ABAC para AWS KMS

Modo de enfoque

ABAC para AWS KMS - AWS Key Management Service

Claves de condición ABAC para AWS KMS ¿Etiquetas o alias?

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos en función de los atributos. AWS KMS es compatible con ABAC, ya que le permite controlar el acceso a las claves gestionadas por sus clientes en función de las etiquetas y los alias asociados a las claves del KMS. Las claves de condición de etiqueta y alias que permiten a ABAC AWS KMS ofrecer una forma eficaz y flexible de autorizar a los directores a utilizar las claves de KMS sin necesidad de modificar las políticas ni gestionar las concesiones. Pero debe usar esta característica con cuidado para que a las principales entidades no se les permita o se les deniegue el acceso inadvertidamente.

Si utiliza ABAC, tenga en cuenta que el permiso para administrar etiquetas y alias es ahora un permiso de control de acceso. Asegúrese de conocer las etiquetas y alias existentes en todas las claves KMS antes de implementar una política que dependa de etiquetas o alias. Tome las precauciones razonables al agregar, eliminar y actualizar alias, y al etiquetar y desetiquetar claves. Otorgue permisos para administrar etiquetas y alias solo a las principales entidades que los necesiten y limite las etiquetas y alias que puedan administrar.

Notas

Cuando utilices ABAC para AWS KMS, ten cuidado a la hora de dar permiso a los directores para gestionar etiquetas y alias. Cambiar una etiqueta o alias podría permitir o denegar el permiso a una clave KMS. Los administradores de claves que no tienen permiso para cambiar políticas de claves o crear concesiones pueden controlar el acceso a claves KMS si tienen permiso para administrar etiquetas o alias.

Puede que transcurran cinco minutos hasta que los cambios de etiqueta y alias afecten a la autorización de clave KMS. Los cambios recientes pueden ser visibles en las operaciones de API antes de que afecten a la autorización.

Para controlar el acceso a una clave KMS basándose en su alias, debe utilizar una clave de condición. No puede utilizar un alias para representar una clave KMS en el elemento Resource de una declaración de política. Cuando aparece un alias en el elemento Resource, la declaración de política se aplica al alias, no a la clave KMS asociada.

Más información

Para obtener más información sobre la AWS KMS compatibilidad con ABAC, incluidos ejemplos, consulte y. Uso de alias para controlar el acceso a las claves KMS Uso de etiquetas para controlar el acceso a las claves KMS
Para obtener más información general sobre el uso de etiquetas para controlar el acceso a AWS los recursos, consulte ¿Para qué sirve ABAC? AWS y Cómo controlar el acceso a AWS los recursos mediante etiquetas de recursos en la Guía del usuario de IAM.

Claves de condición ABAC para AWS KMS

Para autorizar el acceso a claves KMS en función de sus etiquetas y alias, utilice las siguientes claves de condición en una política de claves o política de IAM.

Clave de condición de ABAC	Descripción	Tipo de política	AWS KMS operaciones
leyes: ResourceTag	La etiqueta (clave y valor) en la clave KMS coincide con la etiqueta (clave y valor) o el patrón de etiqueta en la política	Política de IAM únicamente	Operaciones de recursos clave KMS ²
aws:RequestTag/tag-key	La etiqueta (clave y valor) en la solicitud coincide con la etiqueta (clave y valor) o el patrón de etiqueta en la política	Políticas de claves y políticas de IAM¹	TagResource, UntagResource
leyes: TagKeys	Las claves de etiqueta de la solicitud coinciden con las claves de etiqueta de la política.	Políticas de claves y políticas de IAM¹	TagResource, UntagResource
km: ResourceAliases	Los alias asociados a la clave KMS coinciden con los alias o patrones de alias de la política	Política de IAM únicamente	Operaciones de recursos clave KMS ²
km: RequestAlias	El alias que representa la clave KMS en la solicitud coincide con los patrones de alias o alias de la política.	Políticas de clavessss y políticas de IAM¹	Operaciones criptográficas, DescribeKey GetPublicKey

¹Cualquier clave de condición que se pueda utilizar en una política de clave también se puede utilizar en una política de IAM, pero solo si la política de claves lo permite.

²Una operación de recursos de clave KMS es una operación autorizada para una clave KMS en particular. Para identificar las operaciones de recursos clave KMS, en la tabla de permisos AWS KMS, busque un valor de la clave KMS en la columna Resources para la operación.

Por ejemplo, puede utilizar estas claves de condición para crear las siguientes políticas.

Una política de IAM con kms:ResourceAliases que habilita el permiso para usar claves KMS con un alias o patrón de alias en particular. Esto es un poco diferente de las políticas que se basan en etiquetas: aunque puede utilizar patrones de alias en una política, cada alias debe ser único en una región Cuenta de AWS y. Esto le permite aplicar una política a un conjunto selecto de claves de KMS sin incluir la clave ARNs de las claves de KMS en la declaración de política. Para agregar o quitar claves KMS del conjunto, cambie el alias de la clave KMS.
Una política de claves con kms:RequestAlias que permite a las principales entidades usar una clave KMS en una operación Encrypt, pero solo cuando la solicitud Encrypt utiliza ese alias para identificar la clave KMS.
Una política de IAM con aws:ResourceTag/tag-key que deniega permiso para utilizar claves KMS con una clave de etiqueta y un valor de etiqueta en concreto. Esto le permite aplicar una política a un conjunto selecto de claves de KMS sin incluir la clave ARNs de las claves de KMS en la declaración de política. Para agregar o quitar claves KMS del conjunto, etiqueta o desmarca de la clave KMS.
Una política de IAM con aws:RequestTag/tag-key que permite a las principales entidades eliminar solo etiquetas de claves KMS de "Purpose"="Test"
Una política de IAM con aws:TagKeys que deniega el permiso para etiquetar o desetiquetar una clave KMS con una clave de etiqueta Restricted.

ABAC hace que la administración de accesos sea flexible y escalable. Por ejemplo, puede utilizar la clave de condición aws:ResourceTag/tag-key para crear una política de IAM que permita a las principales entidades utilizar una clave KMS para operaciones especificadas solo cuando la clave KMS tenga una etiqueta Purpose=Test. La política se aplica a todas las claves KMS de todas las regiones de la Cuenta de AWS.

Cuando se adjunta a un usuario o rol, la siguiente política de IAM permite a las principales entidades utilizar todas las claves KMS existentes con una etiqueta Purpose=Test para las operaciones especificadas. Para proporcionar este acceso a claves KMS nuevas o existentes, no es necesario cambiar la política. Solo tiene que adjuntar la etiqueta Purpose=Test a las claves KMS. Del mismo modo, para eliminar este acceso de las claves KMS con una etiqueta Purpose=Test, edite o elimine la etiqueta.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AliasBasedIAMPolicy",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Purpose": "Test"
        }
      }
    }
  ]
}

Sin embargo, si utiliza esta función, tenga cuidado al administrar etiquetas y alias. Agregar, cambiar o eliminar una etiqueta o alias puede permitir o denegar inadvertidamente el acceso a una clave KMS. Los administradores de claves que no tienen permiso para cambiar políticas de claves o crear concesiones pueden controlar el acceso a claves KMS si tienen permiso para administrar etiquetas y alias. Para mitigar este riesgo, considere limitar permisos para administrar etiquetas y alias. Por ejemplo, es posible que exija solo las principales entidades administren etiquetas Purpose=Test. Para más detalles, consulte Uso de alias para controlar el acceso a las claves KMS y Uso de etiquetas para controlar el acceso a las claves KMS.

¿Etiquetas o alias?

AWS KMS admite ABAC con etiquetas y alias. Ambas opciones proporcionan una estrategia de control de acceso flexible y escalable, pero son ligeramente diferentes entre sí.

Puede decidir usar etiquetas o alias en función de sus patrones de uso particulares AWS . Por ejemplo, si ya ha otorgado permisos de etiquetado a la mayoría de los administradores, podría ser más fácil controlar una estrategia de autorización basada en alias. O bien, si está cerca de la cuota de alias por clave KMS, es posible que prefiera una estrategia de autorización basada en etiquetas.

Los siguientes beneficios son de interés general.

Beneficios del control de acceso basado en etiquetas

El mismo mecanismo de autorización para distintos tipos de AWS recursos.

Puede utilizar la misma etiqueta o clave de etiqueta para controlar el acceso a varios tipos de recursos, como un clúster de Amazon Relational Database Service (Amazon RDS), un volumen de Amazon Elastic Block Store (Amazon EBS) y una clave KMS. Esta función permite varios modelos de autorización diferentes que son más flexibles que el control de acceso basado en roles tradicional.
Autorizar el acceso a un grupo de claves KMS.

Puede utilizar etiquetas para administrar el acceso a un grupo de claves KMS en la misma región y Cuenta de AWS . Asigne la misma etiqueta o clave de etiqueta a las claves KMS que elija. A continuación, cree una declaración easy-to-maintain de política sencilla que se base en la etiqueta o la clave de la etiqueta. Para agregar o quitar una clave KMS de su grupo de autorización, agregue o elimine la etiqueta; no necesita editar la política.

Beneficios del control de acceso basado en alias

Autorizar el acceso a operaciones criptográficas basadas en alias.

La mayoría de las condiciones políticas de atributos basadas en solicitudes, incluida aws:RequestTag/tag-key, solo afectan a las operaciones que agregan, editan o eliminan el atributo. Sin embargo, la clave de RequestAlias condición kms: controla el acceso a las operaciones criptográficas en función del alias utilizado para identificar la clave KMS de la solicitud. Por ejemplo, puede concederle permiso a una entidad principal para usar una clave KMS en una operación Encrypt pero solo cuando el valor del parámetro KeyId sea alias/restricted-key-1. Para satisfacer esta condición se requiere todo lo siguiente:
- La clave KMS debe estar asociada a ese alias.
- La solicitud debe utilizar el alias para identificar la clave KMS.
- La entidad principal debe tener permiso para utilizar la clave KMS en función de la condición kms:RequestAlias.
Esto resulta especialmente útil si las aplicaciones suelen utilizar nombres de alias o alias ARNs para hacer referencia a las claves de KMS.
Proporcione permisos muy limitados.

Un alias debe ser único en una región Cuenta de AWS y. Como resultado, dar acceso a las principales entidades a una clave KMS basada en un alias puede ser mucho más restrictivo que darles acceso basado en una etiqueta. A diferencia de los alias, las etiquetas se pueden asignar a varias claves KMS de la misma cuenta y región. Si lo desea, puede usar un patrón de alias, como alias/test*, para dar acceso a las entidades principales a un grupo de claves KMS en la misma cuenta y Región. Sin embargo, permitir o denegar acceso a un alias en concreto permite un control muy estricto de claves KMS.