Autenticação e controle de acesso para o AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação e controle de acesso para o AWS KMS

O acesso ao AWS KMS exige credenciais que a AWS possa usar para autenticar suas solicitações. As credenciais devem ter permissões para acessar recursos da AWS, como as chaves mestras do cliente (CMKs) do AWS KMS. As seções a seguir fornecem detalhes sobre como é possível usar o AWS Identity and Access Management (IAM) e o AWS KMS para ajudar a proteger seus recursos controlando quem pode acessá-los.

Authentication

Você pode acessar a AWS como alguns dos seguintes tipos de identidade:

  • Usuário raiz da conta da AWS – Ao se cadastrar na AWS, você fornece um endereço de e-mail e uma senha para a conta da AWS. Essas são suas credenciais raiz e fornecem acesso total a todos os seus recursos da AWS.

    Importante

    Por motivos de segurança, recomendamos que você use as credenciais raiz para criar somente um usuário administrador, que é um usuário do IAM com permissões totais à sua conta da AWS. Você pode usar esse usuário administrador para criar outros usuários e funções do IAM com permissões limitadas. Para obter mais informações, consulte Criar usuários individuais do IAM (Melhores práticas do IAM) e Criar um usuário administrador e grupo no Guia do usuário do IAM.

  • Usuário do IAM um usuário do – é uma identidade em sua conta da que tem permissões específicas (por exemplo, para usar um IAM do KMS).AWSCMK Você pode usar uma senha e um nome do usuário do IAM para fazer login em páginas da web seguras da AWS como o Console de gerenciamento da AWS, os Fóruns de discussão da AWS ou o AWS Support Center.

    Além de um nome de usuário e senha, você também pode criar chaves de acesso para cada usuário, permitindo que ele acesse os serviços da AWS programaticamente, por meio de uma das AWS SDKs ou das ferramentas da linha de comando. O SDKs e as ferramentas da linha de comando usam as chaves de acesso para assinar criptograficamente solicitações de API. Se você não usar as ferramentas da AWS, assine as solicitações de API por conta própria. O AWS KMS oferece suporte a Signature Version 4, um protocolo da AWS para autenticação de solicitações de API. Para mais informações sobre autenticação de solicitações de API, consulte Processo de assinatura do Signature versão 4 na AWS General Reference.

  • Função do IAM – Uma função do IAM é outra identidade do IAM que você pode criar na sua conta que tenha permissões específicas. É semelhante a um usuário IAM, mas não está associada a uma pessoa específica. Uma função do IAM permite que você obtenha chaves de acesso temporárias para acessar os serviços e os recursos da AWS programaticamente. As funções do IAM são úteis nas seguintes situações:

    • Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidades de usuário já existentes do AWS Directory Service, o diretório de usuários da sua empresa ou um provedor de identidades da web. Estes são conhecidos como usuários federados. Usuários federados usam funções do IAM por meio de um provedor de identidade. Para obter mais informações sobre usuários federados, consulte Usuários federados e funções no Guia do usuário do IAM.

    • Acesso entre contas – Você pode usar uma função do IAM em sua conta da AWS para conceder a outra conta da AWS permissões de acesso aos recursos da sua conta. Para ver um exemplo, consulte o Tutorial:. Delegar acesso entre contas da AWS usando IAMFunções do no Guia do usuário do IAM.

    • AWS acesso ao serviço – você pode usar uma função do IAM na sua conta para conceder permissões de serviço da AWS para acessar os recursos da sua conta. Por exemplo, você pode criar uma função que permita que o Amazon Redshift acesse um bucket do S3 em seu nome e carregue dados armazenados nesse bucket em um cluster do Amazon Redshift. Para obter mais informações, consulte Criar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

    • Aplicativos executados em instâncias do EC2 – Em vez de armazenar chaves de acesso em uma instância do EC2 para serem usadas em aplicativos que são executados na instância e fazer solicitações de API da AWS, você pode usar uma função do IAM para fornecer chaves de acesso temporárias para esses aplicativos. Para atribuir uma função do IAM a uma instância do EC2, crie um perfil de instância e o anexe ao executar a instância. Um perfil de instância contém a função e permite que os aplicativos em execução na instância do EC2; obtenham chaves de acesso temporárias. Para obter mais informações, consulte Uso de funções para aplicativos no Amazon EC2 no Guia do usuário do IAM.

Controle de acesso

Você pode ter credenciais válidas para autenticar suas solicitações, mas também precisa de permissões para fazer solicitações da API do AWS KMS para criar, gerenciar ou usar recursos do AWS KMS. Por exemplo, você deve ter permissões para criar um CMK do KMS, gerenciar o CMK e usar o CMK para operações criptográficas.

As páginas a seguir descrevem como gerenciar permissões para o AWS KMS. Recomendamos que você leia a visão geral primeiro.

Se você acessar o AWS KMS por meio de um Amazon Virtual Private Cloud (Amazon VPC) endpoint, também será possível usar uma política de VPC endpoint para limitar o acesso aos recursos do AWS KMS, ao usar o endpoint. Por exemplo, ao usar o VPC endpoint, você pode permitir que apenas os principais em sua conta da AWS acessem CMKs. Para obter mais detalhes, consulte Controlar o acesso a um VPC endpoint .