Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy delle chiavi predefinita
Quando si crea una chiave KMS, è possibile specificare la policy delle chiavi per la nuova chiave KMS. Se non ne fornisci una, AWS KMS la crea per te. La policy delle chiavi predefinita utilizzata da AWS KMS varia a seconda che la chiave venga creata nella console AWS KMS o se si utilizza l'API AWS KMS.
La policy delle chiavi predefinita al momento della creazione di una chiave KMS a livello di programmazione
Quando si crea una chiave KMS a livello di programmazione con l'API AWS KMS (anche usando gli SDK AWS
La policy delle chiavi prefefinita al momento della creazione di una chiave KMS con la AWS Management Console
Quando si crea una chiave KMS tramite la AWS Management Console, la policy delle chiavi inizia con l'istruzione della policy che consente l'accesso all'Account AWS e abilita le policy IAM. La console aggiunge quindi una istruzione per gli amministratori delle chiavi, una istruzione per gli utenti delle chiavi e (per la maggior parte dei tipi di chiavi) un'istruzione che consente ai principali di utilizzare la chiave KMS con altri servizi AWS. È possibile utilizzare le funzionalità della console AWS KMS per specificare gli utenti e i ruoli IAM e gli Account AWS che sono amministratori delle chiavi e quelli che sono utenti delle chiavi (o entrambi).
Autorizzazioni
Consente l'accesso a Account AWS e abilita le policy IAM
La seguente istruzione delle policy delle chiavi predefinita è fondamentale.
-
Fornisce all'Account AWS che possiede la chiave KMS l'accesso completo alla chiave KMS.
A differenza di altre policy di risorse AWS, una policy delle chiavi AWS KMS non fornisce automaticamente l'autorizzazione all'account o alle relative identità. Per concedere l'autorizzazione agli amministratori di account, la policy delle chiavi deve includere un'istruzione esplicita che fornisce l'autorizzazione, come questa.
-
Consente all'account di utilizzare le policy IAM per consentire l'accesso alla chiave KMS, oltre alla policy delle chiavi.
Senza questa autorizzazione, le policy IAM che consentono l'accesso alla chiave sono inefficaci, anche se le policy IAM che negano l'accesso alla chiave sono ancora valide.
-
Riduce il rischio che la chiave diventi ingestibile fornendo l'autorizzazione per il controllo degli accessi agli amministratori dell'account, incluso l'utente root dell'account, che non può essere eliminato.
La seguente istruzione della policy delle chiavi è l'unica policy delle chiavi predefinita per le chiavi KMS create a livello di programmazione. È la prima istruzione di policy nella policy delle chiavi predefinita per le chiavi KMS create nella console AWS KMS.
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }
- Consente alle policy IAM di controllare l'accesso alla chiave KMS.
-
L'istruzione della policy delle chiavi illustrata sopra fornisce all'Account AWS che possiede la chiave l'autorizzazione per utilizzare le policy IAM, nonché le policy delle chiavi, per consentire tutte le operazioni (
kms:*) sulla chiave KMS.Il principale in questa istruzione della policy delle chiavi è il principale dell'account, rappresentato da un ARN nel formato
arn:aws:iam::. Il principale dell'account rappresenta l'account AWS e i relativi amministratori.account-id:rootQuando il principale in una istruzione di policy delle chiavi è il principale dell'account, l'istruzione della policy non fornisce al principale IAM l'autorizzazione a utilizzare la chiave KMS. Consente invece all'account di utilizzare le policy IAM per delegare le autorizzazioni specificate nell'istruzione della policy. Questa istruzione di policy delle chiavi predefinita consente all'account di utilizzare le policy IAM per delegare l'autorizzazione per tutte le operazioni (
kms:*) sulla chiave KMS. - Riduce il rischio che la chiave KMS diventi ingestibile.
-
A differenza di altre policy di risorse AWS, una policy delle chiavi AWS KMS non fornisce automaticamente l'autorizzazione all'account o ai relativi principali. Per fornire l'autorizzazione a qualsiasi principale, incluso il principale dell'account, è necessario utilizzare una istruzione della policy delle chiavi che fornisca esplicitamente l'autorizzazione. Non è richiesto di concedere al principale dell'account, o a qualsiasi principale, l'accesso alla chiave KMS. Tuttavia, l'accesso al principale dell'account aiuta a evitare che la chiave diventi ingestibile.
Ad esempio, si supponga di creare una policy delle chiavi che dia a un solo utente l'accesso alla chiave KMS. Se questo utente viene eliminato, la chiave diventa ingestibile e diventa necessario contattare AWS Support
per ottenere di nuovo l'accesso alla chiave KMS. L'istruzione della policy delle chiavi illustrata sopra fornisce l'autorizzazione per controllare la chiave al principale dell'account, che rappresenta l'Account AWS e i relativi amministratori, incluso l'utente root dell'account. L'utente root dell'account è l'unico principale che non può essere eliminato a meno che non si elimini l'Account AWS. Le best practice IAM scoraggiano l'operazione per conto dell'utente root dell'account, tranne in caso di emergenza. Tuttavia, potrebbe essere necessario agire come utente root dell'account se si eliminano tutti gli altri utenti e ruoli con accesso alla chiave KMS.
Consente agli amministratori delle chiavi di amministrare la chiave KMS
La policy delle chiavi predefinita creata dalla console consente di scegliere gli utenti e i ruoli IAM nell'account e renderli amministratori delle chiavi. Questa istruzione si chiama istruzione degli amministratori delle chiavi. Gli amministratori delle chiavi dispongono delle autorizzazioni per gestire la chiave KMS, ma non dispongono delle autorizzazioni per utilizzare la chiave KMS nelle operazioni di crittografia. È possibile aggiungere utenti e ruoli IAM all'elenco degli amministratori delle chiavi quando si crea la chiave KMS nella visualizzazione di default o nella visualizzazione della policy.
avvertimento
Poiché gli amministratori delle chiavi dispongono dell'autorizzazione per modificare la policy delle chiavi, possono concedere a loro stessi e ad altri le autorizzazioni AWS KMS non specificate in questa policy.
I principali che dispongono dell'autorizzazione per gestire tag e alias possono anche controllare l'accesso a una chiave KMS. Per informazioni dettagliate, vedi ABAC per AWS KMS.
Nota
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.
L'esempio seguente mostra l'istruzione degli amministratori della chiave nella visualizzazione predefinita della console AWS KMS.
L'esempio seguente mostra un esempio di istruzione degli amministratori della chiave nella visualizzazione della policy della console AWS KMS. Questa istruzione degli amministratori della chiave si riferisce a una chiave KMS di crittografia simmetrica mono-regione.
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS":"arn:aws:iam::111122223333:role/ExampleAdminRole"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
L'istruzione predefinita degli amministratori della chiave per la chiave KMS più comune, una chiave KMS di crittografia simmetrica mono-regione, concede le seguenti autorizzazioni. Per informazioni dettagliate su ciascuna autorizzazione, consultare AWS KMS autorizzazioni.
Quando si utilizza la console AWS KMS per creare una chiave KMS, la console aggiunge gli utenti e i ruoli specificati all'elemento Principal nell'istruzione degli amministratori della chiave.
Molte di queste autorizzazioni contengono il carattere jolly (*), che concede tutte le autorizzazioni che iniziano con il verbo specificato. Di conseguenza, quando AWS KMS aggiunge nuove operazioni API, gli amministratori della chiave sono automaticamente autorizzati a utilizzarle. Non è necessario aggiornare le policy della chiave per includere le nuove operazioni. Se si preferisce limitare gli amministratori della chiave a un set fisso di operazioni API, è possibile modificare la policy della chiave.
kms:Create*-
Consente kms:CreateAlias e kms:CreateGrant. (L'autorizzazione
kms:CreateKeyè valida solo in una policy IAM.) kms:Describe*-
Consente kms:DescribeKey. L'autorizzazione
kms:DescribeKeyè richiesta per visualizzare la pagina dei dettagli della chiave per una chiave KMS nella AWS Management Console. kms:Enable*-
Permette kms:EnableKey. Per le chiavi KMS di crittografia simmetrica, consente anche kms:EnableKeyRotation.
kms:List*-
Permette kms:ListGrants,
kms:ListKeyPoliciese kms:ListResourceTags. (Le autorizzazionikms:ListAliasesekms:ListKeys, che sono necessarie per visualizzare le chiavi KMS nella AWS Management Console, sono valide solo nelle policy IAM.) kms:Put*-
Consente
kms:PutKeyPolicy. Questa autorizzazione consente agli amministratori della chiave di modificare la policy della chiave per questa chiave KMS. kms:Update*-
Consente kms:UpdateAlias e kms:UpdateKeyDescription. Per le chiavi multi-Regione, consente kms:UpdatePrimaryRegion su questa chiave KMS.
kms:Revoke*-
Concede kms:RevokeGrant, che permette agli amministratori della chiave di eliminare una concessione anche se non sono un principale per il ritiro nella concessione.
kms:Disable*-
Permette kms:DisableKey. Per le chiavi KMS di crittografia simmetrica, consente anche kms:DisableKeyRotation.
kms:Get*-
Permette kms:GetKeyPolicy e kms:GetKeyRotationStatus. Per le chiavi KMS con materiale chiave importato, consente
kms:GetParametersForImport. Per le chiavi KMS asimmetriche, consentekms:GetPublicKey. L'autorizzazionekms:GetKeyPolicyè richiesta per visualizzare la policy della chiave per una chiave KMS nella AWS Management Console. kms:Delete*-
Consente kms:DeleteAlias. Per le chiavi con materiale chiave importato, consente kms:DeleteImportedKeyMaterial. L'autorizzazione
kms:Delete*non consente agli amministratori della chiave di eliminare la chiave KMS (ScheduleKeyDeletion). kms:TagResource-
Consente kms:TagResource, per cui gli amministratori della chiave possono aggiungere tag alla chiave KMS. Poiché i tag possono essere utilizzati anche per controllare l'accesso alla chiave KMS, questa autorizzazione può consentire agli amministratori di permettere o negare l'accesso alla chiave KMS. Per informazioni dettagliate, vedi ABAC per AWS KMS.
kms:UntagResource-
Consente kms:UntagResource, per cui gli amministratori della chiave possono eliminare tag dalla chiave KMS. Poiché i tag possono essere utilizzati per controllare l'accesso alla chiave, questa autorizzazione può consentire agli amministratori di permettere o negare l'accesso alla chiave KMS. Per informazioni dettagliate, vedi ABAC per AWS KMS.
kms:ScheduleKeyDeletion-
Consente
kms:ScheduleKeyDeletion, per cui gli amministratori della chiave possono eliminare questa chiave KMS. Per eliminare questa autorizzazione, deseleziona l'opzione Consenti agli amministratori della chiave di eliminare questa chiave. kms:CancelKeyDeletion-
Consente
kms:CancelKeyDeletion, per cui gli amministratori della chiave possono annullare l'eliminazione di questa chiave KMS. Per eliminare questa autorizzazione, deseleziona l'opzione Consenti agli amministratori della chiave di eliminare questa chiave.
AWS KMS aggiunge le seguenti autorizzazioni all'istruzione predefinita degli amministratori chiave al momento della creazione di chiavi per uso speciale.
kms:ImportKeyMaterial-
L'autorizzazione
kms:ImportKeyMaterialconsente agli amministratori della chiave di importare il materiale chiave nella chiave KMS. Questa autorizzazione è inclusa nella policy delle chiavi solo quando crei una chiave KMS senza materiale della chiave. kms:ReplicateKey-
L'autorizzazione
kms:ReplicateKeyconsente agli amministratori della chiave di creare una replica di una chiave primaria multi-Regione in un'altra Regione AWS. Questa autorizzazione è inclusa nella policy della chiave solo quando si crea una chiave primaria o di replica multi-Regione. kms:UpdatePrimaryRegion-
L'autorizzazione
kms:UpdatePrimaryRegionconsente agli amministratori della chiave di modificare una replica di una chiave multi-Regione in una chiave primaria multi-Regione. Questa autorizzazione è inclusa nella policy della chiave solo quando si crea una chiave primaria o di replica multi-Regione.
Consente agli utenti della chiave di utilizzare la chiave KMS
La policy della chiave predefinita creata dalla console per le chiavi KMS di crittografia simmetrica consente di scegliere gli utenti IAM e i ruoli IAM nell'account e negli Account AWS esterni e di renderli utenti della chiave.
La console aggiunge due istruzioni di policy alla policy delle chiavi per gli utenti della chiave.
-
Utilizzare direttamente la chiave KMS — La prima istruzione di policy delle chiavi consente agli utenti della chiave di utilizzare la chiave KMS direttamente per tutte le operazioni di crittografia per quel tipo di chiave KMS.
-
Utilizzare la chiave KMS con servizi AWS: la seconda istruzione di policy fornisce agli utenti della chiave il permesso di consentire ai servizi AWS che sono integrati con AWS KMS di utilizzare la chiave KMS per loro conto per proteggere le risorse, ad esempio i bucket di Amazon S3 e le tabelle di Amazon DynamoDB.
Puoi aggiungere utenti IAM, ruoli IAM e Account AWS esterni all'elenco degli utenti della chiave quando crei la chiave KMS. È anche possibile modificare l'elenco con la visualizzazione predefinita della console per le policy delle chiavi, come illustrato nella seguente immagine. La visualizzazione predefinita per le policy delle chiavi si trova nella pagina dei dettagli delle chiavi. Per ulteriori informazioni su come consentire agli utenti in altri Account AWS di utilizzare la chiave KMS, consulta Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.
Nota
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.
Le istruzioni degli amministratori della chiave predefinite per una chiave KMS simmetrica a Regione singola concedono le seguenti autorizzazioni. Per informazioni dettagliate su ciascuna autorizzazione, consultare AWS KMS autorizzazioni.
Quando si utilizza la console AWS KMS per creare una chiave KMS, la console aggiunge gli utenti e i ruoli specificati all'elemento Principal in ciascuna istruzione degli amministratori della chiave.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Consente agli utenti della chiave di utilizzare una chiave KMS per le operazioni di crittografia
Gli utenti della chiave sono autorizzati a utilizzare direttamente la chiave KMS in tutte le operazioni di crittografia supportate nella chiave KMS. Possono inoltre utilizzare l'DescribeKeyoperazione per ottenere informazioni dettagliate sulla chiave KMS nella AWS KMS console o utilizzare le AWS KMS operazioni API.
Per impostazione predefinita, la console AWS KMS aggiunge istruzioni per gli utenti di chiave come quelle contenute negli esempi seguenti alla policy delle chiavi predefinita. Dato che supportano diverse operazioni API, le operazioni nelle istruzioni della policy per le chiavi KMS di crittografia simmetrica, le chiavi KMS HMAC, le chiavi asimmetriche per la crittografia a chiave pubblica e le chiavi KMS asimmetriche per la firma e la verifica sono leggermente diverse.
- Chiavi KMS di crittografia simmetrica
-
La console aggiunge l'istruzione seguente alla policy della chiave per le chiavi KMS di crittografia simmetrica.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" } - Chiavi KMS HMAC
-
La console aggiunge l'istruzione seguente alla policy della chiave per le chiavi KMS HMAC.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GenerateMac", "kms:VerifyMac" ], "Resource": "*" } - Chiavi KMS asimmetriche per la crittografia a chiave pubblica
-
La console aggiunge l'istruzione seguente alla policy delle chiavi per le chiavi KMS asimmetriche con un utilizzo di chiave Encrypt and decrypt (Crittografia e decrittografia).
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" } - Chiavi KMS asimmetriche per la firma e la verifica
-
La console aggiunge l'istruzione seguente alla policy delle chiavi per le chiavi KMS asimmetriche con un utilizzo di chiave Sign and verify (Firma e verifica).
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" }
Le operazioni in queste istruzioni forniscono agli utenti della chiave le autorizzazioni seguenti.
kms:Encrypt-
Permette agli utenti della chiave di crittografare i dati con questa chiave KMS.
kms:Decrypt-
Permette agli utenti della chiave di decrittare i dati con questa chiave KMS.
kms:DescribeKey-
Permette agli utenti della chiave di ottenere informazioni dettagliate su questa chiave KMS, compresi gli identificatori, la data di creazione e lo stato della chiave. Consente inoltre agli utenti della chiave di visualizzare i dettagli sulla chiave KMS nella console AWS KMS.
kms:GenerateDataKey*-
Permette agli utenti della chiave di richiedere una chiave di dati simmetrica o una coppia di chiavi di dati asimmetriche per operazioni di crittografia sul lato client. La console utilizza il carattere jolly * per rappresentare l'autorizzazione per le seguenti operazioni API: GenerateDataKey, GenerateDataKeyWithoutPlaintextGenerateDataKeyPair, e. GenerateDataKeyPairWithoutPlaintext Queste autorizzazioni sono valide solo per le chiavi KMS di crittografia simmetrica che crittografano le chiavi di dati.
- km: GenerateMac
-
Consente agli utenti della chiave di utilizzare una chiave KMS HMAC per generare un tag HMAC.
- km: GetPublicKey
-
Permette agli utenti della chiave di scaricare la chiave pubblica della chiave KMS asimmetrica. Le parti con cui condividi questa chiave pubblica possono crittografare i dati al di fuori di AWS KMS. Questi testi cifrati possono essere decriptati solo chiamando l'operazione Decrypt in AWS KMS.
- km: * ReEncrypt
-
Permette agli utenti della chiave di crittografare nuovamente i dati originariamente crittografati con questa chiave KMS o di utilizzare questa chiave KMS per ricrittografare dati crittografati in precedenza. L'ReEncryptoperazione richiede l'accesso alle chiavi KMS di origine e di destinazione. A tal fine, puoi concedere l'autorizzazione
kms:ReEncryptFromsulla chiave KMS di origine e l'autorizzazionekms:ReEncryptTosulla chiave KMS di destinazione. Per semplicità, però, la console consentekms:ReEncrypt*(con il carattere jolly*) su entrambe le chiavi KMS. - kms:Sign
-
Permette agli utenti della chiave di firmare messaggi con questa chiave KMS.
- kms:Verify
-
Permette agli utenti della chiave di verificare le firme con questa chiave KMS.
- km: VerifyMac
-
Consente agli utenti della chiave di utilizzare una chiave KMS HMAC per verificare un tag HMAC.
Consente agli utenti della chiave di utilizzare la chiave KMS con i servizi AWS
La policy delle chiavi predefinita nella console, inoltre, concede agli utenti della chiave le autorizzazioni di cui hanno bisogno per proteggere i dati nei servizi AWS che utilizzano concessioni. I servizi AWS spesso utilizzano le concessioni per ottenere autorizzazioni specifiche e limitate per utilizzare una chiave KMS.
Questa istruzione di policy delle chiavi consente all'utente della chiave di creare, visualizzare e revocare concessioni sulla chiave KMS, ma solo quando la richiesta di operazione di concessione proviene da un servizio AWS integrato con AWS KMS
Gli utenti della chiave hanno bisogno di queste autorizzazioni di concessione per utilizzare la loro chiave KMS con i servizi integrati, ma queste autorizzazioni non sono sufficienti. Gli utenti della chiave hanno bisogno dell'autorizzazione anche per utilizzare i servizi integrati. Per ulteriori informazioni su come garantire agli utenti l'accesso a un servizio AWS che si integra con AWS KMS, consulta la documentazione relativa al servizio integrato.
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Ad esempio, gli utenti della chiave possono utilizzare queste autorizzazioni sulla chiave KMS nei modi seguenti.
-
Utilizza questa chiave KMS con Amazon Elastic Block Store (Amazon EBS) e Amazon Elastic Compute Cloud (Amazon EC2) per allegare un volume EBS crittografato a un'istanza EC2. L'utente della chiave offre implicitamente a Amazon EC2 l'autorizzazione a utilizzare la chiave KMS per collegare il volume crittografato all'istanza. Per ulteriori informazioni, consultare Come Amazon Elastic Block Store (Amazon EBS) usa AWS KMS.
-
Utilizza questa chiave KMS con Amazon Redshift per avviare un cluster crittografato. L'utente della chiave offre implicitamente a Amazon Redshift l'autorizzazione a utilizzare la chiave KMS per avviare il cluster crittografato e creare snapshot crittografate. Per ulteriori informazioni, consultare Come Amazon Redshift utilizza AWS KMS.
-
Utilizzare questa chiave KMS con altri servizi AWS integrati con AWS KMS che utilizzano concessioni per creare, gestire o utilizzare le risorse crittografate con quei servizi.
La policy delle chiavi predefinita consente agli utenti della chiave di delegare l'autorizzazione di concessione a tutti i servizi integrati che utilizzano le concessioni. È tuttavia possibile creare una policy delle chiavi personalizzata che limita l'autorizzazione ai servizi AWSspecificati. Per ulteriori informazioni, consulta la chiave di condizione km: ViaService.
