Mengontrol akses ke alias - AWS Key Management Service
km: CreateAliaskm: ListAliaseskm: UpdateAliaskm: DeleteAliasMembatasi izin alias

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses ke alias

Saat Anda membuat atau mengubah alias, Anda memengaruhi alias dan kunci yang terkaitKMS. Oleh karena itu, kepala sekolah yang mengelola alias harus memiliki izin untuk memanggil operasi alias pada alias dan pada semua kunci yang terpengaruh. KMS Anda dapat memberikan izin ini dengan menggunakan kebijakan, IAMkebijakan, dan hibah utama.

catatan

Berhati-hatilah saat memberikan izin prinsipal untuk mengelola tanda dan alias. Mengubah tag atau alias dapat mengizinkan atau menolak izin ke kunci yang dikelola pelanggan. Untuk detailnya, lihat ABACuntuk AWS KMS dan Gunakan alias untuk mengontrol akses ke kunci KMS.

Untuk informasi tentang mengontrol akses ke semua AWS KMS operasi, lihatReferensi izin.

Izin untuk membuat dan mengelola alias bekerja sebagai berikut.

km: CreateAlias

Untuk membuat alias, prinsipal memerlukan izin berikut untuk alias dan kunci terkait. KMS

  • kms:CreateAlias untuk alias. Berikan izin ini dalam IAM kebijakan yang dilampirkan pada kepala sekolah yang diizinkan untuk membuat alias.

    Contoh pernyataan kebijakan berikut menentukan alias tertentu dalam elemen Resource. Tetapi Anda dapat membuat daftar beberapa alias ARNs atau menentukan pola alias, seperti “test*”. Anda juga dapat menentukan nilai Resource dari "*" untuk mengizinkan prinsipal untuk membuat alias apa pun di akun dan Wilayah. Izin untuk membuat alias juga dapat dimasukkan dalam izin kms:Create* untuk semua sumber daya di akun dan Wilayah.

    {
  "Sid": "IAMPolicyForAnAlias",
  "Effect": "Allow",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}

  • kms:CreateAliasuntuk KMS kuncinya. Izin ini harus diberikan dalam kebijakan kunci atau dalam IAM kebijakan yang didelegasikan dari kebijakan utama. 

    {
  "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
  "Action": [
    "kms:CreateAlias",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

Anda dapat menggunakan tombol kondisi untuk membatasi KMS kunci yang dapat Anda kaitkan dengan alias. Misalnya, Anda dapat menggunakan kms: KeySpec condition key untuk mengizinkan prinsipal membuat alias hanya pada kunci asimetrisKMS. Untuk daftar lengkap kunci kondisi yang dapat Anda gunakan untuk membatasi kms:CreateAlias izin pada sumber daya KMS utama, lihatAWS KMS izin.

km: ListAliases

Untuk membuat daftar alias di akun dan Wilayah, kepala sekolah harus memiliki kms:ListAliases izin dalam suatu IAM kebijakan. Karena kebijakan ini tidak terkait dengan KMS kunci atau sumber daya alias tertentu, nilai elemen sumber daya dalam kebijakan harus "*".

Misalnya, pernyataan IAM kebijakan berikut memberikan izin utama untuk mencantumkan semua KMS kunci dan alias di akun dan Wilayah.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

km: UpdateAlias

Untuk mengubah KMS kunci yang terkait dengan alias, prinsipal membutuhkan tiga elemen izin: satu untuk alias, satu untuk KMS kunci saat ini, dan satu untuk kunci baruKMS.

Misalnya, Anda ingin mengubah test-key alias dari kunci dengan ID kunci 1234abcd-12ab-34cd-56ef-1234567890ab ke KMS kunci dengan ID kunci 0987dcba-09fe-87dc-65ba-ab0987654321. KMS Dalam hal ini, sertakan pernyataan kebijakan yang serupa dengan contoh pada bagian ini.

  • kms:UpdateAlias untuk alias. Anda memberikan izin ini dalam IAM kebijakan yang dilampirkan pada kepala sekolah. IAMKebijakan berikut menentukan alias tertentu. Tetapi Anda dapat membuat daftar beberapa alias ARNs atau menentukan pola alias, seperti. "test*" Anda juga dapat menentukan nilai Resource dari "*" untuk mengizinkan prinsipal untuk memperbarui alias apa pun di akun dan Wilayah.

    {
  "Sid": "IAMPolicyForAnAlias",
  "Effect": "Allow",
  "Action": [
    "kms:UpdateAlias",
    "kms:ListAliases",
    "kms:ListKeys"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}

  • kms:UpdateAliasuntuk KMS kunci yang saat ini dikaitkan dengan alias. Izin ini harus diberikan dalam kebijakan kunci atau dalam IAM kebijakan yang didelegasikan dari kebijakan utama.

    {
  "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
  "Action": [
    "kms:UpdateAlias",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

  • kms:UpdateAliasuntuk KMS kunci yang diasosiasikan operasi dengan alias. Izin ini harus diberikan dalam kebijakan kunci atau dalam IAM kebijakan yang didelegasikan dari kebijakan utama.

    {
  "Sid": "Key policy for 0987dcba-09fe-87dc-65ba-ab0987654321",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
  "Action": [
    "kms:UpdateAlias", 
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

Anda dapat menggunakan tombol kondisi untuk membatasi salah satu atau kedua KMS kunci dalam suatu UpdateAlias operasi. Misalnya, Anda dapat menggunakan kms: ResourceAliases condition key untuk mengizinkan prinsipal memperbarui alias hanya ketika KMS kunci target sudah memiliki alias tertentu. Untuk daftar lengkap kunci kondisi yang dapat Anda gunakan untuk membatasi kms:UpdateAlias izin pada sumber daya KMS kunci, lihatAWS KMS izin.

km: DeleteAlias

Untuk menghapus alias, prinsipal memerlukan izin untuk alias dan untuk kunci terkaitKMS.

Seperti biasa, Anda harus berhati-hati saat memberikan izin kepada pengguna utama untuk menghapus sumber daya. Namun, menghapus alias tidak berpengaruh pada kunci terkaitKMS. Meskipun mungkin menyebabkan kegagalan dalam aplikasi yang bergantung pada alias, jika Anda tidak sengaja menghapus alias, Anda dapat membuatnya kembali.

  • kms:DeleteAlias untuk alias. Berikan izin ini dalam IAM kebijakan yang dilampirkan pada kepala sekolah yang diizinkan untuk menghapus alias.

    Contoh pernyataan kebijakan berikut menentukan alias dalam elemen. Resource Tetapi Anda dapat membuat daftar beberapa alias ARNs atau menentukan pola alias, seperti"test*", Anda juga dapat menentukan Resource nilai "*" untuk memungkinkan prinsipal menghapus alias apa pun di akun dan Wilayah.

    {
  "Sid": "IAMPolicyForAnAlias",
  "Effect": "Allow",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}

  • kms:DeleteAliasuntuk KMS kunci yang terkait. Izin ini harus diberikan dalam kebijakan kunci atau dalam IAM kebijakan yang didelegasikan dari kebijakan utama.

    {
  "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"
  },
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

Membatasi izin alias

Anda dapat menggunakan tombol kondisi untuk membatasi izin alias ketika sumber daya adalah KMS kunci. Misalnya, IAM kebijakan berikut memungkinkan operasi alias pada KMS kunci di akun dan Wilayah tertentu. Namun, ia menggunakan kunci KeyOrigin kondisi kms: untuk membatasi izin lebih lanjut ke KMS kunci dengan materi kunci dari. AWS KMS

Untuk daftar lengkap kunci kondisi yang dapat Anda gunakan untuk membatasi izin alias pada sumber daya KMS kunci, lihatAWS KMS izin.

{
  "Sid": "IAMPolicyKeyPermissions",
  "Effect": "Allow",
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "AWS_KMS"
    }
  }  
}

Anda tidak dapat menggunakan kunci kondisi dalam pernyataan kebijakan di mana sumber daya adalah alias. Untuk membatasi alias yang dapat dikelola oleh prinsipal, gunakan nilai Resource elemen pernyataan IAM kebijakan yang mengontrol akses ke alias. Misalnya, pernyataan kebijakan berikut memungkinkan prinsipal untuk membuat, memperbarui, atau menghapus alias apa pun di Akun AWS dan Wilayah kecuali alias dimulai dengan. Restricted

{
  "Sid": "IAMPolicyForAnAliasAllow",
  "Effect": "Allow",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/*"
},
{
  "Sid": "IAMPolicyForAnAliasDeny",
  "Effect": "Deny",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/Restricted*"
}