Manajemen identitas dan akses untuk AWS CloudHSM - AWS CloudHSM
Berikan izin menggunakan kebijakan IAMAPItindakan untuk AWS CloudHSMKunci kondisi untuk AWS CloudHSMKebijakan AWS terkelola yang telah ditentukan sebelumnya untuk AWS CloudHSMKebijakan yang dikelola pelanggan untuk AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen identitas dan akses untuk AWS CloudHSM

AWSmenggunakan kredensyal keamanan untuk mengidentifikasi Anda dan memberi Anda akses ke sumber daya AndaAWS. Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan AWS sumber daya Anda sepenuhnya atau dengan cara yang terbatas. Anda dapat melakukan ini tanpa berbagi kredensial keamanan Anda.

Secara default, IAM pengguna tidak memiliki izin untuk membuat, melihat, atau memodifikasi AWS sumber daya. Untuk memungkinkan IAM pengguna mengakses sumber daya seperti penyeimbang beban, dan untuk melakukan tugas, Anda:

  1. Buat IAM kebijakan yang memberikan izin kepada IAM pengguna untuk menggunakan sumber daya dan API tindakan spesifik yang mereka butuhkan.

  2. Lampirkan kebijakan ke IAM pengguna atau grup tempat IAM pengguna tersebut berada.

Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.

Misalnya, Anda dapat menggunakan IAM untuk membuat pengguna dan grup di bawah AWS akun Anda. IAMPengguna dapat berupa orang, sistem, atau aplikasi. Kemudian Anda memberikan izin kepada pengguna dan grup untuk melakukan tindakan tertentu pada sumber daya yang ditentukan menggunakan IAM kebijakan.

Berikan izin menggunakan kebijakan IAM

Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.

IAMKebijakan adalah JSON dokumen yang terdiri dari satu atau lebih pernyataan. Setiap pernyataan terstruktur seperti yang ditunjukkan dalam contoh berikut.

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • EfekEfek dapat berupa Allow atau Deny. Secara default, IAM pengguna tidak memiliki izin untuk menggunakan sumber daya dan API tindakan, sehingga semua permintaan ditolak. izin eksplisit akan menggantikan izin default. penolakan eksplisit akan menggantikan izin apa pun.

  • TindakanTindakan adalah API tindakan spesifik yang Anda berikan atau tolak izin. Untuk informasi lebih lanjut tentang menentukantindakan, lihat APItindakan untuk AWS CloudHSM.

  • Sumber daya — Sumber daya yang dipengaruhi oleh tindakan. AWS CloudHSM tidak mendukung izin tingkat sumber daya. Anda harus menggunakan wildcard * untuk menentukan semua AWS CloudHSM sumber daya.

  • Syarat— Anda dapat secara opsional menggunakan syarat untuk mengontrol kapan kebijakan Anda berlaku. Untuk informasi selengkapnya, lihat Kunci kondisi untuk AWS CloudHSM.

Untuk informasi selengkapnya, lihat Panduan IAM Pengguna.

APItindakan untuk AWS CloudHSM

Dalam elemen Tindakan pernyataan IAM kebijakan Anda, Anda dapat menentukan API tindakan apa pun yang AWS CloudHSM ditawarkan. Anda harus memberi prefiks pada nama tindakan dengan string huruf kecil cloudhsm:, seperti yang ditunjukkan dalam contoh berikut.

"Action": "cloudhsm:DescribeClusters"

Untuk menetapkan beberapa tindakan dalam satu pernyataan, batasi dengan kurung persegi dan pisahkan dengan koma, seperti ditunjukkan dalam contoh berikut.

"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard *. Contoh berikut menentukan semua nama API tindakan untuk AWS CloudHSM yang dimulai denganList.

"Action": "cloudhsm:List*"

Untuk menentukan semua API tindakan untuk AWS CloudHSM, gunakan wildcard *, seperti yang ditunjukkan pada contoh berikut.

"Action": "cloudhsm:*"

Untuk daftar API tindakan AWS CloudHSM, lihat AWS CloudHSM Tindakan.

Kunci kondisi untuk AWS CloudHSM

Saat membuat kebijakan, Anda dapat menentukan syarat yang mengontrol kapan kebijakan berlaku. Setiap syarat mengandung satu atau lebih pasangan nilai-kunci . Terdapat kunci syarat global dan kunci syarat khusus layanan.

AWS CloudHSM tidak memiliki kunci konteks khusus layanan.

Untuk informasi selengkapnya tentang kunci kondisi AWSglobal, lihat Kunci Konteks Kondisi Global di Panduan IAM Pengguna.

Kebijakan AWS terkelola yang telah ditentukan sebelumnya untuk AWS CloudHSM

Kebijakan terkelola yang dibuat oleh AWS memberikan izin yang diperlukan untuk kasus penggunaan umum. Anda dapat melampirkan kebijakan ini ke IAM pengguna Anda, berdasarkan akses AWS CloudHSM yang mereka butuhkan:

  • AWSCloudHSMFullAccess— Memberikan akses penuh yang diperlukan untuk menggunakan AWS CloudHSM fitur.

  • AWSCloudHSMReadOnlyAccess— Memberikan akses hanya-baca ke fitur. AWS CloudHSM

Kebijakan yang dikelola pelanggan untuk AWS CloudHSM

Kami menyarankan Anda membuat grup IAM administrator yang hanya berisi izin AWS CloudHSM yang diperlukan untuk menjalankan. AWS CloudHSM Lampirkan kebijakan dengan izin yang sesuai untuk grup ini. Tambahkan IAM pengguna ke grup sesuai kebutuhan. Setiap pengguna yang Anda tambahkan mewarisi kebijakan dari grup administrator.

Selain itu, sebaiknya Anda membuat grup pengguna tambahan berdasarkan izin yang dibutuhkan pengguna. Ini memastikan bahwa hanya pengguna tepercaya yang memiliki akses ke API tindakan kritis. Misalnya, Anda dapat membuat grup pengguna yang Anda gunakan untuk memberikan akses hanya-baca ke kluster dan. HSMs Karena grup ini tidak mengizinkan pengguna untuk menghapus cluster atauHSMs, pengguna yang tidak dipercaya tidak dapat memengaruhi ketersediaan beban kerja produksi.

Karena fitur AWS CloudHSM manajemen baru ditambahkan dari waktu ke waktu, Anda dapat memastikan bahwa hanya pengguna tepercaya yang diberikan akses langsung. Dengan menetapkan izin terbatas untuk kebijakan saat pembuatan, Anda dapat secara manual menetapkan izin fitur baru untuk mereka nanti.

Berikut ini adalah contoh kebijakan untuk AWS CloudHSM. Untuk informasi tentang cara membuat kebijakan dan melampirkannya ke grup IAM pengguna, lihat Membuat Kebijakan di JSON Tab di Panduan IAM Pengguna.

Contoh
contoh
Contoh: Izin baca-saja

Kebijakan ini memungkinkan akses ke DescribeClusters dan DescribeBackups API tindakan. Ini juga mencakup izin tambahan untuk EC2 API tindakan Amazon tertentu. Itu tidak memungkinkan pengguna untuk menghapus cluster atauHSMs.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}
contoh
Contoh: Izin pengguna daya

Kebijakan ini memungkinkan akses ke subset AWS CloudHSM API tindakan. Ini juga mencakup izin tambahan untuk EC2 tindakan Amazon tertentu. Itu tidak memungkinkan pengguna untuk menghapus cluster atauHSMs. Anda harus menyertakan iam:CreateServiceLinkedRole tindakan AWS CloudHSM untuk memungkinkan secara otomatis membuat peran AWSServiceRoleForCloudHSMterkait layanan di akun Anda. Peran ini memungkinkan AWS CloudHSM untuk mencatat peristiwa. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk AWS CloudHSM.

catatan

Untuk melihat izin khusus untuk masing-masingAPI, lihat Tindakan, sumber daya, dan kunci kondisi AWS CloudHSM di Referensi Otorisasi Layanan.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}
contoh
Contoh: Izin admin

Kebijakan ini memungkinkan akses ke semua AWS CloudHSM API tindakan, termasuk tindakan untuk menghapus HSMs dan mengelompokkan. Ini juga mencakup izin tambahan untuk EC2 tindakan Amazon tertentu. Anda harus menyertakan iam:CreateServiceLinkedRole tindakan AWS CloudHSM untuk memungkinkan secara otomatis membuat peran AWSServiceRoleForCloudHSMterkait layanan di akun Anda. Peran ini memungkinkan AWS CloudHSM untuk mencatat peristiwa. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk AWS CloudHSM.

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}