Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per utilizzarlo AWS KMS, devi disporre di credenziali che AWS possano essere utilizzate per autenticare le tue richieste. Le credenziali devono includere i permessi di accesso alle AWS risorse e gli alias. AWS KMS keys Nessun AWS principale dispone di alcuna autorizzazione per una chiave KMS a meno che tale autorizzazione non sia fornita esplicitamente e mai negata. Non sono disponibili autorizzazioni implicite o automatiche per l'utilizzo o la gestione di una chiave KMS.
Per controllare l'accesso alle chiavi KMS, è possibile utilizzare i seguenti meccanismi delle policy.
-
Policy delle chiavi: ogni chiave KMS ha una policy delle chiavi. Le policy delle chiavi sono il meccanismo principale per controllare l'accesso a una chiave KMS. Puoi utilizzare la sola policy delle chiavi per il controllo dell'accesso, per cui l'accesso alla chiave KMS nella sua interezza è definito in un unico documento (la policy delle chiavi). Per ulteriori informazioni sull'utilizzo delle policy delle chiavi, consulta Policy delle chiavi.
-
Policy IAM: è possibile utilizzare le policy IAM insieme alla policy delle chiavi e alle concessioni per controllare l'accesso a una chiave KMS. Il controllo dell'accesso eseguito in questo modo consente di gestire tutte le autorizzazioni delle identità IAM in IAM. Per utilizzare una policy IAM per consentire l'accesso a una chiave KMS, la policy delle chiavi deve consentirla esplicitamente. Per ulteriori informazioni sull'utilizzo di policy IAM consulta Policy IAM.
-
Concessioni: è possibile utilizzare le concessioni insieme alla policy delle chiavi e alle policy IAM per consentire l'accesso a una chiave KMS. Il controllo dell'accesso eseguito in questo modo ti consente di accedere alla chiave KMS nella policy delle chiavi e di permettere alle identità di delegare l'accesso ad altri utenti. Per ulteriori informazioni sull'utilizzo di concessioni, consulta Sovvenzioni in AWS KMS.
Politiche chiave KMS
Il modo principale per gestire l'accesso alle AWS KMS risorse è attraverso le politiche. Le policy sono documenti che descrivono quali principali possono accedere a quali risorse. Le politiche associate a un'identità IAM sono chiamate politiche basate sull'identità (o politiche IAM) e le politiche associate ad altri tipi di risorse sono chiamate politiche delle risorse. AWS KMS le politiche relative alle risorse per le chiavi KMS sono chiamate politiche chiave.
Tutte le chiavi KMS dispongono di una policy delle chiavi. Se non ne fornisci una, ne AWS KMS crea una per te. La politica di chiave predefinita AWS KMS utilizzata varia a seconda che si crei la chiave nella AWS KMS console o si utilizzi l' AWS KMS API. Ti consigliamo di modificare la politica delle chiavi predefinita per allinearla ai requisiti della tua organizzazione per le autorizzazioni con privilegi minimi.
Puoi utilizzare la policy chiave da sola per controllare l'accesso se la chiave e il responsabile IAM si trovano nello stesso AWS account, il che significa che l'intero ambito di accesso alla chiave KMS è definito in un unico documento (la politica chiave). Tuttavia, quando un chiamante di un account deve accedere a una chiave in un altro account, non è possibile utilizzare la sola politica delle chiavi per concedere l'accesso. Nello scenario tra più account, è necessario allegare all'utente o al ruolo del chiamante una policy IAM che consenta esplicitamente al chiamante di effettuare la chiamata API.
Puoi anche utilizzare le policy IAM in combinazione con le policy e le concessioni chiave per controllare l'accesso a una chiave KMS. Per utilizzare una policy IAM per controllare l'accesso a una chiave KMS, la policy chiave deve autorizzare l'account a utilizzare le policy IAM. Puoi specificare una dichiarazione di policy chiave che abiliti le politiche IAM oppure puoi specificare esplicitamente i principi consentiti nella policy chiave.
Durante la stesura delle policy, assicurati di disporre di controlli rigorosi che limitino chi può eseguire le seguenti azioni:
-
Aggiorna, crea ed elimina le politiche chiave IAM e KMS
-
Allega e scollega le politiche IAM da utenti, ruoli e gruppi
-
Allega e scollega le policy chiave KMS dalle tue chiavi KMS
Concessioni chiave KMS
Oltre a IAM e alle politiche chiave, AWS KMS supporta le sovvenzioni. Le sovvenzioni forniscono un modo flessibile e potente per delegare le autorizzazioni. Puoi utilizzare le sovvenzioni per concedere l'accesso con chiave KMS a tempo limitato ai responsabili IAM nel tuo AWS account o in altri account. AWS Ti consigliamo di emettere un accesso limitato nel tempo se non conosci i nomi dei responsabili al momento della creazione delle policy o se i principali che richiedono l'accesso cambiano frequentemente. Il titolare del beneficiario può avere lo stesso account della chiave KMS o un altro account. Se il principale e la chiave KMS si trovano in account diversi, è necessario specificare una policy IAM oltre alla concessione. Le sovvenzioni richiedono una gestione aggiuntiva perché è necessario chiamare un'API per creare la sovvenzione e ritirarla o revocarla quando non è più necessaria.
I seguenti argomenti forniscono dettagli su come utilizzare AWS Identity and Access Management (IAM) e AWS KMS le autorizzazioni per proteggere le risorse controllando chi può accedervi.
