Contrôlez l'accès à votre magasin de AWS CloudHSM clés - AWS Key Management Service
Autorisation des AWS CloudHSM principaux responsables et utilisateurs des magasinsAutorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez l'accès à votre magasin de AWS CloudHSM clés

Vous utilisez des IAM politiques pour contrôler l'accès à votre magasin de AWS CloudHSM clés et à votre AWS CloudHSM cluster. Vous pouvez utiliser des politiques, des IAM politiques et des autorisations clés pour contrôler l'accès AWS KMS keys au contenu de votre magasin de AWS CloudHSM clés. Nous vous recommandons de fournir aux utilisateurs, groupes et rôles uniquement les autorisations dont ils ont besoin pour les tâches qu'ils sont susceptibles d'effectuer.

Autorisation des AWS CloudHSM principaux responsables et utilisateurs des magasins

Lorsque vous concevez votre magasin de AWS CloudHSM clés, assurez-vous que les principaux responsables qui l'utilisent et le gèrent disposent uniquement des autorisations dont ils ont besoin. La liste suivante décrit les autorisations minimales requises pour les AWS CloudHSM principaux responsables de magasins et utilisateurs.

  • Les principaux responsables qui créent et gèrent votre magasin de AWS CloudHSM clés ont besoin de l'autorisation suivante pour utiliser les API opérations du magasin de AWS CloudHSM clés.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • Les principaux responsables qui créent et gèrent le AWS CloudHSM cluster associé à votre banque de AWS CloudHSM clés doivent être autorisés à créer et à initialiser un AWS CloudHSM cluster. Cela inclut l'autorisation de créer ou d'utiliser un Amazon Virtual Private Cloud (VPC), de créer des sous-réseaux et de créer une EC2 instance Amazon. Ils peuvent également avoir besoin de créerHSMs, de supprimer et de gérer des sauvegardes. Pour obtenir la liste des autorisations requises, veuillez consulter la rubrique Identity and access management for AWS CloudHSM (Gestion des identités et des accès pour ) dans le Guide de l'utilisateur AWS CloudHSM .

  • Les principaux responsables qui créent et gèrent AWS KMS keys dans votre magasin de AWS CloudHSM clés ont besoin des mêmes autorisations que ceux qui créent et gèrent n'importe quelle entrée de KMS clés. AWS KMS La politique de clé par défaut pour une KMS clé dans un magasin de AWS CloudHSM clés est identique à la politique de clé par défaut pour les KMS clés d'entrée AWS KMS. Le contrôle d'accès basé sur les attributs (ABAC), qui utilise des balises et des alias pour contrôler l'accès aux KMS clés, est également efficace sur les clés stockées dans KMS AWS CloudHSM les magasins de clés.

  • Les principaux qui utilisent les KMS clés de votre magasin de AWS CloudHSM clés pour des opérations cryptographiques doivent être autorisés à effectuer l'opération cryptographique avec la KMS clé, par exemple KMS:Decrypt. Vous pouvez fournir ces autorisations dans une politique clé, une IAM politique. Toutefois, ils n'ont pas besoin d'autorisations supplémentaires pour utiliser une KMS clé dans un magasin de AWS CloudHSM clés.

Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2

Pour prendre en charge vos AWS CloudHSM principaux magasins, vous AWS KMS devez disposer d'une autorisation pour obtenir des informations sur vos AWS CloudHSM clusters. Il a également besoin d'une autorisation pour créer l'infrastructure réseau qui connecte votre magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Pour obtenir ces autorisations, AWS KMS crée le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service dans votre. Compte AWS Les utilisateurs qui créent des magasins de AWS CloudHSM clés doivent disposer de l'iam:CreateServiceLinkedRoleautorisation qui leur permet de créer des rôles liés à un service.

À propos du rôle AWS KMS lié au service

Un rôle lié à un service est un IAM rôle qui autorise un AWS service à appeler d'autres AWS services en votre nom. Il est conçu pour vous permettre d'utiliser plus facilement les fonctionnalités de plusieurs AWS services intégrés sans avoir à créer et à gérer des IAM politiques complexes. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS KMS.

Pour les magasins de AWS CloudHSM clés, AWS KMS crée le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service avec la AWSKeyManagementServiceCustomKeyStoresServiceRolePolicypolitique. Cette politique accorde au rôle les autorisations suivantes :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Étant donné que le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service n'est fiable quecks.kms.amazonaws.com, seul le rôle lié au service AWS KMS peut assumer ce rôle lié au service. Ce rôle est limité aux opérations qui AWS KMS nécessitent de visualiser vos AWS CloudHSM clusters et de connecter un magasin de AWS CloudHSM clés au AWS CloudHSM cluster associé. Il ne donne AWS KMS aucune autorisation supplémentaire. Par exemple, AWS KMS n'est pas autorisé à créer, gérer ou supprimer vos AWS CloudHSM clusters ou vos sauvegardes. HSMs

Régions

À l'instar de la fonctionnalité AWS CloudHSM Key Stores, le AWSServiceRoleForKeyManagementServiceCustomKeyStoresrôle est pris en charge partout Régions AWS où il AWS KMS est disponible. AWS CloudHSM Pour obtenir la liste des points Régions AWS pris en charge par chaque service, voir AWS Key Management Service Points de terminaison et quotas et AWS CloudHSM points de terminaison et quotas dans le. Référence générale d'Amazon Web Services

Pour plus d'informations sur la manière dont les AWS services utilisent les rôles liés aux services, consultez la section Utilisation des rôles liés aux services dans le Guide de l'utilisateur. IAM

Création du rôle lié à un service

AWS KMS crée automatiquement le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service dans votre magasin de clés Compte AWS lorsque vous créez un magasin de AWS CloudHSM clés, si le rôle n'existe pas déjà. Vous ne pouvez pas créer ou recréer directement ce rôle lié à un service.

Modifier la description du rôle lié à un service

Vous ne pouvez pas modifier le nom du rôle ni les déclarations de politique du rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié à un service, mais vous pouvez modifier la description du rôle. Pour obtenir des instructions, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.

Supprimer le rôle lié à un service

AWS KMS ne supprime pas le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié au service, Compte AWS même si vous avez supprimé tous vos AWS CloudHSM principaux magasins. Bien qu'il n'existe actuellement aucune procédure permettant de supprimer le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStoreslié à un service, AWS KMS elle n'assume pas ce rôle et n'utilise pas ses autorisations sauf si vous disposez de banques de AWS CloudHSM clés actives.