Política de chave KMS necessária para uso com volumes criptografados do EBS no PCS AWS

AWS O PCS usa funções vinculadas ao serviço para delegar permissões a outras pessoas. Serviços da AWS A função vinculada ao serviço AWS PCS é predefinida e inclui as permissões que o AWS PCS exige para ligar para outras pessoas Serviços da AWS em seu nome. As permissões predefinidas também incluem acesso às suas chaves gerenciadas pelo cliente Chaves gerenciadas pela AWS , mas não às suas.

Este tópico descreve como configurar a política de chaves necessária para iniciar instâncias quando você especifica uma chave gerenciada pelo cliente para a criptografia do Amazon EBS.

nota

AWS O PCS não exige autorização adicional para usar o padrão Chave gerenciada pela AWS para proteger os volumes criptografados em sua conta.

Conteúdo

• Visão geral

• Configurar políticas de chave

• Exemplo 1: seções da política de chaves que permitem acesso à chave gerenciada pelo cliente

• Exemplo 2: seções da política de chaves que permitem acesso entre contas à chave gerenciada pelo cliente

• Editar políticas de chaves no console do AWS KMS

Visão geral

Você pode usar o seguinte AWS KMS keys para a criptografia do Amazon EBS quando o AWS PCS inicia instâncias:

• Chave gerenciada pela AWS: uma chave de criptografia em sua conta que é criada por, pertencente a e gerenciada pelo Amazon EBS. Essa é a chave de criptografia padrão para uma nova conta. O Amazon EBS usa o Chave gerenciada pela AWS para criptografia, a menos que você especifique uma chave gerenciada pelo cliente.

• Chave gerenciada pelo cliente: uma chave de criptografia personalizada que você cria, possui e gerencia. Para obter mais informações, consulte Criar uma chave KMS no Guia do AWS Key Management Service desenvolvedor.

  nota

  A chave deve ser simétrica. O Amazon EBS não oferece suporte a chaves assimétricas gerenciadas pelo cliente.

Você configura as chaves gerenciadas pelo cliente ao criar instantâneos criptografados ou um modelo de execução que especifica volumes criptografados, ou quando opta por habilitar a criptografia por padrão.

Configurar políticas de chave

Suas chaves KMS devem ter uma política de chaves que permita ao AWS PCS iniciar instâncias com volumes do Amazon EBS criptografados com uma chave gerenciada pelo cliente.

Use os exemplos desta página para configurar uma política de chaves para dar ao AWS PCS acesso à sua chave gerenciada pelo cliente. Você pode modificar a política de chaves da chave gerenciada pelo cliente ao criar a chave ou posteriormente.

A política principal deve ter as seguintes declarações:

• Uma declaração que permite que a identidade do IAM especificada no Principal elemento use diretamente a chave gerenciada pelo cliente. Inclui permissões para realizar as DescribeKey operações AWS KMS Encrypt DecryptReEncrypt*,GenerateDataKey*,, e na chave.

• Uma declaração que permite que a identidade do IAM especificada no Principal elemento use a CreateGrant operação para gerar concessões que delegam um subconjunto de suas próprias permissões para aqueles Serviços da AWS que estão integrados com AWS KMS ou outro principal. Isso permite que eles usem a chave para criar recursos criptografados em seu nome.

Não altere nenhuma declaração existente na política ao adicionar as novas declarações de política à sua política principal.

Para obter mais informações, consulte:

• create-key na Referência de Comandos AWS CLI

• put-key-policy na AWS CLI Command Reference

• Encontre o ID da chave e o ARN da chave no Guia do desenvolvedor AWS Key Management Service

• Funções vinculadas a serviços para PCS AWS

• Criptografia do Amazon EBS no Guia do usuário do Amazon EBS

• AWS Key Management Serviceno Guia do AWS Key Management Service desenvolvedor

Exemplo 1: seções da política de chaves que permitem acesso à chave gerenciada pelo cliente

Adicione as seguintes declarações de política à política principal da chave gerenciada pelo cliente. Substitua o ARN de exemplo pelo ARN da sua função vinculada ao serviço. AWSServiceRoleForPCS Este exemplo de política dá à função vinculada ao serviço AWS PCS (AWSServiceRoleForPCS) permissões para usar a chave gerenciada pelo cliente.

{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}

{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}

Exemplo 2: seções da política de chaves que permitem acesso entre contas à chave gerenciada pelo cliente

Se você criar uma chave gerenciada pelo cliente em uma conta diferente da do cluster AWS PCS, deverá usar uma concessão em combinação com a política de chaves para permitir o acesso entre contas à chave.

Para conceder acesso à chave

1. Adicione as seguintes declarações de política à política de chaves da chave gerenciada pelo cliente. Substitua o ARN de exemplo pelo ARN da outra conta. 111122223333Substitua pela ID da conta real na Conta da AWS qual você deseja criar o cluster AWS PCS. Isso permite que você conceda permissão para que um usuário ou uma função do IAM na conta especificada crie uma concessão para a chave usando o seguinte comando da CLI. Por padrão, os usuários não têm acesso à chave.

   {.
      "Sid": "Allow external account 111122223333 use of the customer managed key",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey"
      ],
      "Resource": "*"
   }

   {
      "Sid": "Allow attachment of persistent resources in external account 111122223333",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:CreateGrant"
      ],
      "Resource": "*"
   }

2. Na conta na qual você deseja criar o cluster AWS PCS, crie uma concessão que delegue as permissões relevantes à função vinculada ao serviço AWS PCS. O valor de grantee-principal é o ARN da função vinculada ao serviço. O valor de key-id é o ARN da chave.

   O exemplo a seguir do comando da CLI create-grant fornece à função vinculada ao serviço AWSServiceRoleForPCS nomeada na 111122223333 conta permissões para usar a chave gerenciada pelo cliente na conta. 444455556666

   aws kms create-grant \
     --region us-west-2 \
     --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
     --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \
     --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"

   nota

   O usuário que faz a solicitação deve ter permissões para usar a kms:CreateGrant ação.

   O exemplo de política do IAM a seguir permite que uma identidade do IAM (usuário ou função) na conta 111122223333 crie uma concessão para a chave gerenciada pelo cliente na conta444455556666.

   JSON

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
         "Effect": "Allow",
         "Action": "kms:CreateGrant",
         "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
       }
     ]
   }
   

   Para obter mais informações sobre como criar uma concessão para uma chave do KMS em uma Conta da AWS diferente, consulte Concessões no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

   Importante

   O nome do perfil vinculado ao serviço especificado como a entidade principal do beneficiário deve ser o nome de um perfil existente. Depois de criar a concessão, para garantir que a concessão permita que o AWS PCS use a chave KMS especificada, não exclua e recrie a função vinculada ao serviço.

Editar políticas de chaves no console do AWS KMS

Os exemplos nas seções anteriores mostram apenas como adicionar declarações a uma política de chaves, que é apenas uma maneira de alterar uma política de chaves. A maneira mais fácil de alterar uma política de chaves é usar a visualização padrão do AWS KMS console para políticas de chaves e tornar uma identidade (usuário ou função) do IAM um dos principais usuários da política de chaves apropriada. Para obter mais informações, consulte Usando a visualização AWS Management Console padrão no Guia do AWS Key Management Service desenvolvedor.

Atenção

As declarações de política de visualização padrão do console incluem permissões para realizar AWS KMS Revoke operações na chave gerenciada pelo cliente. Se você revogar uma concessão que deu Conta da AWS acesso a uma chave gerenciada pelo cliente em sua conta, os usuários dessa chave Conta da AWS perderão o acesso aos dados criptografados e à chave.