AWS CloudHSM キーストアへのアクセスを制御する

IAM ポリシーを使用して、 AWS CloudHSM キーストアと AWS CloudHSM クラスターへのアクセスを制御します。キーポリシー、 IAMポリシー、および許可を使用して、 AWS CloudHSM キーストア AWS KMS keys 内の へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。

AWS CloudHSM キーストアをサポートするために、 にはクラスターに関する情報 AWS CloudHSM を取得するためのアクセス許可 AWS KMS が必要です。また、キーストアを AWS CloudHSM クラスターに接続する AWS CloudHSM ネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 でAWSServiceRoleForKeyManagementServiceCustomKeyStoresサービスにリンクされたロール AWS KMS を作成します AWS アカウント。詳細については、「AWS CloudHSM と Amazon EC2リソースの管理 AWS KMS を に許可する」を参照してください。

AWS CloudHSM キーストアを設計するときは、キーストアを使用および管理しているプリンシパルに必要なアクセス許可のみを持っていることを確認してください。次のリストは、 AWS CloudHSM キーストアマネージャーとユーザーに最低限必要なアクセス許可を示しています。

• AWS CloudHSM キーストアを作成および管理するプリンシパルには、 AWS CloudHSM キーストアAPIオペレーションを使用するための次のアクセス許可が必要です。

  • cloudhsm:DescribeClusters

  • kms:CreateCustomKeyStore

  • kms:ConnectCustomKeyStore

  • kms:DeleteCustomKeyStore

  • kms:DescribeCustomKeyStores

  • kms:DisconnectCustomKeyStore

  • kms:UpdateCustomKeyStore

  • iam:CreateServiceLinkedRole

• キーストアに関連付けられている AWS CloudHSM AWS CloudHSM クラスターを作成および管理するプリンシパルには、 AWS CloudHSM クラスターを作成および初期化するためのアクセス許可が必要です。これには、Amazon Virtual Private Cloud (VPC) を作成または使用するアクセス許可、サブネットの作成、Amazon EC2インスタンスの作成が含まれます。また、 の作成と削除HSMs、バックアップの管理が必要になる場合もあります。必要なアクセス権限のリストについては、「AWS CloudHSM ユーザーガイド」の「AWS CloudHSMのアイデンティティとアクセス管理」を参照してください。

• AWS CloudHSM キーストア AWS KMS keys で を作成および管理するプリンシパルには、 でKMSキーを作成および管理するプリンシパルと同じアクセス許可が必要です AWS KMS。キーストアのキーのデフォルトキーポリシーは、 のキーのデフォルトKMSキーポリシーと同じです AWS KMS。 KMS AWS CloudHSM タグとエイリアスを使用してKMSキーへのアクセスを制御する属性ベースのアクセスコントロール (ABAC) は、KMSキーストアの AWS CloudHSM キーにも有効です。

• 暗号化オペレーションのために AWS CloudHSM キーストア内のKMSキーを使用するプリンシパルには、kms:Decrypt などのKMSキーを使用して暗号化オペレーションを実行するアクセス許可が必要です。これらのアクセス許可は、キーポリシー、 IAM ポリシーで指定できます。ただし、 KMSキーストアで AWS CloudHSM キーを使用するための追加のアクセス許可は必要ありません。