Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern Sie den Zugriff auf Ihren externen Schlüsselspeicher
Alle Funktionen zur AWS KMS Zugriffskontrolle — wichtige Richtlinien, IAMRichtlinien und Zuschüsse —, die Sie mit KMS Standardschlüsseln verwenden, funktionieren auf die gleiche Weise für KMS Schlüssel in einem externen Schlüsselspeicher. Sie können IAM Richtlinien verwenden, um den Zugriff auf die API Vorgänge zu kontrollieren, mit denen externe Schlüsselspeicher erstellt und verwaltet werden. Sie verwenden IAM Richtlinien und wichtige Richtlinien, um den Zugriff auf den AWS KMS keys in Ihrem externen Schlüsselspeicher zu speichern. Sie können auch Dienststeuerungsrichtlinien für Ihre AWS Organisation und VPCEndpunktrichtlinien verwenden, um den Zugriff auf KMS Schlüssel in Ihrem externen Schlüsselspeicher zu kontrollieren.
Sie sollten Benutzern und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.
Themen
- Autorisierung externer Schlüsselspeichermanager
- Autorisieren von Benutzern von KMS Schlüsseln in externen Schlüsselspeichern
- Autorisieren Sie AWS KMS die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy
- Proxy-Autorisierung für externen Schlüsselspeicher (optional)
- TLSm-Authentifizierung (optional)
Autorisierung externer Schlüsselspeichermanager
Prinzipale, die einen externen Schlüsselspeicher erstellen und verwalten, benötigen Berechtigungen für die benutzerdefinierten Schlüsselspeicheroperationen. Die folgende Liste beschreibt die Mindestberechtigungen, die Manager externer Schlüsselspeicher benötigen. Da es sich bei einem benutzerdefinierten Schlüsselspeicher nicht um eine AWS Ressource handelt, können Sie keine Berechtigungen für einen externen Schlüsselspeicher für Prinzipale in anderen AWS-Konten Ländern erteilen.
-
kms:CreateCustomKeyStore
-
kms:DescribeCustomKeyStores
-
kms:ConnectCustomKeyStore
-
kms:DisconnectCustomKeyStore
-
kms:UpdateCustomKeyStore
-
kms:DeleteCustomKeyStore
Prinzipale, die einen externen Schlüsselspeicher erstellen, benötigen die Berechtigung, die externen Schlüsselspeicherkomponenten zu erstellen und zu konfigurieren. Prinzipale können externe Schlüsselspeicher nur in ihren eigenen Konten erstellen. Um einen externen Schlüsselspeicher mit VPCEndpoint Service-Konnektivität zu erstellen, müssen Prinzipale über die Berechtigung verfügen, die folgenden Komponenten zu erstellen:
-
Eine Amazone VPC
-
Öffentliche und private Subnetze
-
Einen Network Load Balancer und eine Zielgruppe
-
Ein VPC Amazon-Endpunkt-Service
Einzelheiten finden Sie unter Identitäts- und Zugriffsmanagement für Amazon VPC, Identitäts- und Zugriffsmanagement für VPC Endgeräte und VPC Endpunktdienste und Elastic Load Balancing API Balancing-Berechtigungen.
Autorisieren von Benutzern von KMS Schlüsseln in externen Schlüsselspeichern
Prinzipale, die AWS KMS keys in Ihrem externen Schlüsselspeicher Daten erstellen und verwalten, benötigen dieselben Berechtigungen wie Benutzer, die KMS Schlüssel in erstellen und verwalten. AWS KMS Die Standard-Schlüsselrichtlinie für KMS Schlüssel in einem externen Schlüsselspeicher ist identisch mit der Standard-Schlüsselrichtlinie für KMS Schlüssel in AWS KMS. Die attributebasierte Zugriffskontrolle (ABAC), die Tags und Aliase verwendet, um den Zugriff auf KMS Schlüssel zu steuern, ist auch für KMS Schlüssel in externen Schlüsselspeichern wirksam.
Prinzipale, die die KMS Schlüssel in Ihrem benutzerdefinierten Schlüsselspeicher für kryptografische Operationen verwenden, benötigen eine Genehmigung, um den kryptografischen Vorgang mit dem Schlüssel auszuführen, z. B. kms:Decrypt. KMS Sie können diese Berechtigungen in einer oder einer Schlüsselrichtlinie bereitstellen. IAM Sie benötigen jedoch keine zusätzlichen Berechtigungen, um einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu verwenden.
Um eine Berechtigung festzulegen, die nur für KMS Schlüssel in einem externen Schlüsselspeicher gilt, verwenden Sie die kms:KeyOriginRichtlinienbedingung mit dem WertEXTERNAL_KEY_STORE
. Sie können diese Bedingung verwenden, um die kms: CreateKey -Berechtigung oder jede andere Berechtigung, die für eine KMS Schlüsselressource spezifisch ist, einzuschränken. Die folgende IAM Richtlinie ermöglicht es beispielsweise der Identität, an die sie angehängt ist, die angegebenen Operationen für alle KMS Schlüssel im Konto aufzurufen, sofern sich die KMS Schlüssel in einem externen Schlüsselspeicher befinden. Beachten Sie, dass Sie die Berechtigungen auf KMS Schlüssel in einem externen Schlüsselspeicher und KMS Schlüssel in einem AWS-Konto, aber nicht auf einen bestimmten externen Schlüsselspeicher im Konto beschränken können.
{ "Sid": "AllowKeysInExternalKeyStores", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/*", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL_KEY_STORE" } } }
Autorisieren Sie AWS KMS die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy
AWS KMS kommuniziert mit Ihrem externen Schlüsselmanager nur über den externen Schlüsselspeicher-Proxy, den Sie bereitstellen. AWS KMS authentifiziert sich gegenüber Ihrem Proxy, indem es seine Anfragen mithilfe des Signature Version 4-Prozesses (Sigv4) mit den von Ihnen angegebenen Proxyauthentifizierungsdaten für den externen Schlüsselspeicher signiert. Wenn Sie öffentliche Endpunktkonnektivität für Ihren externen Schlüsselspeicher-Proxy verwenden, sind AWS KMS keine zusätzlichen Berechtigungen erforderlich.
Wenn Sie jedoch VPCEndpoint Service Connectivity verwenden, müssen Sie die AWS KMS Erlaubnis erteilen, einen Schnittstellenendpunkt für Ihren Amazon VPC Endpoint Service zu erstellen. Diese Berechtigung ist unabhängig davon erforderlich, ob sich der externe Schlüsselspeicher-Proxy in Ihrem befindet VPC oder ob sich der externe Schlüsselspeicher-Proxy an einem anderen Ort befindet, aber den VPC Endpunktdienst für die Kommunikation verwendet AWS KMS.
Verwenden Sie die VPCAmazon-Konsole oder den ModifyVpcEndpointServicePermissionsVorgang, AWS KMS um die Erstellung eines Schnittstellenendpunkts zu ermöglichen. Erlauben Sie Berechtigungen für den folgenden Prinzipal: cks.kms.
.<region>
.amazonaws.com
Mit dem folgenden AWS CLI Befehl können Sie beispielsweise eine Verbindung AWS KMS zum angegebenen VPC Endpunktdienst in der Region USA West (Oregon) (us-west-2) herstellen. Bevor Sie diesen Befehl verwenden, ersetzen Sie die Amazon VPC Service ID und AWS-Region durch gültige Werte für Ihre Konfiguration.
modify-vpc-endpoint-service-permissions --service-id
vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2
.amazonaws.com"]'
Um diese Berechtigung zu entfernen, verwenden Sie die VPCAmazon-Konsole oder den ModifyVpcEndpointServicePermissionsmit dem RemoveAllowedPrincipals
Parameter.
Proxy-Autorisierung für externen Schlüsselspeicher (optional)
Einige externe Schlüsselspeicher-Proxys implementieren Autorisierungsanforderungen für die Verwendung ihrer externen Schlüssel. Ein externer Schlüsselspeicher-Proxy ist berechtigt, aber nicht verpflichtet, ein Autorisierungsschema zu entwerfen und zu implementieren, das es bestimmten Benutzern erlaubt, bestimmte Operationen nur unter bestimmten Bedingungen anzufordern. Beispielsweise könnte ein Proxy so konfiguriert sein, dass er Benutzer:in A die Verschlüsselung mit einem bestimmten externen Schlüssel erlaubt, aber nicht die Entschlüsselung mit diesem Schlüssel.
Die Proxyautorisierung ist unabhängig von der SIGV4-basierten Proxyauthentifizierung, die für alle externen Schlüsselspeicher-Proxys AWS KMS erforderlich ist. Sie ist auch unabhängig von den wichtigsten Richtlinien, IAM Richtlinien und Genehmigungen, die den Zugriff auf Operationen autorisieren, die sich auf den externen Schlüsselspeicher oder dessen Schlüssel auswirken. KMS
Um die Autorisierung durch den externen Schlüsselspeicher-Proxy zu ermöglichen, AWS KMS enthält jede APIProxyanfrage Metadaten, einschließlich des Aufrufers, des KMS Schlüssels, der AWS KMS Operation und AWS-Service (falls vorhanden). Die Anforderungsmetadaten für Version 1 (v1) des externen Schlüssel-Proxys lauten wie API folgt.
"requestMetadata": { "awsPrincipalArn": string, "awsSourceVpc": string, // optional "awsSourceVpce": string, // optional "kmsKeyArn": string, "kmsOperation": string, "kmsRequestId": string, "kmsViaService": string // optional }
Sie könnten Ihren Proxy beispielsweise so konfigurieren, dass Anfragen von einem bestimmten Principal (awsPrincipalArn
) zugelassen werden, aber nur, wenn die Anfrage im Namen des Prinzipals von einem bestimmten AWS-Service (kmsViaService
) gestellt wird.
Wenn die Proxyautorisierung fehlschlägt, schlägt der entsprechende AWS KMS Vorgang fehl und es wird eine Meldung angezeigt, die den Fehler erklärt. Details hierzu finden Sie unter Probleme mit der Proxy-Autorisierung.
TLSm-Authentifizierung (optional)
Damit Ihr externer Schlüsselspeicher-Proxy Anfragen authentifizieren kann AWS KMS, AWS KMS signiert er alle Anfragen an Ihren externen Schlüsselspeicher-Proxy mit den Signature V4 (SigV4) -Proxyauthentifizierungsdaten für Ihren externen Schlüsselspeicher.
Um zusätzliche Sicherheit zu bieten, dass Ihr externer Schlüsselspeicher-Proxy nur auf AWS KMS Anfragen reagiert, unterstützen einige externe Schlüsselproxys Mutual Transport Layer Security (mTLS), bei der beide Parteien einer Transaktion Zertifikate verwenden, um sich gegenseitig zu authentifizieren. m TLS fügt der serverseitigen Authentifizierung, die der Standard TLS bietet, eine clientseitige Authentifizierung hinzu, bei der der externe Schlüsselspeicher-Proxyserver den AWS KMS Client authentifiziert. In dem seltenen Fall, dass Ihre Anmeldeinformationen für die Proxyauthentifizierung kompromittiert werden, TLS verhindert m, dass ein Dritter erfolgreiche API Anfragen an den externen Schlüsselspeicher-Proxy stellt.
Um m zu implementierenTLS, konfigurieren Sie Ihren externen Schlüsselspeicher-Proxy so, dass er nur clientseitige TLS Zertifikate mit den folgenden Eigenschaften akzeptiert:
-
Der allgemeine Name des Antragstellers auf dem TLS Zertifikat muss
cks.kms.
beispielsweise lauten.<Region>
.amazonaws.com.rproxy.goskope.comcks.kms.
eu-west-3
.amazonaws.com -
Das Zertifikat muss mit einer Zertifizierungsstelle verknüpft sein, die mit Amazon Trust Services
verbunden ist.