Identitas dan manajemen akses untuk AWS CloudHSM - AWS CloudHSM
Memberikan izin menggunakan kebijakan IAMTindakan API untuk AWS CloudHSMKunci kondisi untuk AWS CloudHSMKebijakan terkelola AWS yang telah ditentukan sebelumnya untuk AWS CloudHSMKebijakan yang dikelola pelanggan untuk AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identitas dan manajemen akses untuk AWS CloudHSM

AWS menggunakan kredensial keamanan untuk mengidentifikasi Anda dan memberikan Anda akses ke sumber daya AWS Anda. Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan sumber daya AWS Anda sepenuhnya atau dengan cara yang terbatas. Anda dapat melakukan ini tanpa perlu berbagi kredensial keamanan Anda.

Secara default, pengguna IAM tidak memiliki izin untuk membuat, melihat, atau memodifikasi sumber daya AWS. Untuk mengizinkan pengguna IAM mengakses sumber daya seperti penyeimbang beban, dan untuk melakukan tugas, Anda:

  1. Membuat kebijakan IAM yang memberikan izin pengguna IAM untuk menggunakan sumber daya tertentu dan tindakan API yang mereka butuhkan.

  2. Melampirkan kebijakan ke pengguna IAM atau grup yang dimiliki oleh pengguna IAM.

Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.

Misalnya, Anda dapat menggunakan IAM untuk membuat pengguna dan grup di bawah akun AWS Anda. Pengguna IAM dapat berupa orang, sistem, atau aplikasi. Kemudian, Anda memberikan izin kepada pengguna dan grup untuk melakukan tindakan tertentu pada sumber daya tertentu menggunakan kebijakan IAM.

Memberikan izin menggunakan kebijakan IAM

Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.

Kebijakan IAM adalah sebuah dokumen JSON yang terdiri dari satu pernyataan atau lebih. Setiap pernyataan terstruktur seperti yang ditunjukkan dalam contoh berikut.

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • EfekEfek dapat berupa Allow atau Deny. Secara default, pengguna IAM tidak memiliki izin untuk menggunakan sumber daya dan tindakan API, sehingga semua permintaan akan ditolak. izin eksplisit akan menggantikan izin default. Penolakan eksplisit akan mengabaikan izin apa pun.

  • TindakanTindakan adalah tindakan API tertentu yang Anda berikan atau tolak izinnya. Untuk informasi lebih lanjut tentang menentukantindakan, lihat Tindakan API untuk AWS CloudHSM.

  • Sumber daya — Sumber daya yang dipengaruhi oleh tindakan. AWS CloudHSM tidak mendukung izin tingkat sumber daya. Anda harus menggunakan wildcard * untuk menentukan semua AWS CloudHSM sumber daya.

  • Syarat— Anda dapat secara opsional menggunakan syarat untuk mengontrol kapan kebijakan Anda berlaku. Untuk informasi lebih lanjut, lihat Kunci kondisi untuk AWS CloudHSM.

Untuk informasi lebih lanjut, lihat Panduan Pengguna IAM.

Tindakan API untuk AWS CloudHSM

Dalam elemen Tindakan pernyataan kebijakan IAM Anda, Anda dapat menentukan tindakan API apa pun yang AWS CloudHSM ditawarkan. Anda harus memberi prefiks pada nama tindakan dengan string huruf kecil cloudhsm:, seperti yang ditunjukkan dalam contoh berikut.

"Action": "cloudhsm:DescribeClusters"

Untuk menetapkan beberapa tindakan dalam satu pernyataan, batasi dengan kurung persegi dan pisahkan dengan koma, seperti ditunjukkan dalam contoh berikut.

"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard *. Contoh berikut menentukan semua nama tindakan API untuk memulai dengan AWS CloudHSM List itu.

"Action": "cloudhsm:List*"

Untuk menentukan semua tindakan API AWS CloudHSM, gunakan wildcard *, seperti yang ditunjukkan pada contoh berikut.

"Action": "cloudhsm:*"

Untuk daftar tindakan API AWS CloudHSM, lihat AWS CloudHSM Tindakan.

Kunci kondisi untuk AWS CloudHSM

Saat membuat kebijakan, Anda dapat menentukan syarat yang mengontrol kapan kebijakan berlaku. Setiap syarat mengandung satu atau lebih pasangan nilai-kunci . Terdapat kunci syarat global dan kunci syarat khusus layanan.

AWS CloudHSM tidak memiliki kunci konteks khusus layanan.

Untuk informasi lebih lanjut tentang kunci syarat global, lihat Kunci Konteks Syarat Global AWS dalam Panduan Pengguna IAM.

Kebijakan terkelola AWS yang telah ditentukan sebelumnya untuk AWS CloudHSM

Kebijakan terkelola yang dibuat oleh AWS memberikan izin yang diperlukan untuk kasus penggunaan umum. Anda dapat melampirkan kebijakan ini ke pengguna IAM Anda, berdasarkan akses ke AWS CloudHSM yang mereka butuhkan:

  • AWSCloudHSMFullAccess— Memberikan akses penuh yang diperlukan untuk menggunakan AWS CloudHSM fitur.

  • AWSCloudHSMReadOnlyAccess— Memberikan akses hanya-baca ke fitur. AWS CloudHSM

Kebijakan yang dikelola pelanggan untuk AWS CloudHSM

Kami menyarankan Anda membuat grup administrator IAM yang hanya berisi izin AWS CloudHSM yang diperlukan untuk menjalankan. AWS CloudHSM Lampirkan kebijakan dengan izin yang sesuai untuk grup ini. Tambahkan pengguna IAM ke grup sesuai kebutuhan. Setiap pengguna yang Anda tambahkan mewarisi kebijakan dari grup administrator.

Selain itu, sebaiknya Anda membuat grup pengguna tambahan berdasarkan izin yang dibutuhkan pengguna. Hal ini memastikan bahwa hanya pengguna tepercaya yang memiliki akses ke tindakan API kritis. Misalnya, Anda dapat membuat grup pengguna yang Anda gunakan untuk memberikan akses hanya-baca ke klaster dan HSM. Karena grup ini tidak memungkinkan pengguna untuk menghapus klaster atau HSM, pengguna tepercaya tidak dapat memengaruhi ketersediaan beban kerja produksi.

Karena fitur AWS CloudHSM manajemen baru ditambahkan dari waktu ke waktu, Anda dapat memastikan bahwa hanya pengguna tepercaya yang diberikan akses langsung. Dengan menetapkan izin terbatas untuk kebijakan saat pembuatan, Anda dapat secara manual menetapkan izin fitur baru untuk mereka nanti.

Berikut ini adalah contoh kebijakan untuk AWS CloudHSM. Untuk informasi tentang cara membuat kebijakan dan melampirkan ke grup pengguna IAM, lihat Membuat Kebijakan di Tab JSON dalam Panduan Pengguna IAM.

Contoh
contoh
Contoh: Izin baca-saja

Kebijakan ini mengizinkan akses ke tindakan API DescribeClusters dan DescribeBackups. Ini juga mencakup izin tambahan untuk tindakan Amazon EC2 API tertentu. Ini tidak memungkinkan pengguna untuk menghapus klaster atau HSM.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}
contoh
Contoh: Izin pengguna daya

Kebijakan ini memungkinkan akses ke subset tindakan AWS CloudHSM API. Ini juga mencakup izin tambahan untuk tindakan Amazon EC2 tertentu. Ini tidak memungkinkan pengguna untuk menghapus klaster atau HSM. Anda harus menyertakan iam:CreateServiceLinkedRole tindakan AWS CloudHSM untuk memungkinkan secara otomatis membuat peran AWSServiceRoleForCloudHSMterkait layanan di akun Anda. Peran ini memungkinkan AWS CloudHSM untuk mencatat peristiwa. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk AWS CloudHSM.

catatan

Untuk melihat izin khusus untuk setiap API, lihat kunci Tindakan, sumber daya, dan kondisi AWS CloudHSM di Referensi Otorisasi Layanan.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}
contoh
Contoh: Izin admin

Kebijakan ini memungkinkan akses ke semua tindakan AWS CloudHSM API, termasuk tindakan untuk menghapus HSM dan cluster. Ini juga mencakup izin tambahan untuk tindakan Amazon EC2 tertentu. Anda harus menyertakan iam:CreateServiceLinkedRole tindakan AWS CloudHSM untuk memungkinkan secara otomatis membuat peran AWSServiceRoleForCloudHSMterkait layanan di akun Anda. Peran ini memungkinkan AWS CloudHSM untuk mencatat peristiwa. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk AWS CloudHSM.

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}