Prácticas recomendadas para IAM las políticas - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para IAM las políticas

Asegurar el acceso a AWS KMS keys es fundamental para la seguridad de todos sus AWS recursos. KMSlas claves se utilizan para proteger muchos de los recursos más confidenciales de su propiedad Cuenta de AWS. Tómese su tiempo para diseñar las principales políticas, IAM políticas, subvenciones y políticas de VPC puntos finales que controlan el acceso a sus KMS llaves.

En las declaraciones IAM de políticas que controlan el acceso a KMS las claves, utilice el principio de los menos privilegiados. Otorgue a IAM los directores únicamente los permisos que necesitan sobre las KMS claves que deben usar o administrar.

Las siguientes prácticas recomendadas se aplican a IAM las políticas que controlan el acceso a AWS KMS las claves y los alias. Para obtener una guía general sobre las mejores prácticas en materia de IAM políticas, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

Use políticas de claves

Siempre que sea posible, otorgue permisos en las políticas KMS clave que afecten a una clave, en lugar de en una IAM política que pueda aplicarse a muchas KMS claves, incluidas las de otra Cuentas de AWS. Esto es especialmente importante para los permisos confidenciales, como kms: PutKeyPolicy y kms ScheduleKeyDeletion, pero también para las operaciones criptográficas que determinan cómo se protegen los datos.

Limite el permiso CreateKey

Conceda permiso para crear claves (kms: CreateKey) solo a los directores que lo necesiten. Los directores que crean una KMS clave también establecen su política de claves, de modo que pueden concederse a sí mismos y a otros permisos para usar y administrar las KMS claves que crean. Cuando permita este permiso, considere limitarlo mediante el uso de condiciones de política. Por ejemplo, puedes usar la KeySpec condición kms: para limitar el permiso a las claves de cifrado KMS simétricas.

Especifique KMS las claves en una política IAM

Como práctica recomendada, especifique la clave ARN de cada KMS clave a la que se aplica el permiso en el Resource elemento de la declaración de política. Esta práctica restringe el permiso a las KMS claves que requiere el director. Por ejemplo, este Resource elemento muestra solo las KMS claves que debe usar el director.

"Resource": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
]

Si no es práctico especificar KMS las claves, utilice un Resource valor que Cuenta de AWS limite el acceso a KMS las claves de una región de confianza, comoarn:aws:kms:region:account:key/*. O limite el acceso a KMS las claves en todas las regiones (*) de una región de confianza Cuenta de AWS, por ejemplo. arn:aws:kms:*:account:key/*

No puede usar un identificador de clave, un alias o un alias ARN para representar una KMS clave en el Resource campo de una IAM política. Si especifica un aliasARN, la política se aplica al alias, no a la KMS clave. Para obtener información sobre IAM las políticas de alias, consulte Control del acceso a alias

Evite la palabra «Recurso»: «*» en una política IAM

Utilice los caracteres de comodín (*) con juicio. En una política clave, el carácter comodín del Resource elemento representa la KMS clave a la que está asociada la política clave. Sin embargo, en una IAM política, un carácter comodín solo en el Resource elemento ("Resource": "*") aplica los permisos a todas KMS las claves en todo lo Cuentas de AWS que la cuenta del principal tenga permiso para usar. Esto puede incluir KMSlas claves de otras cuentas Cuentas de AWS, así como KMS las claves de la cuenta del director.

Por ejemplo, para usar una KMS clave en otra Cuenta de AWS, el principal necesita el permiso de la política de KMS claves de la cuenta externa y de una IAM política de su propia cuenta. Supongamos que una cuenta arbitraria le ha otorgado el permiso de Cuenta de AWS KMS:Decrypt para sus claves. KMS Si es así, una IAM política de su cuenta que conceda kms:Decrypt permisos a un rol sobre todas KMS las claves ("Resource": "*") cumpliría esa IAM parte del requisito. Como resultado, los directores que puedan asumir esa función ahora pueden descifrar los textos cifrados con la KMS clave de la cuenta que no es de confianza. Las entradas de sus operaciones aparecen en los registros de ambas cuentas. CloudTrail

En particular, evite utilizarla "Resource": "*" en una declaración de política que permita las siguientes API operaciones. Estas operaciones se pueden invocar en KMS teclas de otras Cuentas de AWS.

Cuándo usar “Recurso”: “*”

En una IAM política, utilice un carácter comodín en el Resource elemento solo para los permisos que lo requieran. Solo los siguientes permisos requieren el elemento "Resource": "*".

nota

Los permisos para las operaciones de alias (kms: CreateAlias UpdateAlias, kms:, kms: DeleteAlias) deben adjuntarse al alias y a la KMS clave. Puede utilizarlos "Resource": "*" en una IAM política para representar los alias y las KMS claves, o bien especificar los alias y KMS las claves del Resource elemento. Para ver ejemplos, consulta Control del acceso a alias.

 

Los ejemplos de este tema proporcionan más información y orientación para diseñar IAM políticas para KMS las claves. Para ver las prácticas IAM recomendadas para todos AWS los recursos, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.