Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Kontrol akses ke toko AWS CloudHSM kunci Anda

PDF
RSS
Mode fokus
Kontrol akses ke toko AWS CloudHSM kunci Anda - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda menggunakan kebijakan IAM untuk mengontrol akses ke penyimpanan AWS CloudHSM kunci dan AWS CloudHSM klaster Anda. Anda dapat menggunakan kebijakan utama, kebijakan IAM, dan hibah untuk mengontrol akses ke toko AWS KMS keys AWS CloudHSM kunci Anda. Sebaiknya Anda menyediakan pengguna, grup, dan peran izin yang hanya mereka perlukan untuk tugas-tugas yang sangat mungkin akan mereka lakukan.

Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan di Anda. Akun AWS Untuk informasi selengkapnya, lihat Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2 .

Saat mendesain toko AWS CloudHSM kunci Anda, pastikan bahwa kepala sekolah yang menggunakan dan mengelolanya hanya memiliki izin yang mereka butuhkan. Daftar berikut menjelaskan izin minimum yang diperlukan untuk pengelola dan pengguna toko AWS CloudHSM utama.

  • Prinsipal yang membuat dan mengelola toko AWS CloudHSM kunci Anda memerlukan izin berikut untuk menggunakan operasi API penyimpanan AWS CloudHSM kunci.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • Prinsipal yang membuat dan mengelola AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda memerlukan izin untuk membuat dan menginisialisasi cluster. AWS CloudHSM Ini termasuk izin untuk membuat atau menggunakan Amazon Virtual Private Cloud (VPC), membuat subnet, dan membuat instance Amazon. EC2 Mereka mungkin juga perlu membuat dan menghapus HSMs, dan mengelola cadangan. Untuk daftar izin yang diperlukan, lihat Identitas dan manajemen akses AWS CloudHSM di Panduan AWS CloudHSM Pengguna.

  • Prinsipal yang membuat dan mengelola AWS KMS keys di toko AWS CloudHSM kunci Anda memerlukan izin yang sama dengan mereka yang membuat dan mengelola kunci KMS apa pun. AWS KMSKebijakan kunci default untuk kunci KMS di penyimpanan AWS CloudHSM kunci identik dengan kebijakan kunci default untuk kunci KMS di. AWS KMSAttribute-based access control (ABAC), yang menggunakan tag dan alias untuk mengontrol akses ke kunci KMS, juga efektif pada kunci KMS di toko-toko utama. AWS CloudHSM

  • Prinsipal yang menggunakan kunci KMS di toko AWS CloudHSM kunci Anda untuk operasi kriptografi memerlukan izin untuk melakukan operasi kriptografi dengan kunci KMS, seperti KMS: Decrypt. Anda dapat memberikan izin ini dalam kebijakan utama, kebijakan IAM. Tapi, mereka tidak memerlukan izin tambahan untuk menggunakan kunci KMS di toko AWS CloudHSM kunci.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.