Mejores prácticas para las subvenciones AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas para las subvenciones AWS KMS

AWS KMS recomienda las siguientes prácticas recomendadas a la hora de crear, utilizar y gestionar las subvenciones.

  • Limite los permisos de la concesión a los que requiere el principal beneficiario. Utilice el principio de acceso menos privilegiado.

  • Utiliza un cesionario principal específico, como un IAM rol, y dale permiso al cesionario principal para que utilice únicamente las API operaciones que necesite.

  • Utilice las restricciones de concesión del contexto de cifrado para asegurarse de que las personas que llaman utilizan la KMS clave para el propósito previsto. Para obtener más información sobre cómo utilizar el contexto de cifrado en una solicitud para proteger sus datos, consulte Cómo proteger la integridad de los datos cifrados mediante el uso AWS Key Management Service y EncryptionContext en el blog sobre AWS seguridad.

    sugerencia

    Utilice la restricción de EncryptionContextEqualconcesión siempre que sea posible. La restricción de EncryptionContextSubsetconcesión es más difícil de usar correctamente. Si necesita usarlo, lea detenidamente la documentación y pruebe la limitación de concesión para asegurarse de que funciona según lo previsto.

  • Suprima concesiones duplicadas. Las subvenciones duplicadas tienen la misma claveARN, API las mismas acciones, el mismo destinatario, el mismo contexto de cifrado y el mismo nombre. Si retira o revoca la concesión original pero deja los duplicados, las concesiones duplicadas sobrantes constituyen escaladas no intencionadas de privilegios. Para evitar duplicar concesiones al volver a intentar una solicitud CreateGrant, utilice el parámetro Name. Para detectar las concesiones duplicadas, utilice la ListGrantsoperación. Si crea accidentalmente una concesión duplicada, retírela o revóquela lo antes posible.

    nota

    Las concesiones para las claves administradas por AWS podrían parecer duplicados, pero tienen diferentes beneficiarios principales.

    El campo GranteePrincipal de la respuesta ListGrants generalmente contiene el principal beneficiario de la concesión. Sin embargo, cuando el principal beneficiario de la subvención es un AWS servicio, el GranteePrincipal campo contiene el principal del servicio, que puede representar a varios directores distintos del concesionario.

  • Recuerde que las concesiones no caducan automáticamente. Retire o revoque la concesiones ni bien el permiso ya no sea necesario. Las concesiones que no se eliminan pueden crear un riesgo de seguridad para los recursos cifrados.