Kontrollieren Sie den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontrollieren Sie den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher

Sie verwenden IAM Richtlinien, um den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher und Ihren AWS CloudHSM Cluster zu kontrollieren. Sie können wichtige Richtlinien, IAM Richtlinien und Genehmigungen verwenden, um den Zugriff auf den Schlüsselspeicher AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher zu kontrollieren. Sie sollten Benutzern, Gruppen und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.

Autorisieren von Managern und Benutzern von AWS CloudHSM Key-Stores

Achten Sie beim Entwerfen Ihres AWS CloudHSM Schlüsselspeichers darauf, dass die Prinzipale, die ihn verwenden und verwalten, nur über die erforderlichen Berechtigungen verfügen. In der folgenden Liste werden die Mindestberechtigungen beschrieben, die für Manager und Benutzer von AWS CloudHSM Schlüsselspeichern erforderlich sind.

  • Prinzipale, die Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwalten, benötigen die folgenden Berechtigungen, um die AWS CloudHSM API Schlüsselspeicheroperationen verwenden zu können.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • Principals, die den AWS CloudHSM Cluster erstellen und verwalten, der Ihrem AWS CloudHSM Schlüsselspeicher zugeordnet ist, benötigen die Erlaubnis, einen Cluster zu erstellen und zu initialisieren. AWS CloudHSM Dies beinhaltet die Erlaubnis, eine Amazon Virtual Private Cloud (VPC) zu erstellen oder zu verwenden, Subnetze zu erstellen und eine EC2 Amazon-Instance zu erstellen. Möglicherweise müssen sie auch Backups erstellenHSMs, löschen und verwalten. Eine Liste der erforderlichen Berechtigungen finden Sie unter Identitäts- und Zugriffsverwaltung für AWS CloudHSM im AWS CloudHSM Benutzerhandbuch.

  • Principals, die AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher Daten erstellen und verwalten, benötigen dieselben Berechtigungen wie Benutzer, die KMS Schlüssel in AWS KMS erstellen und verwalten. Die Standard-Schlüsselrichtlinie für einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist identisch mit der Standard-Schlüsselrichtlinie für KMS Schlüssel in AWS KMS. Die attributebasierte Zugriffskontrolle (ABAC), die Tags und Aliase verwendet, um den Zugriff auf KMS Schlüssel zu kontrollieren, ist auch für Schlüssel in KMS Schlüsselspeichern wirksam. AWS CloudHSM

  • Prinzipale, die die KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher für kryptografische Operationen verwenden, benötigen eine Genehmigung, um die kryptografische Operation mit dem Schlüssel durchzuführen, z. B. kms:Decrypt. KMS Sie können diese Berechtigungen in einer wichtigen Richtlinie, der Richtlinie, bereitstellen. IAM Sie benötigen jedoch keine zusätzlichen Berechtigungen, um einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu verwenden.

Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon-Ressourcen EC2

Um Ihre AWS CloudHSM wichtigsten Speicher zu unterstützen, ist eine Genehmigung AWS KMS erforderlich, um Informationen über Ihre AWS CloudHSM Cluster abzurufen. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstbezogene Rolle in Ihrem AWS-Konto. Benutzer, die AWS CloudHSM Schlüsselspeicher erstellen, müssen über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügen, um dienstbezogene Rollen zu erstellen.

Über die AWS KMS dienstverknüpfte Rolle

Eine dienstbezogene Rolle ist eine IAM Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM Richtlinien erstellen und verwalten zu müssen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS KMS.

Für AWS CloudHSM Schlüsselspeicher AWS KMS wird die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstbezogene Rolle mit der AWSKeyManagementServiceCustomKeyStoresServiceRolePolicyRichtlinie erstellt. Diese Richtlinie gewährt der Rolle die folgenden Berechtigungen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }

Da die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstgebundene Rolle nur vertrauenswürdig istcks.kms.amazonaws.com, AWS KMS kann sie nur diese dienstgebundene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, die zum Anzeigen Ihrer AWS CloudHSM Cluster und zum Verbinden eines AWS CloudHSM Schlüsselspeichers mit dem zugehörigen Cluster AWS KMS erforderlich sind. AWS CloudHSM Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. Sie ist beispielsweise AWS KMS nicht berechtigt, Ihre AWS CloudHSM Cluster oder Backups zu erstellenHSMs, zu verwalten oder zu löschen.

Regionen

Wie die Funktion „ AWS CloudHSM Schlüsselspeicher“ wird die AWSServiceRoleForKeyManagementServiceCustomKeyStoresRolle AWS-Regionen überall unterstützt AWS KMS und AWS CloudHSM ist verfügbar. Eine Liste der Funktionen AWS-Regionen , die von den einzelnen Diensten unterstützt werden, finden Sie unter AWS Key Management Service Endpunkte und Kontingente und AWS CloudHSM Endpunkte und Kontingente in der. Allgemeine Amazon Web Services-Referenz

Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter Verwenden von dienstbezogenen Rollen im Benutzerhandbuch. IAM

Erstellen der serviceverknüpften Rolle

AWS KMS erstellt automatisch die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstverknüpfte Rolle in Ihrem AWS-Konto , wenn Sie einen AWS CloudHSM Schlüsselspeicher erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.

Bearbeiten der Beschreibung der serviceverknüpften Rolle

Sie können den Rollennamen oder die Richtlinienanweisungen in der AWSServiceRoleForKeyManagementServiceCustomKeyStoresserviceverknüpften Rolle nicht bearbeiten, aber Sie können die Rollenbeschreibung bearbeiten. Anweisungen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen der serviceverknüpften Rolle

AWS KMS löscht die AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstverknüpfte Rolle nicht aus Ihrem, AWS-Konto auch wenn Sie alle Ihre AWS CloudHSM Schlüsselspeicher gelöscht haben. Derzeit gibt es zwar kein Verfahren zum Löschen der AWSServiceRoleForKeyManagementServiceCustomKeyStoresdienstbezogenen Rolle, AWS KMS nimmt diese Rolle jedoch nicht an und verwendet auch nicht ihre Berechtigungen, sofern Sie nicht über aktive AWS CloudHSM Schlüsselspeicher verfügen.