Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

ABAC untuk AWS KMS

PDF
RSS
Mode fokus
ABAC untuk AWS KMS - AWS Key Management Service
Kunci kondisi ABAC untuk AWS KMSTag atau alias?

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. AWS KMS mendukung ABAC dengan memungkinkan Anda untuk mengontrol akses ke kunci yang dikelola pelanggan Anda berdasarkan tag dan alias yang terkait dengan kunci KMS. Kunci kondisi tag dan alias yang memungkinkan ABAC AWS KMS menyediakan cara yang kuat dan fleksibel untuk mengotorisasi prinsipal untuk menggunakan kunci KMS tanpa mengedit kebijakan atau mengelola hibah. Namun Anda harus menggunakan fitur ini dengan hati-hati sehingga perwakilan tidak ditolak aksesnya atau diizinkan secara tidak sengaja.

Jika Anda menggunakan ABAC, ketahui bahwa izin untuk mengelola tag dan alias sekarang adalah izin kontrol akses. Pastikan Anda mengetahui tag dan alias yang ada di semua kunci KMS sebelum menerapkan kebijakan yang bergantung pada tag atau alias. Lakukan tindakan pencegahan yang wajar saat menambahkan, menghapus, dan memperbarui alias, dan saat menandai dan menghapus tanda kunci. Berikan izin untuk mengelola tag dan alias hanya kepada perwakilan yang membutuhkannya, dan membatasi tag dan alias yang dapat mereka kelola.

Catatan

Saat menggunakan ABAC untuk AWS KMS, berhati-hatilah dalam memberikan izin kepada prinsipal untuk mengelola tag dan alias. Mengubah tag atau alias mungkin mengizinkan atau menolak izin ke kunci KMS. Administrator kunci yang tidak memiliki izin untuk mengubah kebijakan kunci atau membuat hibah dapat mengontrol akses ke kunci KMS jika mereka memiliki izin untuk mengelola tag atau alias.

Mungkin diperlukan waktu hingga lima menit untuk perubahan tag dan alias untuk memengaruhi otorisasi kunci KMS. Perubahan terbaru mungkin terlihat dalam operasi API sebelum mempengaruhi otorisasi.

Untuk mengontrol akses ke kunci KMS berdasarkan aliasnya, Anda harus menggunakan tombol kondisi. Anda tidak dapat menggunakan alias untuk mewakili kunci KMS dalam Resource elemen pernyataan kebijakan. Ketika alias muncul di Resource elemen, pernyataan kebijakan berlaku untuk alias, bukan ke kunci KMS terkait.

Pelajari selengkapnya

Kunci kondisi ABAC untuk AWS KMS

Untuk mengotorisasi akses ke kunci KMS berdasarkan tag dan aliasnya, gunakan kunci kondisi berikut dalam kebijakan kunci atau kebijakan IAM.

Kunci syarat ABAC Deskripsi Jenis kebijakan AWS KMS operasi
aws: ResourceTag Tag (kunci dan nilai) pada kunci KMS cocok dengan tag (kunci dan nilai) atau pola tag dalam kebijakan Khusus kebijakan IAM Operasi sumber daya utama KMS 2
aws:RequestTag/tag-kunci Tag (kunci dan nilai) dalam permintaan cocok dengan tag (kunci dan nilai) atau pola tag dalam kebijakan Kebijakan kunci dan kebijakan IAM1 TagResource, UntagResource
aws: TagKeys Kunci tag dalam permintaan cocok dengan kunci tag dalam kebijakan Kebijakan kunci dan kebijakan IAM1 TagResource, UntagResource
km: ResourceAliases Alias yang terkait dengan kunci KMS cocok dengan alias atau pola alias dalam kebijakan Khusus kebijakan IAM Operasi sumber daya utama KMS 2
km: RequestAlias Alias yang mewakili kunci KMS dalam permintaan cocok dengan pola alias atau alias dalam kebijakan. Kebijakan kunci dan kebijakan IAM1 Operasi kriptografi,, DescribeKeyGetPublicKey

1Kunci syarat yang dapat digunakan dalam kebijakan kunci juga dapat digunakan dalam kebijakan IAM, tetapi hanya jika kebijakan kunci mengizinkannya.

2 Operasi sumber daya kunci KMS adalah operasi yang diizinkan untuk kunci KMS tertentu. Untuk mengidentifikasi operasi sumber daya kunci KMS, dalam tabel AWS KMS izin, cari nilai kunci KMS di Resources kolom untuk operasi.

Misalnya, Anda dapat menggunakan kunci syarat ini untuk membuat kebijakan berikut.

  • Kebijakan IAM dengan kms:ResourceAliases itu memungkinkan izin untuk menggunakan kunci KMS dengan alias atau pola alias tertentu. Ini sedikit berbeda dari kebijakan yang mengandalkan tag: Meskipun Anda dapat menggunakan pola alias dalam kebijakan, setiap alias harus unik di Akun AWS dan Wilayah. Ini memungkinkan Anda menerapkan kebijakan ke kumpulan kunci KMS tertentu tanpa mencantumkan kunci kunci ARNs KMS dalam pernyataan kebijakan. Untuk menambah atau menghapus kunci KMS dari set, ubah alias tombol KMS.

  • Kebijakan kunci dengan kms:RequestAlias itu memungkinkan prinsipal untuk menggunakan kunci KMS dalam Encrypt operasi, tetapi hanya ketika Encrypt permintaan menggunakan alias tersebut untuk mengidentifikasi kunci KMS.

  • Kebijakan IAM dengan aws:ResourceTag/tag-key itu menolak izin untuk menggunakan kunci KMS dengan kunci tag dan nilai tag tertentu. Ini memungkinkan Anda menerapkan kebijakan ke kumpulan kunci KMS tertentu tanpa mencantumkan kunci kunci ARNs KMS dalam pernyataan kebijakan. Untuk menambah atau menghapus kunci KMS dari set, tag atau untag kunci KMS.

  • Kebijakan IAM dengan aws:RequestTag/tag-key itu memungkinkan prinsipal untuk menghapus hanya "Purpose"="Test" tag kunci KMS.

  • Kebijakan IAM dengan aws:TagKeys itu menolak izin untuk menandai atau menghapus tag kunci KMS dengan kunci tag. Restricted

ABAC menjadikan manajemen akses fleksibel dan dapat diskalakan. Misalnya, Anda dapat menggunakan kunci aws:ResourceTag/tag-key kondisi untuk membuat kebijakan IAM yang memungkinkan prinsipal menggunakan kunci KMS untuk operasi tertentu hanya jika kunci KMS memiliki tag. Purpose=Test Kebijakan ini berlaku untuk semua kunci KMS di seluruh Wilayah. Akun AWS

Saat dilampirkan ke pengguna atau peran, kebijakan IAM berikut memungkinkan prinsipal untuk menggunakan semua kunci KMS yang ada dengan Purpose=Test tag untuk operasi yang ditentukan. Untuk menyediakan akses ini ke kunci KMS baru atau yang sudah ada, Anda tidak perlu mengubah kebijakan. Cukup lampirkan Purpose=Test tag ke tombol KMS. Demikian pula, untuk menghapus akses ini dari kunci KMS dengan Purpose=Test tag, edit atau hapus tag. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AliasBasedIAMPolicy",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Purpose": "Test"
        }
      }
    }
  ]
}

Namun, jika Anda menggunakan fitur ini, hati-hati saat mengelola tag dan alias. Menambahkan, mengubah, atau menghapus tag atau alias dapat secara tidak sengaja mengizinkan atau menolak akses ke kunci KMS. Administrator kunci yang tidak memiliki izin untuk mengubah kebijakan kunci atau membuat hibah dapat mengontrol akses ke kunci KMS jika mereka memiliki izin untuk mengelola tag dan alias. Untuk mengurangi risiko ini, pertimbangkan membatasi izin untuk mengelola tag dan alias. Misalnya, Anda mungkin ingin hanya mengizinkan perwakilan terpilih yang dapat mengelola tag Purpose=Test. Untuk detailnya, lihat Gunakan alias untuk mengontrol akses ke tombol KMS dan Gunakan tag untuk mengontrol akses ke tombol KMS.

Tag atau alias?

AWS KMS mendukung ABAC dengan tag dan alias. Kedua opsi ini menyediakan strategi kontrol akses yang fleksibel dan dapat diskalakan, tetapi keduanya sedikit berbeda satu sama lain.

Anda mungkin memutuskan untuk menggunakan tag atau menggunakan alias berdasarkan pola AWS penggunaan khusus Anda. Misalnya, jika Anda telah memberikan izin penandaan kepada sebagian besar administrator, mungkin akan lebih mudah untuk mengontrol strategi otorisasi berdasarkan alias. Atau, jika Anda mendekati kuota alias per kunci KMS, Anda mungkin lebih memilih strategi otorisasi berdasarkan tag.

Manfaat berikut adalah kepentingan umum.

Manfaat kontrol akses berbasis tag

  • Mekanisme otorisasi yang sama untuk berbagai jenis AWS sumber daya.

    Anda dapat menggunakan tag atau kunci tag yang sama untuk mengontrol akses ke beberapa jenis sumber daya, seperti klaster Amazon Relational Database Service (Amazon RDS), volume Amazon Elastic Block Store (Amazon EBS) Block Store (Amazon EBS), dan kunci KMS. Fitur ini mengaktifkan beberapa model otorisasi yang berbeda yang lebih fleksibel dari kontrol akses berbasis peran tradisional.

  • Otorisasi akses ke sekelompok kunci KMS.

    Anda dapat menggunakan tag untuk mengelola akses ke sekelompok kunci KMS yang sama Akun AWS dan Wilayah. Tetapkan tag atau kunci tag yang sama ke kunci KMS yang Anda pilih. Kemudian buat pernyataan easy-to-maintain kebijakan sederhana yang didasarkan pada tag atau kunci tag. Untuk menambah atau menghapus kunci KMS dari grup otorisasi Anda, tambahkan atau hapus tag; Anda tidak perlu mengedit kebijakan.

Manfaat kontrol akses berbasis alias

  • Otorisasi akses ke operasi kriptografi berdasarkan alias.

    Sebagian besar kondisi kebijakan berbasis permintaan untuk atribut, termasuk aws:RequestTag/tag-key, hanya memengaruhi operasi yang menambahkan, mengedit, atau menghapus atribut. Tetapi kms: RequestAlias condition key mengontrol akses ke operasi kriptografi berdasarkan alias yang digunakan untuk mengidentifikasi kunci KMS dalam permintaan. Misalnya, Anda dapat memberikan izin utama untuk menggunakan kunci KMS dalam Encrypt operasi tetapi hanya jika nilai KeyId parameternyaalias/restricted-key-1. Untuk memenuhi syarat ini, Anda memerlukan semua hal berikut:

    • Kunci KMS harus dikaitkan dengan alias itu.

    • Permintaan harus menggunakan alias untuk mengidentifikasi kunci KMS.

    • Kepala sekolah harus memiliki izin untuk menggunakan kunci KMS sesuai dengan kms:RequestAlias kondisi tersebut.

    Ini sangat berguna jika aplikasi Anda biasanya menggunakan nama alias atau alias ARNs untuk merujuk ke kunci KMS.

  • Berikan izin yang sangat terbatas.

    Alias harus unik di wilayah Akun AWS dan. Akibatnya, memberi prinsipal akses ke kunci KMS berdasarkan alias bisa jauh lebih membatasi daripada memberi mereka akses berdasarkan tag. Tidak seperti alias, tag dapat ditetapkan ke beberapa kunci KMS di akun dan Wilayah yang sama. Jika Anda memilih, Anda dapat menggunakan pola alias, sepertialias/test*, untuk memberikan akses prinsipal ke sekelompok kunci KMS di akun dan Wilayah yang sama. Namun, mengizinkan atau menolak akses ke alias tertentu memungkinkan kontrol yang sangat ketat pada kunci KMS.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.