AWS CloudHSM キーストアへのアクセスを制御する

IAM ポリシーを使用して、 AWS CloudHSM キーストアと AWS CloudHSM クラスターへのアクセスを制御します。キーポリシー、IAM ポリシー、および許可を使用して、 AWS CloudHSM キーストア AWS KMS keys 内の へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。

AWS CloudHSM キーストアをサポートするには、 にクラスターに関する情報 AWS CloudHSM を取得するためのアクセス許可 AWS KMS が必要です。また、キーストアを AWS CloudHSM クラスターに接続する AWS CloudHSM ネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロール AWS KMS を作成します AWS アカウント。詳細については、「AWS CloudHSM と Amazon EC2 リソースの管理を AWS KMS に許可する」を参照してください。

AWS CloudHSM キーストアを設計するときは、キーストアを使用および管理しているプリンシパルに必要なアクセス許可のみを持っていることを確認してください。次のリストは、 AWS CloudHSM キーストアマネージャーとユーザーに最低限必要なアクセス許可を示しています。

• AWS CloudHSM キーストアを作成および管理するプリンシパルには、 AWS CloudHSM キーストア API オペレーションを使用するための次のアクセス許可が必要です。

  • cloudhsm:DescribeClusters

  • kms:CreateCustomKeyStore

  • kms:ConnectCustomKeyStore

  • kms:DeleteCustomKeyStore

  • kms:DescribeCustomKeyStores

  • kms:DisconnectCustomKeyStore

  • kms:UpdateCustomKeyStore

  • iam:CreateServiceLinkedRole

• キーストアに関連付けられている AWS CloudHSM AWS CloudHSM クラスターを作成および管理するプリンシパルには、 AWS CloudHSM クラスターを作成および初期化するためのアクセス許可が必要です。これには、仮想プライベートクラウド (VPC) の作成または使用、サブネットの作成、Amazon EC2 インスタンスの作成権限が含まれます。また、HSM の作成と削除、およびバックアップの管理が必要な場合もあります。必要なアクセス権限のリストについては、「AWS CloudHSM ユーザーガイド」の「AWS CloudHSMのアイデンティティとアクセス管理」を参照してください。

• AWS CloudHSM キーストア AWS KMS keys で を作成および管理するプリンシパルには、 で KMS キーを作成および管理するプリンシパルと同じアクセス許可が必要です AWS KMS。キーストアの KMS キーのデフォルトキーポリシーは、 の KMS キーのデフォルトキーポリシーと同じです AWS KMS。 AWS CloudHSM タグとエイリアスを使用して KMS キーへのアクセスを制御する属性ベースのアクセスコントロール (ABAC) は、 AWS CloudHSM キーストアの KMS キーでも有効です。

• 暗号化オペレーションに AWS CloudHSM キーストアの KMS キーを使用するプリンシパルには、kms:Decrypt などの KMS キーを使用して暗号化オペレーションを実行するアクセス許可が必要です。これらのアクセス許可は、キーポリシー、IAM ポリシーで付与できます。ただし、 キーストアで KMS AWS CloudHSM キーを使用するための追加のアクセス許可は必要ありません。