dei due tipi.

Importante

Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.

La seguente istruzione di policy delle chiavi di esempio utilizza la chiave di condizione kms:GrantConstraintType per consentire agli utenti di creare concessioni solo quando la richiesta include un vincolo di concessione EncryptionContextEquals. L'esempio illustra un'istruzione di policy in una policy delle chiavi.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/RoleForExampleApp"
  },
  "Action": "kms:CreateGrant",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:GrantConstraintType": "EncryptionContextEquals"
    }
  }
}

Consulta anche

• kms: chiave contestuale EncryptionContext

• km: EncryptionContextKeys

• km: GrantIsFor AWSResource

• km: GrantOperations

• km: GranteePrincipal

• km: RetiringPrincipal

km: GrantIsFor AWSResource

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:GrantIsForAWSResource	Booleano	A valore singolo	CreateGrant ListGrants RevokeGrant	Policy delle chiavi e policy IAM

Consente o nega l'CreateGrantautorizzazione per RevokeGrantle operazioni solo quando un AWS servizio integrato con AWS KMS richiama l'operazione per conto dell'utente. ListGrants Questa condizione di policy non consente all'utente di chiamare direttamente queste operazioni di concessione.

La seguente istruzione di policy della chiave di esempio utilizza la chiave di condizione kms:GrantIsForAWSResource. Consente AWS ai servizi integrati con AWS KMS, come Amazon EBS, di creare sovvenzioni su questa chiave KMS per conto del committente specificato.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:CreateGrant",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "kms:GrantIsForAWSResource": true
    }
  }
}

Consulta anche

• km: GrantConstraintType

• km: GrantOperations

• km: GranteePrincipal

• km: RetiringPrincipal

km: GrantOperations

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:GrantOperations	Stringa	Multivalore	CreateGrant	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per controllare l'accesso all'CreateGrantoperazione in base alle operazioni di concessione contenute nella richiesta. Ad esempio, è possibile consentire agli utenti di creare concessioni che delegano l'autorizzazione di crittografare ma non decrittografare. Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo di concessioni

Questa è una chiave di condizione multivalore. kms:GrantOperations confronta l'insieme delle operazioni di concessione nella richiesta CreateGrant all'insieme di operazioni di concessione nella policy. Per determinare il modo in cui questi set vengono confrontati, devi fornire un operatore ForAnyValue o ForAllValues nella condizione di policy. Per dettagli sugli operatori, consulta Utilizzo di più chiavi e valori nella Guida per l'utente di IAM.

• ForAnyValue: almeno un'operazione di concessione nella richiesta deve corrispondere a una delle operazioni di concessione nella condizione di policy. Sono ammesse altre operazioni di concessione.

• ForAllValues: Ogni operazione di concessione nella richiesta deve corrispondere a un'operazione di concessione nella condizione della politica. Questo operatore limita le operazioni di concessione a quelle specificate nella condizione della policy. Non richiede alcuna operazione di concessione, ma vieta le operazioni di concessione non specificate.

  ForAllValues restituisce true anche quando non ci sono operazioni di concessione nella richiesta, ma CreateGrant non le consente. Se il parametro Operations è mancante o ha un valore nullo, la richiesta CreateGrant ha esito negativo.

La seguente istruzione di policy delle chiavi di esempio utilizza la chiave di condizione kms:GrantOperations per creare concessioni solo quando le operazioni di concessione sono Encrypt, ReEncryptTo o entrambi. Se la concessione include altre operazioni, la richiesta CreateGrant ha esito negativo.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:CreateGrant",
  "Resource": "*",
  "Condition": {
    "ForAllValues:StringEquals": {
      "kms:GrantOperations": [
        "Encrypt",
        "ReEncryptTo"
      ]
    }
  }
}

Se si modifica l'operatore nella condizione di policy in ForAnyValue, l'istruzione di policy richiederebbe che almeno una delle operazioni di concessione nella concessione sia Encrypt o ReEncryptTo, ma consentirebbe altre operazioni di concessione, come Decrypt o ReEncryptFrom.

Consulta anche

• km: GrantConstraintType

• km: GrantIsFor AWSResource

• km: GranteePrincipal

• km: RetiringPrincipal

km: GranteePrincipal

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:GranteePrincipal	Stringa	A valore singolo	CreateGrant	Policy IAM e della chiave

È possibile utilizzare questa chiave di condizione per controllare l'accesso all'CreateGrantoperazione in base al valore del GranteePrincipalparametro nella richiesta. Ad esempio, è possibile creare autorizzazioni per utilizzare una chiave KMS solo quando il principale assegnatario nella richiesta CreateGrant corrisponde al principale specificato nell'istruzione della condizione.

Per specificare il principale beneficiario, utilizza l'Amazon Resource Name (ARN) di un principale. AWS I principali validi includono utenti IAM Account AWS, ruoli IAM, utenti federati e utenti assunti. Per informazioni sulla sintassi ARN per un principale, consulta IAM ARNs nella IAM User Guide.

La seguente istruzione di policy delle chiavi di esempio utilizza la chiave di condizione kms:GranteePrincipal per creare autorizzazioni per una chiave KMS solo quando il principale assegnatario nella concessione è LimitedAdminRole.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:CreateGrant",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/LimitedAdminRole"
    }
  }
}

Consulta anche

• km: GrantConstraintType

• km: GrantIsFor AWSResource

• km: GrantOperations

• km: RetiringPrincipal

km: KeyOrigin

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:KeyOrigin	Stringa	A valore singolo	CreateKey Operazioni delle risorse delle chiavi KMS	Policy IAM Policy delle chiavi e policy IAM

La chiave di condizione kms:KeyOrigin controlla l'accesso alle operazioni in base al valore della proprietà Origin della chiave KMS creata o utilizzata nell'operazione. Funziona come una condizione di risorsa o una condizione di richiesta.

È possibile utilizzare questa chiave di condizione per controllare l'accesso all'CreateKeyoperazione in base al valore del parametro Origin nella richiesta. I valori validi di Origin sono AWS_KMS, AWS_CLOUDHSM ed EXTERNAL.

Ad esempio, è possibile creare una chiave KMS solo quando il materiale chiave viene generato in AWS KMS (AWS_KMS), solo quando il materiale chiave viene generato in un AWS CloudHSM cluster associato a un archivio chiavi personalizzato (AWS_CLOUDHSM) o solo quando il materiale chiave viene importato da una fonte esterna (EXTERNAL).

L'esempio seguente di dichiarazione politica chiave utilizza la chiave kms:KeyOrigin condition per creare una chiave KMS solo quando AWS KMS crea il materiale chiave.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
      },
      "Action": "kms:CreateKey",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "AWS_KMS"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:GenerateDataKeyPair",
        "kms:GenerateDataKeyPairWithoutPlaintext",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "AWS_CLOUDHSM"
        }
      }
    }
  ]
}

La chiave di condizione kms:KeyOrigin può essere utilizzata anche per controllare l'accesso alle operazioni che utilizzano o gestiscono una chiave KMS in base alla proprietà Origin della chiave KMS utilizzata per l'operazione. L'operazione deve essere un'operazione delle risorse delle chiavi KMS, ossia un'operazione autorizzata per una determinata chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella Azioni e risorse, cerca un valore della KMS key nella colonna Resources per l'operazione.

Ad esempio, la policy IAM seguente consente ai principali di eseguire le operazioni specificate sulle risorse chiave KMS, ma solo con le chiavi KMS nell'account che sono state create in un archivio chiavi personalizzato.

{
  "Effect": "Allow",  
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKeyPair",
    "kms:GenerateDataKeyPairWithoutPlaintext",
    "kms:ReEncrypt*"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "AWS_CLOUDHSM"
    }
  }
}

Consulta anche

• km: BypassPolicyLockoutSafetyCheck

• km: KeySpec

• km: KeyUsage

km: KeySpec

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:KeySpec	Stringa	A valore singolo	CreateKey Operazioni delle risorse delle chiavi KMS	Policy IAM Policy delle chiavi e policy IAM

La chiave di condizione kms:KeySpec controlla l'accesso alle operazioni in base al valore della proprietà KeySpec della chiave KMS creata o utilizzata nell'operazione.

Puoi utilizzare questa chiave di condizione in una policy IAM per controllare l'accesso all'CreateKeyoperazione in base al valore del KeySpecparametro in una CreateKey richiesta. Ad esempio, puoi utilizzare questa condizione per permettere agli utenti di creare solo chiavi KMS di crittografia simmetrica o solo chiavi KMS HMAC.

La seguente istruzione di policy IAM di esempio utilizza la chiave di condizione kms:KeySpec per permettere ai principali di creare solo chiavi KMS asimmetriche RSA. L'autorizzazione è valida solo quando KeySpec nella richiesta inizia con RSA_.

{
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:KeySpec": "RSA_*"
    }
  }
}

La chiave di condizione kms:KeySpec può essere utilizzata anche per controllare l'accesso alle operazioni che utilizzano o gestiscono una chiave KMS in base alla proprietà KeySpec della chiave KMS utilizzata per l'operazione. L'operazione deve essere un'operazione delle risorse delle chiavi KMS, ossia un'operazione autorizzata per una determinata chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella Azioni e risorse, cerca un valore della KMS key nella colonna Resources per l'operazione.

Ad esempio, la policy IAM seguente permette ai principali di eseguire le operazioni specificate sulle risorse chiave KMS, ma solo con le chiavi KMS di crittografia simmetrica presenti nell'account.

{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeySpec": "SYMMETRIC_DEFAULT"
    }
  }
}

Consulta anche

• km: BypassPolicyLockoutSafetyCheck

• kms: (obsoletoCustomerMasterKeySpec)

• km: DataKeyPairSpec

• km: KeyOrigin

• km: KeyUsage

km: KeyUsage

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:KeyUsage	Stringa	A valore singolo	CreateKey Operazioni delle risorse delle chiavi KMS	Policy IAM Policy delle chiavi e policy IAM

La chiave di condizione kms:KeyUsage controlla l'accesso alle operazioni in base al valore della proprietà KeyUsage della chiave KMS creata o utilizzata nell'operazione.

È possibile utilizzare questa chiave di condizione per controllare l'accesso all'CreateKeyoperazione in base al valore del KeyUsageparametro nella richiesta. I valori validi di KeyUsage sono ENCRYPT_DECRYPT, SIGN_VERIFY ed GENERATE_VERIFY_MAC.

Ad esempio, puoi creare una chiave KMS solo quando KeyUsage è ENCRYPT_DECRYPT o negare l'autorizzazione a un utente quando KeyUsage è SIGN_VERIFY.

La seguente istruzione di policy IAM di esempio utilizza la chiave di condizione kms:KeyUsage per creare una chiave KMS solo quando KeyUsage è ENCRYPT_DECRYPT.

{
  "Effect": "Allow",  
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KeyUsage": "ENCRYPT_DECRYPT"
    }
  }
}

La chiave di condizione kms:KeyUsage può essere utilizzata anche per controllare l'accesso alle operazioni che utilizzano o gestiscono una chiave KMS in base alla proprietà KeyUsage della chiave KMS nell'operazione. L'operazione deve essere un'operazione delle risorse delle chiavi KMS, ossia un'operazione autorizzata per una determinata chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella Azioni e risorse, cerca un valore della KMS key nella colonna Resources per l'operazione.

Ad esempio, la policy IAM seguente consente ai principali di eseguire le operazioni specificate sulle risorse chiave KMS, ma solo con le chiavi KMS nell'account che vengono utilizzate per la firma e la verifica.

{
  "Effect": "Allow",
  "Action": [
    "kms:CreateGrant",
    "kms:DescribeKey",
    "kms:GetPublicKey",
    "kms:ScheduleKeyDeletion"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyUsage": "SIGN_VERIFY"
    }
  }
}

Consulta anche

• km: BypassPolicyLockoutSafetyCheck

• kms: CustomerMasterKeyUsage (obsoleto)

• km: KeyOrigin

• km: KeySpec

km: MacAlgorithm

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:MacAlgorithm	Stringa	A valore singolo	GenerateMac VerifyMac	Policy delle chiavi e policy IAM

È possibile utilizzare il tasto kms:MacAlgorithm condition per controllare l'accesso alle VerifyMacoperazioni GenerateMacand in base al valore del MacAlgorithm parametro nella richiesta.

La seguente policy della chiave di esempio permette agli utenti che possono assumere il ruolo testers di utilizzare la chiave KMS HMAC per generare e verificare i tag HMAC solo quando l'algoritmo MAC nella richiesta è HMAC_SHA_384 o HMAC_SHA_512. Questa policy utilizza due istruzioni della policy separate, ciascuna con una propria condizione. Se si specificano più algoritmi MAC in una singola istruzione di condizione, la condizione richiede entrambi gli algoritmi anziché l'uno o l'altro.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/testers"
      },
      "Action": [
        "kms:GenerateMac",
        "kms:VerifyMac"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:MacAlgorithm": "HMAC_SHA_384"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/testers"
      },
      "Action": [
        "kms:GenerateMac",
        "kms:VerifyMac"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:MacAlgorithm": "HMAC_SHA_512"
        }
      }
    }
  ]
}

Consulta anche

• km: EncryptionAlgorithm

• km: SigningAlgorithm

km: MessageType

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:MessageType	Stringa	A valore singolo	Sign Verify	Policy delle chiavi e policy IAM

La chiave di condizione kms:MessageType controlla l'accesso alle operazioni Sign e Verify in base al valore del parametro MessageType nella richiesta. I valori validi di MessageType sono RAW e DIGEST.

Ad esempio, la seguente istruzione di policy delle chiavi utilizza la chiave di condizione kms:MessageType per utilizzare una chiave KMS asimmetrica per firmare un messaggio, ma non un digest di messaggi.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:Sign",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:MessageType": "RAW"
    }
  }
}

Consulta anche

• km: SigningAlgorithm

km: MultiRegion

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:MultiRegion	Booleano	A valore singolo	CreateKey Operazioni delle risorse delle chiavi KMS	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per consentire operazioni solo su chiavi di regione singola o solo su chiavi multiregione. Il tasto kms:MultiRegion condition controlla l'accesso alle AWS KMS operazioni sulle chiavi KMS e all'CreateKeyoperazione in base al valore della MultiRegion proprietà della chiave KMS. I valori validi sono true (multiregione) e false (singola Regione). Tutte le chiavi KMS hanno una proprietà MultiRegion.

Ad esempio, la seguente istruzione di policy IAM usa la chiave di condizione kms:MultiRegion per consentire ai principali di creare solo chiavi a singola Regione.

{
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "kms:MultiRegion": false
    }
  }
}

km: MultiRegionKeyType

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:MultiRegionKeyType	Stringa	A valore singolo	CreateKey Operazioni delle risorse delle chiavi KMS	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per consentire operazioni solo su chiavi multiregione primarie o solo su chiavi multiregione di replica. Il tasto kms:MultiRegionKeyType condition controlla l'accesso alle AWS KMS operazioni sulle chiavi KMS e l'CreateKeyoperazione in base alla MultiRegionKeyType proprietà della chiave KMS. I valori validi sono PRIMARY e REPLICA. Solo le chiavi multiregione hanno una proprietà MultiRegionKeyType.

In genere si utilizza la chiave di condizione kms:MultiRegionKeyType in una policy di IAM per controllare l'accesso a più chiavi KMS. Tuttavia, poiché una determinata chiave multiregione può diventare primaria o di replica, è possibile utilizzare questa condizione in una policy chiave per consentire un'operazione solo quando la chiave multiregione specifica è una chiave primaria o di replica.

Ad esempio, la seguente istruzione di policy IAM utilizza la chiave di condizione kms:MultiRegionKeyType per consentire ai principali di pianificare e annullare l'eliminazione delle chiavi solo su chiavi di replica multiregione nell' Account AWS specificato.

{
  "Effect": "Allow",
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "arn:aws:kms:*:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:MultiRegionKeyType": "REPLICA"
    }
  }
}

Per consentire o negare l'accesso a tutte le chiavi multiregione, è possibile utilizzare entrambi i valori o un valore null con kms:MultiRegionKeyType. Tuttavia, la chiave kms: MultiRegion condition è consigliata a tale scopo.

km: PrimaryRegion

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:PrimaryRegion	Stringa (elenco)	A valore singolo	UpdatePrimaryRegion	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per limitare le regioni di destinazione in un'UpdatePrimaryRegionoperazione. Queste sono quelle Regioni AWS che possono ospitare le tue chiavi primarie multiregionali.

Il tasto kms:PrimaryRegion condition controlla l'accesso all'UpdatePrimaryRegionoperazione in base al valore del PrimaryRegion parametro. Il PrimaryRegion parametro specifica la chiave Regione AWS di replica multiregionale che viene promossa a primaria. Il valore della condizione è costituito da uno o più Regione AWS nomi, ad esempio or, us-east-1 o da schemi di denominazione delle regioniap-southeast-2, ad esempio eu-*

Ad esempio, la seguente istruzione di policy chiave utilizza la chiave di condizione kms:PrimaryRegion per consentire ai principali di aggiornare la Regione primaria di una chiave multiregione in una delle quattro Regioni specificate.

{
  "Effect": "Allow",
  "Action": "kms:UpdatePrimaryRegion",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Developer"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-east-1",
         "us-west-2",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

km: ReEncryptOnSameKey

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:ReEncryptOnSameKey	Booleano	A valore singolo	ReEncrypt	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per controllare l'accesso all'ReEncryptoperazione a seconda che la richiesta specifichi una chiave KMS di destinazione che sia la stessa utilizzata per la crittografia originale.

Ad esempio, la seguente istruzione di policy delle chiavi utilizza la chiave di condizione kms:ReEncryptOnSameKey per ricrittografare solo quando la chiave KMS di destinazione corrisponde alla chiave utilizzata per la crittografia originale.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:ReEncrypt*",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "kms:ReEncryptOnSameKey": true
    }
  }
}

km: RequestAlias

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:RequestAlias	Stringa (elenco)	A valore singolo	Operazioni di crittografia DescribeKey GetPublicKey	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per consentire un'operazione solo quando la richiesta utilizza un determinato alias per identificare la chiave KMS. La chiave di condizione kms:RequestAlias controlla l'accesso a una chiave KMS utilizzata in un'operazione di crittografia, GetPublicKey oppure una DescribeKey basata sull'alias che identifichi la chiave KMS nella richiesta. (Questa condizione politica non ha alcun effetto sull'GenerateRandomoperazione perché l'operazione non utilizza una chiave o un alias KMS.)

Questa condizione supporta il controllo degli accessi basato sugli attributi (ABAC) in AWS KMS, che consente di controllare l'accesso alle chiavi KMS in base ai tag e agli alias di una chiave KMS. È possibile utilizzare tag e alias per consentire o negare l'accesso a una chiave KMS senza modificare policy o concessioni. Per informazioni dettagliate, vedi ABAC per AWS KMS.

Per specificare l'alias in questa condizione di policy, utilizza un nome alias, ad esempio alias/project-alpha, o un modello di nome alias, ad esempio alias/*test*. Non è possibile specificare un ARN alias nel valore di questa chiave di condizione.

Per soddisfare questa condizione, il valore del parametro KeyId nella richiesta deve corrispondere a un nome alias o un ARN alias. Se la richiesta utilizza un identificatore chiave, non soddisfa la condizione, anche se identifica la stessa chiave KMS.

Ad esempio, la seguente dichiarazione di politica chiave consente al principale di richiamare l'operazione sulla chiave KMS. GenerateDataKey Tuttavia questo è consentito solo quando il valore del parametro KeyId nella richiesta è alias/finance-key o un ARN alias con quel nome alias, ad esempio arn:aws:kms:us-west-2:111122223333:alias/finance-key.

{
  "Sid": "Key policy using a request alias condition",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/developer"
  },
  "Action": "kms:GenerateDataKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:RequestAlias": "alias/finance-key"
    }
  }
}

Non è possibile utilizzare questa chiave di condizione per controllare l'accesso alle operazioni di alias, come CreateAliaso. DeleteAlias Per informazioni sul controllo dell'accesso a tutte le operazioni alias, consulta Controllo dell'accesso agli alias.

km: ResourceAliases

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:ResourceAliases	Stringa (elenco)	Multivalore	Operazioni delle risorse delle chiavi KMS	Solo policy IAM

Utilizza questa chiave di condizione per controllare l'accesso a una chiave KMS in base agli alias associati alla chiave KMS. L'operazione deve essere un'operazione delle risorse delle chiavi KMS, ossia un'operazione autorizzata per una determinata chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella Azioni e risorse, cerca un valore della KMS key nella colonna Resources per l'operazione.

Questa condizione supporta il controllo degli accessi basato su attributi (ABAC) in AWS KMS. Con ABAC è possibile controllare l'accesso alle chiavi KMS in base ai tag assegnati a una chiaveKMS e agli alias associati a una chiave KMS. È possibile utilizzare tag e alias per consentire o negare l'accesso a una chiave KMS senza modificare policy o concessioni. Per informazioni dettagliate, vedi ABAC per AWS KMS.

Un alias deve essere univoco in una regione Account AWS and, ma questa condizione consente di controllare l'accesso a più chiavi KMS nella stessa regione (utilizzando l'operatore Regioni AWS di StringLike confronto) o a più chiavi KMS in diversi account.

Nota

La ResourceAliases condizione kms: è efficace solo quando la chiave KMS è conforme agli alias per quota di chiavi KMS. Se una chiave KMS supera questa quota, alle entità principali autorizzate a usare la chiave KMS tramite la condizione kms:ResourceAliases viene negato l'accesso alla chiave KMS.

Per specificare l'alias in questa condizione di policy, utilizza un nome alias, ad esempio alias/project-alpha, o un modello di nome alias, ad esempio alias/*test*. Non è possibile specificare un ARN alias nel valore di questa chiave di condizione. Per soddisfare la condizione, la chiave KMS utilizzata nell'operazione deve avere l'alias specificato. Non importa se o come la chiave KMS viene identificata nella richiesta per l'operazione.

Si tratta di una chiave di condizione multivalore che confronta il set di alias associato a una chiave KMS con il set di alias nella policy. Per determinare il modo in cui questi set vengono confrontati, devi fornire un operatore ForAnyValue o ForAllValues nella condizione di policy. Per dettagli sugli operatori, consulta Utilizzo di più chiavi e valori nella Guida per l'utente di IAM.

• ForAnyValue: Almeno un alias associato alla chiave KMS deve corrispondere a un alias nella condizione della politica. Sono consentiti altri alias. Se la chiave KMS non dispone di alias, la condizione non viene soddisfatta.

• ForAllValues: Ogni alias associato alla chiave KMS deve corrispondere a un alias nella politica. Questo operatore limita gli alias associati alla chiave KMS a quelli nella condizione della policy. Non richiede alcun alias, ma vieta alias non specificati.

Ad esempio, la seguente dichiarazione di policy IAM consente al principale di richiamare l'GenerateDataKeyoperazione su qualsiasi chiave KMS specificata Account AWS associata all'alias. finance-key (Le policy chiave delle chiavi KMS interessate devono inoltre consentire all'account del principale di utilizzarle per questa operazione.) Per indicare che la condizione è soddisfatta quando uno dei molti alias che potrebbero essere associati alla chiave KMS è alias/finance-key, la condizione utilizza il set di operatori ForAnyValue.

Poiché la condizione kms:ResourceAliases si basa sulla risorsa, non sulla richiesta, una chiamata a GenerateDataKey ha esito positivo per qualsiasi chiave KMS associata all'alias finance-key, anche se la richiesta utilizza un ID chiave o un ARN della chiave per identificare la chiave KMS.

{
  "Sid": "AliasBasedIAMPolicy",
  "Effect": "Allow",
  "Action": "kms:GenerateDataKey",
  "Resource": [
    "arn:aws:kms:*:111122223333:key/*",
    "arn:aws:kms:*:444455556666:key/*"
  ],
  "Condition": {
    "ForAnyValue:StringEquals": {
      "kms:ResourceAliases": "alias/finance-key"
    }
  }
}

L'istruzione della policy IAM di esempio seguente consente all'entità principale di abilitare e disabilitare le chiavi KMS, ma solo quando tutti gli alias delle chiavi KMS includono "Test"». Questa istruzione di policy utilizza due condizioni. La condizione con l'operatore ForAllValues richiede che tutti gli alias associati alla chiave KMS includano "Test". La condizione con l'operatore ForAnyValue richiede che la chiave KMS abbia almeno un alias con "Test". Senza la condizione ForAnyValue, questa istruzione di policy consentirebbe all'entità principaledi utilizzare chiavi KMS prive di alias.

{
  "Sid": "AliasBasedIAMPolicy",
  "Effect": "Allow",
  "Action": [
    "kms:EnableKey",
    "kms:DisableKey"
  ],
  "Resource": "arn:aws:kms:*:111122223333:key/*",
  "Condition": {
    "ForAllValues:StringLike": {
      "kms:ResourceAliases": [
        "alias/*Test*"
      ]
    },
    "ForAnyValue:StringLike": {
      "kms:ResourceAliases": [
        "alias/*Test*"
      ]
    }
  }
}

km: ReplicaRegion

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:ReplicaRegion	Stringa (elenco)	A valore singolo	ReplicateKey	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per limitare il numero Regioni AWS in cui un principale può replicare una chiave multiregionale. La chiave kms:ReplicaRegion condizionale controlla l'accesso all'ReplicateKeyoperazione in base al valore del ReplicaRegionparametro nella richiesta. Questo parametro specifica la Regione AWS per la nuova Chiave di replica.

Il valore della condizione è costituito da uno o più Regione AWS nomi, ad esempio us-east-1 orap-southeast-2, o da modelli di nomi, ad esempioeu-*. Per un elenco dei nomi di tali Regioni AWS AWS KMS supporti, consulta AWS Key Management Service endpoints e quote in. Riferimenti generali di AWS

Ad esempio, la seguente dichiarazione di politica chiave utilizza la chiave kms:ReplicaRegion condition per consentire ai principali di richiamare l'ReplicateKeyoperazione solo quando il valore del ReplicaRegion parametro è una delle regioni specificate.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey"
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [ 
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Questa chiave condizionale controlla l'accesso solo all'ReplicateKeyoperazione. Per controllare l'accesso all'UpdatePrimaryRegionoperazione, usa il tasto kms: PrimaryRegion condition.

km: RetiringPrincipal

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:RetiringPrincipal	Stringa (elenco)	A valore singolo	CreateGrant	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per controllare l'accesso all'CreateGrantoperazione in base al valore del RetiringPrincipalparametro nella richiesta. Ad esempio, puoi creare autorizzazioni per utilizzare una chiave KMS solo quando RetiringPrincipal nella richiesta CreateGrant corrisponde a RetiringPrincipal nell'istruzione della condizione.

Per specificare il principale che va in pensione, utilizza l'Amazon Resource Name (ARN) di AWS un principale. I principali validi includono utenti IAM Account AWS, ruoli IAM, utenti federati e utenti assunti. Per informazioni sulla sintassi ARN per un principale, consulta IAM ARNs nella IAM User Guide.

L'esempio seguente di dichiarazione politica chiave consente a un utente di creare concessioni per la chiave KMS. La chiave kms:RetiringPrincipal condizionale limita l'autorizzazione alle CreateGrant richieste in cui il principale beneficiario della concessione ritirante è il. LimitedAdminRole

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:CreateGrant",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:RetiringPrincipal": "arn:aws:iam::111122223333:role/LimitedAdminRole"
    }
  }
}

Consulta anche

• km: GrantConstraintType

• km: GrantIsFor AWSResource

• km: GrantOperations

• km: GranteePrincipal

km: RotationPeriodInDays

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:RotationPeriodInDays	Numerico	A valore singolo	EnableKeyRotation	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per limitare i valori che i principali possono specificare nel RotationPeriodInDays parametro di una EnableKeyRotationrichiesta.

RotationPeriodInDaysspecifica il numero di giorni tra ogni data di rotazione automatica dei tasti. AWS KMS consente di specificare un periodo di rotazione compreso tra 90 e 2560 giorni, ma è possibile utilizzare il tasto kms:RotationPeriodInDays condition per limitare ulteriormente il periodo di rotazione, ad esempio imporre un periodo di rotazione minimo entro l'intervallo valido.

Ad esempio, la seguente dichiarazione politica chiave utilizza la chiave kms:RotationPeriodInDays condition per impedire ai principali di abilitare la rotazione dei tasti se il periodo di rotazione è inferiore o uguale a 180 giorni.

{
  "Effect": "Deny",
  "Action": "kms:EnableKeyRotation",
  "Principal": "*",
  "Resource": "*",
  "Condition" : {
      "NumericLessThanEquals" : {
        "kms:RotationPeriodInDays" : "180"
      }
  }
}

km: ScheduleKeyDeletionPendingWindowInDays

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:ScheduleKeyDeletionPendingWindowInDays	Numerico	A valore singolo	ScheduleKeyDeletion	Policy delle chiavi e policy IAM

È possibile utilizzare questa chiave di condizione per limitare i valori che i principali possono specificare nel PendingWindowInDays parametro di una ScheduleKeyDeletionrichiesta.

PendingWindowInDaysSpeciifica il numero di giorni che AWS KMS attendono prima di eliminare una chiave. AWS KMS consente di specificare un periodo di attesa compreso tra 7 e 30 giorni, ma è possibile utilizzare la chiave di kms:ScheduleKeyDeletionPendingWindowInDays condizione per limitare ulteriormente il periodo di attesa, ad esempio imporre un periodo di attesa minimo entro l'intervallo valido.

Ad esempio, la seguente istruzione della policy della chiave utilizza la chiave di condizione kms:ScheduleKeyDeletionPendingWindowInDays per impedire ai principali di pianificare l'eliminazione della chiave se il periodo di attesa è minore o uguale a 21 giorni.

{
  "Effect": "Deny",
  "Action": "kms:ScheduleKeyDeletion",
  "Principal": "*",
  "Resource": "*",
  "Condition" : {
      "NumericLessThanEquals" : {
        "kms:ScheduleKeyDeletionPendingWindowInDays" : "21"
      }
  }
}

km: SigningAlgorithm

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:SigningAlgorithm	Stringa	A valore singolo	Sign Verify	Policy delle chiavi e policy IAM

È possibile utilizzare il tasto kms:SigningAlgorithm condition per controllare l'accesso alle operazioni di firma e verifica in base al valore del SigningAlgorithmparametro nella richiesta. Questa chiave condizionale non ha effetto sulle operazioni eseguite all'esterno AWS KMS, come la verifica delle firme con la chiave pubblica in una coppia di chiavi KMS asimmetrica all'esterno di. AWS KMS

La seguente policy delle chiavi di esempio consente agli utenti che possono assumere il ruolo testers di utilizzare la chiave KMS per firmare i messaggi solo quando l'algoritmo di firma utilizzato per la richiesta è un algoritmo RSASSA_PSS, ad esempio RSASSA_PSS_SHA512.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/testers"
  },
  "Action": "kms:Sign",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:SigningAlgorithm": "RSASSA_PSS*"
    }
  }
}

Consulta anche

• km: EncryptionAlgorithm

• km: MacAlgorithm

• km: MessageType

km: ValidTo

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:ValidTo	Timestamp	A valore singolo	ImportKeyMaterial	Policy delle chiavi e policy IAM

Il tasto kms:ValidTo condition controlla l'accesso all'ImportKeyMaterialoperazione in base al valore del ValidToparametro nella richiesta, che determina quando scade il materiale chiave importato. Il valore viene espresso in formato Unix.

Come impostazione predefinita, il parametro ValidTo è obbligatorio in una richiesta ImportKeyMaterial. Tuttavia, se il valore del ExpirationModelparametro èKEY_MATERIAL_DOES_NOT_EXPIRE, il ValidTo parametro non è valido. Puoi anche usare la chiave kms: ExpirationModel condition per richiedere il ExpirationModel parametro o un valore di parametro specifico.

La seguente istruzione di policy di esempio consente a un utente di importare il materiale della chiave in una chiave KMS. La chiave di condizione kms:ValidTo limita l'autorizzazione alle richieste ImportKeyMaterial nelle quali il valore ValidTo è minore o uguale a 1546257599.0 (31 dicembre 2018, 23:59:59).

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "NumericLessThanEquals": {
      "kms:ValidTo": "1546257599.0"
    }
  }
}

Consulta anche

• km: ExpirationModel

• km: WrappingAlgorithm

• km: WrappingKeySpec

km: ViaService

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:ViaService	Stringa	A valore singolo	Operazioni delle risorse delle chiavi KMS	Policy delle chiavi e policy IAM

La chiave kms:ViaService condition limita l'uso di una chiave KMS alle richieste provenienti da AWS servizi specifici. È possibile specificare uno o più servizi in ciascuna chiave di condizione kms:ViaService. L'operazione deve essere un'operazione delle risorse delle chiavi KMS, ossia un'operazione autorizzata per una determinata chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella Azioni e risorse, cerca un valore della KMS key nella colonna Resources per l'operazione.

Ad esempio, la seguente istruzione di una policy chiave utilizza la chiave di condizione kms:ViaService per consentire l'utilizzo di una chiave gestita dal cliente per le azioni specificate solo quando la richiesta proviene da Amazon EC2 o Amazon RDS nella Regione Stati Uniti occidentali (Oregon) per conto di ExampleRole.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:DescribeKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": [
        "ec2.us-west-2.amazonaws.com",
        "rds.us-west-2.amazonaws.com"
      ]
    }
  }
}

Puoi inoltre utilizzare una chiave di condizione kms:ViaService per negare l'autorizzazione a utilizzare una chiave KMS quando la richiesta proviene da determinati servizi. Ad esempio, la seguente istruzione di policy da una policy delle chiavi utilizza una chiave di condizione kms:ViaService per evitare che una chiave gestita dal cliente venga utilizzata per le operazioni Encrypt quando la richiesta proviene da AWS Lambda per conto di ExampleRole.

{
  "Effect": "Deny",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": [
    "kms:Encrypt"    
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": [
          "lambda.us-west-2.amazonaws.com"
      ]
    }
  }
}

Importante

Quando si utilizza la chiave di condizione kms:ViaService, il servizio effettua la richiesta per conto di un principale in Account AWS. Questi principali devono disporre delle autorizzazioni seguenti:

• Autorizzazione a utilizzare la chiave KMS. Il principale deve concedere le autorizzazioni al servizio integrato in modo che il servizio possa utilizzare la chiave gestita dal cliente per conto del principale. Per ulteriori informazioni, consulta In che modo i servizi AWS utilizzano AWS KMS.

• Autorizzazione a utilizzare il servizio integrato. Per informazioni dettagliate su come fornire agli utenti l'accesso a un AWS servizio che si integra con AWS KMS, consulta la documentazione del servizio integrato.

Tutte le Chiavi gestite da AWS utilizzano una chiave di condizione kms:ViaService nel documento della policy delle chiavi. Questa condizione consente alla chiave KMS di essere utilizzata solo per le richieste che provengono dal servizio che ha creato la chiave KMS. Per vedere la politica chiave di an Chiave gestita da AWS, usa l'GetKeyPolicyoperazione.

La chiave di condizione kms:ViaService è valida nelle istruzioni IAM e della policy delle chiavi. I servizi specificati devono essere integrati con AWS KMS e supportare la chiave di condizione kms:ViaService.

I servizi che supportano la chiave di condizione kms:ViaService

La tabella seguente elenca AWS i servizi che sono integrati AWS KMS e supportano l'uso della chiave di kms:ViaService condizione nelle chiavi gestite dal cliente. I servizi in questa tabella potrebbero non essere disponibili in tutte le aree. Utilizza il .amazonaws.com suffisso del AWS KMS ViaService nome in tutte le AWS partizioni.

Nota

Potrebbe essere necessario scorrere orizzontalmente o verticalmente per visualizzare tutti i dati di questa tabella.

Nome servizio	AWS KMS ViaService nome
AWS App Runner	apprunner.AWS_region.amazonaws.com
AWS AppFabric	appfabric.AWS_region.amazonaws.com
Amazon AppFlow	appflow.AWS_region.amazonaws.com
AWS Application Migration Service	mgn.AWS_region.amazonaws.com
Amazon Athena	athena.AWS_region.amazonaws.com
AWS Audit Manager	auditmanager.AWS_region.amazonaws.com
Amazon Aurora	rds.AWS_region.amazonaws.com
AWS Backup	backup.AWS_region.amazonaws.com
AWS Backup Gateway	backup-gateway.AWS_region.amazonaws.com
SDK Amazon Chime	chimevoiceconnector.AWS_region.amazonaws.com
AWS CodeArtifact	codeartifact.AWS_region.amazonaws.com
CodeGuru Revisore Amazon	codeguru-reviewer.AWS_region.amazonaws.com
Amazon Comprehend	comprehend.AWS_region.amazonaws.com
Amazon Connect	connect.AWS_region.amazonaws.com
Customer Profiles Amazon Connect	profile.AWS_region.amazonaws.com
Amazon Q in Connect	wisdom.AWS_region.amazonaws.com
AWS Database Migration Service (AWS DMS)	dms.AWS_region.amazonaws.com
AWS Directory Service	directoryservice.AWS_region.amazonaws.com
Amazon DynamoDB	dynamodb.AWS_region.amazonaws.com
Amazon DocumentDB	docdb-elastic.AWS_region.amazonaws.com
Amazon EC2 Systems Manager (SSM)	ssm.AWS_region.amazonaws.com
Amazon Elastic Block Store (Amazon EBS)	ec2.AWS_region.amazonaws.com (solo EBS)
Amazon Elastic Container Registry (Amazon ECR)	ecr.AWS_region.amazonaws.com
Amazon Elastic File System (Amazon EFS)	elasticfilesystem.AWS_region.amazonaws.com
Amazon ElastiCache	Includi entrambi ViaService i nomi nel valore della chiave condizionale: elasticache.AWS_region.amazonaws.com dax.AWS_region.amazonaws.com
AWS Elemental MediaTailor	mediatailor.AWS_region.amazonaws.com
AWS Risoluzione dell'entità	entityresolution.AWS_region.amazonaws.com
Amazon FinSpace	finspace.AWS_region.amazonaws.com
Amazon Forecast	forecast.AWS_region.amazonaws.com
Amazon FSx	fsx.AWS_region.amazonaws.com
AWS Glue	glue.AWS_region.amazonaws.com
AWS Ground Station	groundstation.AWS_region.amazonaws.com
Amazon GuardDuty	malware-protection.AWS_region.amazonaws.com
AWS HealthLake	healthlake.AWS_region.amazonaws.com
AWS IoT SiteWise	iotsitewise.AWS_region.amazonaws.com
Amazon Kendra	kendra.AWS_region.amazonaws.com
Amazon Keyspaces (per Apache Cassandra)	cassandra.AWS_region.amazonaws.com
Amazon Kinesis	kinesis.AWS_region.amazonaws.com
Amazon Data Firehose	firehose.AWS_region.amazonaws.com
Flusso di video Amazon Kinesis	kinesisvideo.AWS_region.amazonaws.com
AWS Lambda	lambda.AWS_region.amazonaws.com
Amazon Lex	lex.AWS_region.amazonaws.com
AWS License Manager	license-manager.AWS_region.amazonaws.com
Servizio di posizione Amazon	geo.AWS_region.amazonaws.com
Amazon Lookout per le apparecchiature	lookoutequipment.AWS_region.amazonaws.com
Amazon Lookout per le metriche	lookoutmetrics.AWS_region.amazonaws.com
Amazon Lookout per Vision	lookoutvision.AWS_region.amazonaws.com
Amazon Macie	macie.AWS_region.amazonaws.com
AWS Mainframe Modernization	m2.AWS_region.amazonaws.com
Blockchain gestita da Amazon	managedblockchain.AWS_region.amazonaws.com
Amazon Managed Streaming for Apache Kafka (Amazon MSK)	kafka.AWS_region.amazonaws.com
Amazon Managed Workflows for Apache Airflow (MWAA)	airflow.AWS_region.amazonaws.com
Amazon MemoryDB per Redis	memorydb.AWS_region.amazonaws.com
Amazon Monitron	monitron.AWS_region.amazonaws.com
Amazon MQ	mq.AWS_region.amazonaws.com
Amazon Neptune	rds.AWS_region.amazonaws.com
Amazon Nimble Studio	nimble.AWS_region.amazonaws.com
AWS HealthOmics	omics.AWS_region.amazonaws.com
OpenSearch Servizio Amazon	es.AWS_region.amazonaws.com, aoss.AWS_region.amazonaws.com
AWS Proton	proton.AWS_region.amazonaws.com
Database Amazon Quantum Ledger (Amazon QLDB)	qldb.AWS_region.amazonaws.com
Performance Insights di Amazon RDS	rds.AWS_region.amazonaws.com
Amazon Redshift	redshift.AWS_region.amazonaws.com
Editor di query Amazon Redshift V2	sqlworkbench.AWS_region.amazonaws.com
Amazon Redshift Serverless	redshift-serverless.AWS_region.amazonaws.com
Amazon Rekognition	rekognition.AWS_region.amazonaws.com
Amazon Relational Database Service (Amazon RDS)	rds.AWS_region.amazonaws.com
Datastore replicato di Amazon	ards.AWS_region.amazonaws.com
Amazon SageMaker	sagemaker.AWS_region.amazonaws.com
AWS Secrets Manager	secretsmanager.AWS_region.amazonaws.com
Amazon Security Lake	securitylake.AWS_region.amazonaws.com
Amazon Simple Email Service (Amazon SES)	ses.AWS_region.amazonaws.com
Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))	sns.AWS_region.amazonaws.com
Amazon Simple Queue Service (Amazon SQS)	sqs.AWS_region.amazonaws.com
Amazon Simple Storage Service (Amazon S3)	s3.AWS_region.amazonaws.com
AWS Snowball	importexport.AWS_region.amazonaws.com
AWS Storage Gateway	storagegateway.AWS_region.amazonaws.com
AWS Systems Manager Incident Manager	ssm-incidents.AWS_region.amazonaws.com
AWS Systems Manager Incident Manager Contatti	ssm-contacts.AWS_region.amazonaws.com
Amazon Timestream	timestream.AWS_region.amazonaws.com
Amazon Translate	translate.AWS_region.amazonaws.com
Accesso verificato da AWS	verified-access.AWS_region.amazonaws.com
Amazon WorkMail	workmail.AWS_region.amazonaws.com
Amazon WorkSpaces	workspaces.AWS_region.amazonaws.com
Amazon WorkSpaces Thin Client	thinclient.AWS_region.amazonaws.com
Amazon WorkSpaces Web	workspaces-web.AWS_region.amazonaws.com
AWS X-Ray	xray.AWS_region.amazonaws.com

km: WrappingAlgorithm

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:WrappingAlgorithm	Stringa	A valore singolo	GetParametersForImport	Policy delle chiavi e policy IAM

Questa chiave di condizione controlla l'accesso all'GetParametersForImportoperazione in base al valore del WrappingAlgorithmparametro nella richiesta. È possibile utilizzare questa condizione per richiedere che i principali utilizzino un determinato algoritmo per crittografare il materiale chiave durante il processo di importazione. Le richieste della chiave pubblica e del token di importazione non riescono se viene specificato un diverso algoritmo di wrapping.

La seguente istruzione di policy chiave di esempio utilizza la chiave di condizione kms:WrappingAlgorithm per fornire all'utente l'autorizzazione a richiamare l'operazione GetParametersForImport, ma gli impedisce di utilizzare l'algoritmo di wrapping RSAES_OAEP_SHA_1. Quando WrappingAlgorithm nella richiesta GetParametersForImport èRSAES_OAEP_SHA_1, l'operazione non riesce.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:GetParametersForImport",
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "kms:WrappingAlgorithm": "RSAES_OAEP_SHA_1"
    }
  }
}

Consulta anche

• km: ExpirationModel

• km: ValidTo

• km: WrappingKeySpec

km: WrappingKeySpec

AWS KMS tasti di condizione	Tipo di condizioni	Value type (Tipo di valore)	Operazioni API	Tipo di policy
kms:WrappingKeySpec	Stringa	A valore singolo	GetParametersForImport	Policy delle chiavi e policy IAM

Questa chiave di condizione controlla l'accesso all'GetParametersForImportoperazione in base al valore del WrappingKeySpecparametro nella richiesta. È possibile utilizzare questa condizione per richiedere che i principali utilizzino un determinato tipo di chiave pubblica durante il processo di importazione. Se la richiesta specifica un tipo di chiave diversa, ha esito negativo.

Poiché l'unico valore valido per il valore del parametro WrappingKeySpec è RSA_2048, impedendo agli utenti di utilizzare questo valore efficacemente, si impedisce loro di utilizzare l'operazione GetParametersForImport.

La seguente istruzione di policy di esempio utilizza la chiave di condizione kms:WrappingAlgorithm per richiedere che WrappingKeySpec nella richiesta sia RSA_4096.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
  },
  "Action": "kms:GetParametersForImport",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:WrappingKeySpec": "RSA_4096"
    }
  }
}

Consulta anche

• km: ExpirationModel

• km: ValidTo

• km: WrappingAlgorithm