Control del acceso al almacén de claves de AWS CloudHSM - AWS Key Management Service
Autorizar a administradores y usuarios del almacén de claves de AWS CloudHSMAutorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso al almacén de claves de AWS CloudHSM

Utilice las políticas de IAM para controlar el acceso al almacén de claves de AWS CloudHSM y al clúster de AWS CloudHSM. Puede usar las políticas de claves y las políticas de IAM y concesiones para controlar el acceso a las AWS KMS keys en su almacén de claves de AWS CloudHSM. Le recomendamos que únicamente otorgue a los usuarios, grupos y roles los permisos necesarios para las tareas que es probable que se vayan a realizar.

Autorizar a administradores y usuarios del almacén de claves de AWS CloudHSM

Al diseñar el almacén de claves de AWS CloudHSM, asegúrese de que las entidades principales que usan y administran el almacén dispongan únicamente de los permisos que necesitan. En la siguiente lista se describen los permisos mínimos necesarios para los administradores y usuarios del almacén de claves de AWS CloudHSM.

  • Las entidades principales que crean y administran el almacén de claves de AWS CloudHSM requieren el siguiente permiso para utilizar las operaciones de API del almacén de claves de AWS CloudHSM.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • Las entidades principales que crean y administran el clúster de AWS CloudHSM asociado al almacén de claves de AWS CloudHSM requieren permiso para crear e inicializar un clúster de AWS CloudHSM. Este permiso también les permite crear o utilizar una nube privada virtual (VPC), crear subredes y crear una instancia de Amazon EC2. También es posible que deban crear y eliminar HSM, y administrar copias de seguridad. Para obtener una lista de los permisos necesarios, consulte Administración de identidades y accesos para AWS CloudHSM en la Guía del usuario de AWS CloudHSM.

  • Las entidades principales que crean y administran AWS KMS keys del almacén de claves de AWS CloudHSM necesitan los mismos permisos que aquellas que crean y administran las claves de KMS en AWS KMS. La política de claves predeterminada para claves de KMS en un almacén de claves de AWS CloudHSM es idéntica a la política de claves predeterminada para claves de KMS en AWS KMS. El control de acceso basado en atributos (ABAC), que utiliza etiquetas y alias para controlar el acceso a las claves de KMS, también es efectivo en claves de KMS de almacenes de claves de AWS CloudHSM.

  • Las entidades principales que usan las claves de KMS en el almacén de claves de AWS CloudHSM para operaciones criptográficas requieren permiso para realizar la operación criptográfica con la clave de KMS, por ejemplo, kms:Decrypt. Puede proporcionar estos permisos en una política de claves o una política de IAM. Sin embargo, no necesitan más permisos para utilizar una clave de KMS en un almacén de claves de AWS CloudHSM.

Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2

Para dar soporte a los almacenes de claves de AWS CloudHSM, AWS KMS necesita permiso para obtener información de los clústeres de AWS CloudHSM. También necesita permiso para crear la infraestructura de red que conecta el almacén de claves de AWS CloudHSM con su clúster de AWS CloudHSM. Para obtener estos permisos,AWS KMS crea el rol vinculado al servicio AWSServiceRoleforKeyManagementServiceCustomKeyStores en la Cuenta de AWS. Los usuarios que crean almacenes de claves de AWS CloudHSM deben tener el permiso iam:CreateServiceLinkedRole que les permite crear roles vinculados a un servicio.

Acerca del rol vinculado a un servicio de AWS KMS

Un rol vinculado a un servicio es un rol de IAM que otorga permiso a un servicio de AWS para llamar a otros servicios de AWS en su nombre. Se ha diseñado para facilitar el uso de las características de múltiples servicios de AWS integrados sin tener que crear ni actualizar políticas de IAM complejas. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS KMS.

Para los almacenes de claves de AWS CloudHSM, AWS KMS crea el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores con la política AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy. Esta política concede los siguientes permisos al rol:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Debido a que el rol vinculado a servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores solo confía en cks.kms.amazonaws.com, AWS KMS únicamente puede asumir este rol vinculado a servicio. Este rol está limitado a las operaciones que necesita AWS KMS para ver los clústeres de AWS CloudHSM y para conectar un almacén de claves de AWS CloudHSM con su clúster de AWS CloudHSM asociado. No concede permisos adicionales a AWS KMS. Por ejemplo, AWS KMS no dispone de permiso para crear, administrar o eliminar los clústeres de AWS CloudHSM, los HSM o las copias de seguridad.

Regiones

De igual modo que la característica de los almacenes de claves de AWS CloudHSM, el rol AWSServiceRoleForKeyManagementServiceCustomKeyStores es compatible en todas las Regiones de AWS en las que estén disponibles AWS KMS y AWS CloudHSM. Para obtener una lista de las Regiones de AWS que admiten cada servicio, consulte AWS Key Management Service Endpoints and Quotas y AWS CloudHSM endpoints and quotas en la Referencia general de Amazon Web Services.

Para obtener más información acerca de cómo los servicios de AWS utilizan los roles vinculados con el servicio, consulte Uso de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado a servicios

AWS KMS crea el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores de forma automática en la cuenta de Cuenta de AWS al crear un almacén de claves de AWS CloudHSM, si el rol no existe aún. No puede crear o volver a crear este rol vinculado a un servicio directamente.

Editar la descripción del rol vinculado a un servicio

No puede editar el nombre del rol o las declaraciones de la política en el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores, aunque sí puede editar la descripción del rol. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminar el rol vinculado a servicios

AWS KMS no elimina el rol vinculado al servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores de su Cuenta de AWS, incluso si ha eliminado todos sus almacenes de claves de AWS CloudHSM. Si bien actualmente no existe ningún procedimiento para eliminar el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores, AWS KMS no asume este rol ni utiliza sus permisos a menos que tenga almacenes de claves de AWS CloudHSM activos.