Autenticação e controle de acesso para o AWS KMS - AWS Key Management Service

Autenticação e controle de acesso para o AWS KMS

O acesso ao AWS KMS exige credenciais que a AWS possa usar para autenticar suas solicitações. As credenciais devem ter permissões para acessar recursos da AWS como AWS KMS keys. As seções a seguir fornecem detalhes sobre como é possível usar o AWS Identity and Access Management (IAM) e o AWS KMS para ajudar a proteger seus recursos controlando quem pode acessá-los.

Authentication

Você pode acessar a AWS como alguns dos seguintes tipos de identidade:

  • Usuário raiz da Conta da AWS – Ao se cadastrar na AWS, você fornece um endereço de e-mail e uma senha para sua Conta da AWS . Essas são suas credenciais raiz e fornecem acesso total a todos os seus recursos da AWS.

    Importante

    Por motivos de segurança, recomendamos que você use as credenciais raiz para criar somente um usuário administrador, que é um usuário do IAM com permissões totais à sua Conta da AWS . Em seguida, você pode usar esse usuário administrador para criar outros usuários e funções do IAM com permissões limitadas. Para obter mais informações, consulte Criar usuários individuais do IAM (Melhores práticas do IAM) e Criar um usuário administrador e grupo no Manual do usuário do IAM.

  • Usuário do IAM – Um usuário do IAM é uma identidade na sua Conta da AWS que tem permissões específicas (por exemplo, para usar uma chave do KMS). Você pode usar uma senha e um nome do usuário do IAM para fazer login em páginas da Web seguras da AWS como AWS Management Console, Fóruns de discussão da AWS ou a Central de AWS Support.

    Além de um nome de usuário e senha, você também pode criar chaves de acesso para cada usuário para permitir que eles acessem serviços da AWS de forma programática, usando um AWS SDK, o AWS Command Line Interface ou o AWS Tools for PowerShell. Os SDKs e as ferramentas da linha de comando usam as chaves de acesso para assinar de maneira criptográfica as solicitações de API. Se você não usar as ferramentas da AWS, assine as solicitações de API por conta própria. O AWS KMS oferece suporte a Signature Version 4, um protocolo da AWS para autenticação de solicitações de API. Para mais informações sobre solicitações de API de autenticação, consulte Processo de assinatura do Signature Version 4 na Referência geral da AWS.

  • Função do IAM – Uma função do IAM é outra identidade do IAM que você pode criar na sua conta que tem permissões específicas. É semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. Uma função do IAM permite que você obtenha chaves de acesso temporárias para acessar os serviços e os recursos da AWS programaticamente. As funções do IAM são úteis nas seguintes situações:

    • Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidades já existente de usuário de AWS Directory Service, o diretório de usuário da sua empresa ou um provedor de identidades da web. Estes são conhecidos como usuários federados. Usuários federados usam funções do IAM por meio de um provedor de identidade. Para obter mais informações sobre usuários federados, consulte Usuários federados e funções no Manual do usuário do IAM.

    • Acesso entre contas – Você pode usar uma função do IAM na sua Conta da AWS para dar a outra Conta da AWS permissões de acesso aos recursos da sua conta. Para ver um exemplo, consulte o Tutorial: delegar acesso em AWS usando funções do IAM no Manual do usuário do IAM.

    • AWS acesso ao serviço – Você pode usar uma função do IAM na sua conta para conceder permissões de serviço da AWS para acessar os recursos da sua conta. Por exemplo, você pode criar uma função que permita ao Amazon Redshift acessar um bucket do S3 em seu nome e carregar dados armazenados no bucket do S3 em um cluster do Amazon Redshift. Para mais informações, consulte Criar uma função para delegar permissões a um serviço da AWS, no Manual do usuário do IAM.

    • Aplicativos executados em instâncias do EC2 – Em vez de armazenar chaves de acesso em uma instância do EC2 para serem usadas em aplicativos que são executados na instância e fazer solicitações de API da AWS, você pode usar uma função do IAM para fornecer chaves de acesso temporárias para essas aplicações. Para atribuir uma função do IAM a uma instância do EC2, você cria um perfil da instância e, em seguida, o anexa ao iniciar a instância. Um perfil de instância contém a função e permite que os aplicativos em execução na instância do EC2; obtenham chaves de acesso temporárias. Para obter mais informações, consulte Uso de funções para aplicações no Amazon EC2 no Manual do usuário do IAM.

Controle de acesso

Você pode ter credenciais válidas para autenticar suas solicitações, mas também precisa de permissões para fazer solicitações da API do AWS KMS para criar, gerenciar ou usar recursos do AWS KMS. Por exemplo, é necessário ter permissões para criar, gerenciar e usar uma chave do KMS em operações de criptografia.

As páginas a seguir descrevem como gerenciar permissões para o AWS KMS. Recomendamos que você leia a visão geral primeiro.

Se você acessar o AWS KMS por meio de um endpoint da Amazon Virtual Private Cloud (Amazon VPC), também poderá usar uma política de endpoint da VPC para limitar o acesso aos seus recursos do AWS KMS ao usar esse endpoint. Por exemplo, ao usar o endpoint da VPC, você pode permitir que apenas as entidades principais na sua Conta da AWS acessem chaves gerenciadas pelo cliente. Para obter mais detalhes, consulte Controlar o acesso a um endpoint da VPC.