的身分和存取管理 AWS CloudHSM - AWS CloudHSM
使用IAM政策授予許可API 的動作 AWS CloudHSM的條件索引鍵 AWS CloudHSM的預先定義AWS受管政策 AWS CloudHSM的客戶受管政策 AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的身分和存取管理 AWS CloudHSM

AWS 使用安全憑證來識別您的身分,並授予您存取 AWS 資源的權限。您可以使用 AWS Identity and Access Management (IAM) 的功能,允許其他使用者、服務和應用程式完全或有限地使用您的AWS資源。您可以在不共用您的安全登入資料的情況下執行這項操作。

根據預設,IAM使用者沒有建立、檢視或修改AWS資源的許可。若要允許使用者IAM存取負載平衡器等資源,以及執行任務,您可以:

  1. 建立IAM政策,授予IAM使用者使用所需特定資源和API動作的許可。

  2. 將政策連接至IAM使用者或IAM使用者所屬的群組。

將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。

例如,您可以使用 IAM 在您的 AWS帳戶下建立使用者和群組。IAM 使用者可以是人員、系統或應用程式。然後,您將許可授予使用者和群組,以使用 IAM政策對指定的資源執行特定動作。

使用IAM政策授予許可

將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。

IAM 政策是由一或多個陳述式組成的JSON文件。每個陳述式的結構,如下列範例所示。

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • EffectEffect 可以是 AllowDeny。根據預設,IAM使用者沒有使用資源和API動作的許可,因此所有請求都會遭到拒絕。明確允許覆寫預設值。明確拒絕覆寫任何允許。

  • 動作動作是您授予或拒絕許可的特定API動作。如需有關指定動作的詳細資訊,請參閱 API 的動作 AWS CloudHSM

  • 資源 — 受 動作影響的資源。 AWS CloudHSM 不支援資源層級許可。您必須使用 * 萬用字元來指定所有 AWS CloudHSM 資源。

  • Condition:您可以選擇性地使用條件來控制政策何時生效。如需詳細資訊,請參閱的條件索引鍵 AWS CloudHSM

如需詳細資訊,請參閱 IAM 使用者指南

API 的動作 AWS CloudHSM

在IAM政策陳述式的動作元素中,您可以指定 AWS CloudHSM 提供的任何API動作。您必須以小寫字串 cloudhsm: 做為動作名稱的字首,如下列範例所示。

"Action": "cloudhsm:DescribeClusters"

若要在單一陳述式中指定多個動作,請將它們括在方括號中,並以逗號分隔,如下列範例所示。

"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

您也可以使用 * 萬用字元指定多個動作。下列範例會指定 AWS CloudHSM 以 開頭的所有API動作名稱List

"Action": "cloudhsm:List*"

若要指定 的所有API動作 AWS CloudHSM,請使用 * 萬用字元,如下列範例所示。

"Action": "cloudhsm:*"

如需 API的動作清單 AWS CloudHSM,請參閱AWS CloudHSM 動作

的條件索引鍵 AWS CloudHSM

在建立政策時,您可以指定控制政策生效時機的條件。每個條件都包含一或多個索引鍵/值對。有全球條件金鑰和服務特定的條件金鑰。

AWS CloudHSM 沒有服務特定的內容索引鍵。

如需全域條件金鑰的詳細資訊,請參閱 IAM 使用者指南 中的AWS全域條件內容金鑰

的預先定義AWS受管政策 AWS CloudHSM

由 建立的受管政策會AWS授予常見使用案例的必要許可。您可以根據使用者所需的存取權 AWS CloudHSM ,將這些政策連接至您的IAM使用者:

  • AWSCloudHSMFullAccess — 授予使用 AWS CloudHSM 功能所需的完整存取權。

  • AWSCloudHSMReadOnlyAccess — 授予 AWS CloudHSM 功能的唯讀存取權。

的客戶受管政策 AWS CloudHSM

建議您為 建立IAM管理員群組 AWS CloudHSM ,該群組僅包含執行 所需的許可 AWS CloudHSM。將具有適當許可的政策連接至此群組。視需要將IAM使用者新增至群組。您新增的每個使用者都會繼承系統管理員群組的政策。

此外,我們建議您根據使用者需要的許可來建立其他使用者群組。這可確保只有受信任的使用者才能存取關鍵API動作。例如,您可以建立使用者群組,用來授予叢集和 的唯讀存取權HSMs。由於此群組不允許使用者刪除叢集或 HSMs,因此不受信任的使用者不會影響生產工作負載的可用性。

隨著隨著時間的推移新增了新的 AWS CloudHSM 管理功能,您可以確保只有受信任的使用者才能立即存取。透過在建立時指派有限的許可給政策,您可以稍後手動為其指派新的功能許可。

以下是 的範例政策 AWS CloudHSM。如需有關如何建立政策並將其連接至IAM使用者群組的資訊,請參閱 IAM 使用者指南 中的在JSON索引標籤上建立政策

範例
範例
範例:唯讀許可

此政策允許存取 DescribeClustersDescribeBackupsAPI動作。它還包括特定 Amazon EC2API動作的其他許可。它不允許使用者刪除叢集或 HSMs。

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}
範例
範例:進階使用者許可

此政策允許存取動作的 AWS CloudHSM API子集。它還包括特定 Amazon EC2動作的其他許可。它不允許使用者刪除叢集或 HSMs。您必須包含允許 iam:CreateServiceLinkedRole的動作, AWS CloudHSM 才能在帳戶中自動建立AWSServiceRoleForCloudHSM服務連結角色。此角色允許 AWS CloudHSM 記錄事件。如需詳細資訊,請參閱的服務連結角色 AWS CloudHSM

注意

若要查看每個 的特定許可API,請參閱服務授權參考 中的 的動作、資源和條件索引鍵 AWS CloudHSM

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}
範例
範例:管理許可

此政策允許存取所有 AWS CloudHSM API動作,包括要刪除的動作HSMs和叢集。它還包括特定 Amazon EC2動作的其他許可。您必須包含允許 iam:CreateServiceLinkedRole的動作, AWS CloudHSM 才能在帳戶中自動建立AWSServiceRoleForCloudHSM服務連結角色。此角色允許 AWS CloudHSM 記錄事件。如需詳細資訊,請參閱的服務連結角色 AWS CloudHSM

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}