Politica di chiave KMS richiesta per l'uso con volumi EBS crittografati in PCS AWS

AWS PCS utilizza ruoli collegati ai servizi per delegare le autorizzazioni ad altri. Servizi AWS Il ruolo collegato al servizio AWS PCS è predefinito e include le autorizzazioni richieste da AWS PCS per chiamare altri utenti per conto dell'utente. Servizi AWS Le autorizzazioni predefinite includono anche l'accesso alle chiavi gestite dai clienti, Chiavi gestite da AWS ma non a quelle gestite dai clienti.

Questo argomento descrive come configurare la politica delle chiavi richiesta per avviare le istanze quando si specifica una chiave gestita dal cliente per la crittografia Amazon EBS.

Nota

AWS PCS non richiede un'autorizzazione aggiuntiva per utilizzare l'impostazione predefinita Chiave gestita da AWS per proteggere i volumi crittografati nel tuo account.

Indice

• Panoramica

• Configurare le policy chiave

• Esempio 1: sezioni delle policy delle chiavi che permettono l'accesso alla chiave gestita dal cliente

• Esempio 2: sezioni delle policy delle chiavi che permettono l'accesso multiaccount alla chiave gestita dal cliente

• Modificare le policy delle chiavi nella console AWS KMS

Panoramica

È possibile utilizzare quanto segue AWS KMS keys per la crittografia Amazon EBS quando AWS PCS avvia istanze:

• Chiave gestita da AWS— Una chiave di crittografia nel tuo account che Amazon EBS crea, possiede e gestisce. Questa è la chiave di crittografia di default per un nuovo account. Amazon EBS utilizza la Chiave gestita da AWS crittografia a meno che non venga specificata una chiave gestita dal cliente.

• Chiave gestita dal cliente: una chiave di crittografia personalizzata che puoi creare, possedere e gestire. Per ulteriori informazioni, consulta Creare una chiave KMS nella Guida per gli AWS Key Management Service sviluppatori.

  Nota

  La chiave deve essere simmetrica. Amazon EBS non supporta chiavi asimmetriche gestite dai clienti.

Le chiavi gestite dal cliente vengono configurate quando si creano istantanee crittografate o un modello di avvio che specifica i volumi crittografati o quando si sceglie di abilitare la crittografia per impostazione predefinita.

Configurare le policy chiave

Le tue chiavi KMS devono avere una politica chiave che consenta a AWS PCS di avviare istanze con volumi Amazon EBS crittografati con una chiave gestita dal cliente.

Utilizza gli esempi in questa pagina per configurare una politica chiave che consenta a AWS PCS di accedere alla chiave gestita dal cliente. È possibile modificare la politica chiave della chiave gestita dal cliente al momento della creazione della chiave o in un secondo momento.

La politica chiave deve contenere le seguenti dichiarazioni:

• Un'istruzione che consente all'identità IAM specificata nell'Principalelemento di utilizzare direttamente la chiave gestita dal cliente. Include le autorizzazioni per eseguire AWS KMS EncryptDecrypt, ReEncrypt*GenerateDataKey*, e DescribeKey le operazioni sulla chiave.

• Un'istruzione che consente all'identità IAM specificata nell'Principalelemento di utilizzare l'CreateGrantoperazione per generare concessioni che delegano un sottoinsieme delle proprie autorizzazioni a quelle integrate con o con un Servizi AWS altro principale. AWS KMS Questo permette di utilizzare la chiave per creare le risorse crittografate per te.

Non modificate alcuna dichiarazione esistente nella policy quando aggiungete le nuove dichiarazioni politiche alla vostra policy chiave.

Per ulteriori informazioni, consultare:

• create-key nel Command Reference AWS CLI

• put-key-policy in Riferimento ai comandi AWS CLI

• Trova l'ID chiave e l'ARN della chiave nella Guida per gli sviluppatori AWS Key Management Service

• Ruoli collegati ai servizi per PCS AWS

• Crittografia Amazon EBS nella Guida per l'utente di Amazon EBS

• AWS Key Management Servicenella Guida per gli sviluppatori AWS Key Management Service

Esempio 1: sezioni delle policy delle chiavi che permettono l'accesso alla chiave gestita dal cliente

Aggiungi le seguenti dichiarazioni politiche alla politica chiave della chiave gestita dal cliente. Sostituisci l'ARN di esempio con l'ARN del tuo ruolo collegato al servizio. AWSServiceRoleForPCS Questa politica di esempio fornisce al ruolo collegato al servizio AWS PCS (AWSServiceRoleForPCS) le autorizzazioni per utilizzare la chiave gestita dal cliente.

{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}

{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}

Esempio 2: sezioni delle policy delle chiavi che permettono l'accesso multiaccount alla chiave gestita dal cliente

Se si crea una chiave gestita dal cliente in un account diverso da quello del cluster AWS PCS, è necessario utilizzare una concessione in combinazione con la politica chiave per consentire l'accesso alla chiave da più account.

Per concedere l'accesso alla chiave

1. Aggiungi le seguenti dichiarazioni politiche alla politica chiave della chiave gestita dal cliente. Sostituisci l'ARN di esempio con l'ARN dell'altro account. Sostituiscilo 111122223333 con l'ID effettivo dell'account in Account AWS cui desideri creare il cluster AWS PCS. Ciò permette di dare a un utente o ruolo IAM dell'account specificato l'autorizzazione a creare una concessione per la chiave utilizzando il comando CLI che segue. Per impostazione predefinita, gli utenti non hanno accesso alla chiave.

   {.
      "Sid": "Allow external account 111122223333 use of the customer managed key",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey"
      ],
      "Resource": "*"
   }

   {
      "Sid": "Allow attachment of persistent resources in external account 111122223333",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:CreateGrant"
      ],
      "Resource": "*"
   }

2. Dall'account in cui desideri creare il cluster AWS PCS, crea una concessione che deleghi le autorizzazioni pertinenti al ruolo collegato al servizio AWS PCS. Il valore di grantee-principal è l'ARN del ruolo collegato al servizio. Il valore di key-id è l'ARN della chiave.

   Il comando CLI create-grant di esempio seguente fornisce al ruolo collegato al servizio indicato AWSServiceRoleForPCS nelle 111122223333 autorizzazioni dell'account l'utilizzo della chiave gestita dal cliente nell'account. 444455556666

   aws kms create-grant \
     --region us-west-2 \
     --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
     --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \
     --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"

   Nota

   L'utente che effettua la richiesta deve disporre delle autorizzazioni per utilizzare l'azione. kms:CreateGrant

   L'esempio seguente di policy IAM consente a un'identità IAM (utente o ruolo) in un account di 111122223333 creare una concessione per l'account 444455556666 key in gestito dal cliente.

   JSON

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
         "Effect": "Allow",
         "Action": "kms:CreateGrant",
         "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
       }
     ]
   }
   

   Per ulteriori informazioni sulla creazione di una concessione per una chiave KMS in un diverso Account AWS, consulta Concessioni in AWS KMS nella Guida per gli sviluppatori AWS Key Management Service .

   Importante

   Il nome del ruolo collegato al servizio specificato come principale assegnatario deve essere il nome di un ruolo esistente. Dopo aver creato la concessione, per assicurarti che la concessione consenta a AWS PCS di utilizzare la chiave KMS specificata, non eliminare e ricreare il ruolo collegato al servizio.

Modificare le policy delle chiavi nella console AWS KMS

Gli esempi nelle seguenti sezioni mostrano solo come aggiungere le istruzioni alla policy di una chiave, che è solo uno dei modi per modificare questo tipo di policy. Il modo più semplice per modificare una policy chiave consiste nell'utilizzare la visualizzazione predefinita della AWS KMS console per le policy chiave e rendere un'identità IAM (utente o ruolo) uno degli utenti chiave per la policy chiave appropriata. Per ulteriori informazioni, consulta Using the AWS Management Console default view nella AWS Key Management Service Developer Guide.

avvertimento

Le dichiarazioni sulla politica di visualizzazione predefinita della console includono le autorizzazioni per eseguire AWS KMS Revoke operazioni sulla chiave gestita dal cliente. Se revochi una concessione che consentiva Account AWS l'accesso a una chiave gestita dal cliente nel tuo account, gli utenti di tale account Account AWS perderanno l'accesso ai dati crittografati e alla chiave.