Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für AWS CloudHSM
AWSverwendet Sicherheitsanmeldedaten, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS Ressourcen zu gewähren. Sie können Funktionen von verwenden AWS Identity and Access Management (IAM) um anderen Benutzern, Diensten und Anwendungen die vollständige oder eingeschränkte Nutzung Ihrer AWS Ressourcen zu ermöglichen. Sie können dies tun, ohne Ihre Sicherheitsanmeldeinformationen zu teilen.
Standardmäßig sind IAM Benutzer nicht berechtigt, AWS Ressourcen zu erstellen, anzuzeigen oder zu ändern. Um einem IAM Benutzer den Zugriff auf Ressourcen wie einen Load Balancer und die Ausführung von Aufgaben zu ermöglichen, gehen Sie wie folgt vor:
-
Erstellen Sie eine IAM Richtlinie, die dem IAM Benutzer die Erlaubnis erteilt, die spezifischen Ressourcen und API Aktionen zu verwenden, die er benötigt.
-
Ordnen Sie die Richtlinie dem IAM Benutzer oder der Gruppe zu, zu der der IAM Benutzer gehört.
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Sie können sie beispielsweise verwenden, IAM um Benutzer und Gruppen unter Ihrem AWS Konto zu erstellen. Ein IAM Benutzer kann eine Person, ein System oder eine Anwendung sein. Anschließend gewähren Sie den Benutzern und Gruppen mithilfe einer IAM Richtlinie die Erlaubnis, bestimmte Aktionen an den angegebenen Ressourcen auszuführen.
Erteilen Sie Berechtigungen mithilfe von IAM Richtlinien
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Eine IAM Richtlinie ist ein JSON Dokument, das aus einer oder mehreren Aussagen besteht. Jedes Statement ist dem folgenden Beispiel entsprechend strukturiert.
{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
-
Effect: Der effect-Wert kann
AllowoderDenylauten. Standardmäßig sind IAM Benutzer nicht berechtigt, Ressourcen und API Aktionen zu verwenden, sodass alle Anfragen abgelehnt werden. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis. -
Aktion — Die Aktion ist die spezifische API Aktion, für die Sie die Erlaubnis erteilen oder verweigern. Für weitere Informationen zum Angeben von Aktionen siehe APIAktionen für AWS CloudHSM.
-
Ressource — Die Ressource, die von der Aktion betroffen ist. AWS CloudHSM unterstützt keine Berechtigungen auf Ressourcenebene. Sie müssen den Platzhalter „*“ verwenden, um alle anzugeben AWS CloudHSM Ressourcen schätzen.
-
Condition: Sie können optional Bedingungen verwenden, um zu steuern, wann die Richtlinie wirksam ist. Weitere Informationen finden Sie unter Zustandstasten für AWS CloudHSM.
Weitere Informationen finden Sie im IAMBenutzerhandbuch.
APIAktionen für AWS CloudHSM
Im Element Aktion Ihrer IAM Grundsatzerklärung können Sie jede API Aktion angeben, die AWS CloudHSM bietet. Dem Namen der Aktion muss wie im folgenden Beispiel die Zeichenfolge cloudhsm: in Kleinbuchstaben vorangestellt werden.
"Action": "cloudhsm:DescribeClusters"Wenn Sie mehrere Aktionen in einer einzigen Anweisung angeben möchten, setzen Sie sie in eckige Klammern und trennen Sie sie wie im folgenden Beispiel dargestellt durch Kommas.
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]Sie können auch mehrere Aktionen mithilfe des Platzhalters * angeben. Im folgenden Beispiel werden alle API Aktionsnamen für angegeben AWS CloudHSM die beginnen mitList.
"Action": "cloudhsm:List*"Um alle API Aktionen anzugeben für AWS CloudHSM, verwenden Sie den Platzhalter *, wie im folgenden Beispiel gezeigt.
"Action": "cloudhsm:*"Für die Liste der API Aktionen für AWS CloudHSM, siehe AWS CloudHSM Aktionen.
Zustandstasten für AWS CloudHSM
Beim Erstellen einer Richtlinie können Sie die Bedingungen angeben, die steuern, wann die Richtlinie wirksam wird. Jede Bedingung enthält ein oder mehrere Schlüssel-Wert-Paare. Es gibt globale Bedingungsschlüssel und servicespezifische Bedingungsschlüssel.
AWS CloudHSM hat keine dienstspezifischen Kontextschlüssel.
Weitere Informationen zu globalen Bedingungsschlüsseln finden Sie unter AWSGlobale Bedingungskontextschlüssel im IAMBenutzerhandbuch.
Vordefinierte AWS verwaltete Richtlinien für AWS CloudHSM
Die verwalteten Richtlinien, die von erstellt wurden, AWS gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle. Sie können diese Richtlinien Ihren IAM Benutzern je nach Zugriff auf zuordnen AWS CloudHSM dass sie Folgendes benötigen:
-
AWSCloudHSMFullAccess— Gewährt vollen Zugriff, der für die Nutzung erforderlich ist AWS CloudHSM Funktionen.
-
AWSCloudHSMReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf AWS CloudHSM Funktionen.
Vom Kunden verwaltete Richtlinien für AWS CloudHSM
Wir empfehlen Ihnen, eine IAM Administratorgruppe für zu erstellen AWS CloudHSM die nur die für die Ausführung erforderlichen Berechtigungen enthält AWS CloudHSM. Hängen Sie die Richtlinie mit den entsprechenden Berechtigungen an diese Gruppe an. Fügen Sie der Gruppe nach Bedarf IAM Benutzer hinzu. Jeder hinzugefügte Benutzer erbt die Richtlinie von der Administratorgruppe.
Außerdem empfehlen wir, zusätzliche Benutzergruppen basierend auf den Berechtigungen zu erstellen, die die jeweiligen Benutzer benötigen. Dadurch wird sichergestellt, dass nur vertrauenswürdige Benutzer Zugriff auf kritische API Aktionen haben. Sie könnten beispielsweise eine Benutzergruppe erstellen, mit der Sie Clustern und nur Lesezugriff gewähren. HSMs Da diese Gruppe es einem Benutzer nicht erlaubt, Cluster zu löschenHSMs, oder ein nicht vertrauenswürdiger Benutzer kann die Verfügbarkeit eines Produktions-Workloads nicht beeinflussen.
Wie neu AWS CloudHSM Verwaltungsfunktionen werden im Laufe der Zeit hinzugefügt, sodass Sie sicherstellen können, dass nur vertrauenswürdige Benutzer sofort Zugriff erhalten. Indem Sie den Richtlinien bei der Erstellung begrenzte Berechtigungen zuweisen, können Sie diesen zu einem späteren Zeitpunkt neue Funktionsberechtigungen manuell zuweisen.
Im Folgenden finden Sie Beispielrichtlinien für AWS CloudHSM. Informationen dazu, wie Sie eine Richtlinie erstellen und sie einer IAM Benutzergruppe zuordnen, finden Sie im IAMBenutzerhandbuch unter „Richtlinien erstellen“ auf der JSON Registerkarte.
Beispiele
Beispiel: Berechtigungen mit Schreibschutz
Diese Richtlinie ermöglicht den Zugriff auf die DescribeBackups API Aktionen DescribeClusters und. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 API Amazon-Aktionen. Es erlaubt dem Benutzer nicht, Cluster zu löschen oderHSMs.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
Beispiel: Berechtigungen für Hauptbenutzer
Diese Richtlinie ermöglicht den Zugriff auf eine Teilmenge der AWS CloudHSM APIAktionen. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 Amazon-Aktionen. Es erlaubt dem Benutzer nicht, Cluster zu löschen oderHSMs. Sie müssen die iam:CreateServiceLinkedRole Aktion angeben, die zugelassen werden soll AWS CloudHSM um die AWSServiceRoleForCloudHSMserviceverknüpfte Rolle automatisch in Ihrem Konto zu erstellen. Diese Rolle ermöglicht AWS CloudHSM um Ereignisse zu protokollieren. Weitere Informationen finden Sie unter Mit Diensten verknüpfte Rollen für AWS CloudHSM.
Anmerkung
Die jeweiligen Berechtigungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für API AWS CloudHSMin der Referenz zur Serviceautorisierung.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
Beispiel: Berechtigungen für Administratoren
Diese Richtlinie ermöglicht den Zugriff auf alle AWS CloudHSM APIAktionen, einschließlich der Aktionen zum Löschen HSMs und Clustern. Es beinhaltet auch zusätzliche Berechtigungen für bestimmte EC2 Amazon-Aktionen. Sie müssen die iam:CreateServiceLinkedRole Aktion angeben, um sie zuzulassen AWS CloudHSM um die AWSServiceRoleForCloudHSMserviceverknüpfte Rolle automatisch in Ihrem Konto zu erstellen. Diese Rolle ermöglicht AWS CloudHSM um Ereignisse zu protokollieren. Weitere Informationen finden Sie unter Mit Diensten verknüpfte Rollen für AWS CloudHSM.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }
