AWS kunci kondisi global - AWS Key Management Service
Menggunakan syarat alamat IPMenggunakan VPC dan kondisi VPC titik akhir

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kunci kondisi global

AWS mendefinisikan kunci kondisi global, sekumpulan kunci kondisi kebijakan untuk semua AWS layanan yang digunakan IAM untuk kontrol akses. AWS KMS mendukung semua kunci kondisi global. Anda dapat menggunakannya dalam kebijakan dan IAM kebijakan AWS KMS utama.

Misalnya, Anda dapat menggunakan kunci kondisi PrincipalArn global aws: untuk mengizinkan akses ke AWS KMS key (KMSkey) hanya jika prinsipal dalam permintaan diwakili oleh Amazon Resource Name (ARN) dalam nilai kunci kondisi. Untuk mendukung kontrol akses berbasis atribut (ABAC) di AWS KMS, Anda dapat menggunakan kunci kondisi global aws:ResourceTag/tag-key dalam IAM kebijakan untuk mengizinkan akses ke KMS kunci dengan tag tertentu.

Untuk membantu mencegah AWS layanan digunakan sebagai wakil yang bingung dalam kebijakan di mana prinsipal adalah kepala AWS layanan, Anda dapat menggunakan aws:SourceArn atau aws:SourceAccountkunci kondisi global. Untuk detailnya, lihat Menggunakan aws:SourceArn atau aws:SourceAccount mengkondisikan kunci.

Untuk informasi tentang kunci kondisi AWS global, termasuk jenis permintaan yang tersedia, lihat Kunci Konteks Kondisi AWS Global di Panduan IAM Pengguna. Untuk contoh penggunaan kunci kondisi global dalam IAM kebijakan, lihat Mengontrol Akses ke Permintaan dan Mengontrol Kunci Tag di Panduan IAM Pengguna.

Topik berikut memberikan panduan khusus untuk menggunakan kunci kondisi berdasarkan alamat IP dan VPC titik akhir.

Menggunakan syarat alamat IP dalam kebijakan dengan izin AWS KMS

Anda dapat menggunakan AWS KMS untuk melindungi data Anda dalam AWS layanan terintegrasi. Tetapi berhati-hatilah saat menentukan operator kondisi alamat IP atau kunci aws:SourceIp kondisi dalam pernyataan kebijakan yang sama yang memungkinkan atau menolak akses ke. AWS KMS Misalnya, kebijakan di AWS: Menolak Akses ke AWS Berdasarkan IP Sumber membatasi AWS tindakan ke permintaan dari rentang IP yang ditentukan.

Pertimbangkan skenario ini:

  1. Anda melampirkan kebijakan seperti yang ditampilkan di AWS: Denies Access to AWS Based on the Source IP ke IAM identitas. Anda menetapkan nilai kunci syarat aws:SourceIp ke rentang alamat IP untuk perusahaan pengguna. IAMIdentitas ini memiliki kebijakan lain yang dilampirkan yang memungkinkannya menggunakan AmazonEBS, AmazonEC2, dan AWS KMS.

  2. Identitas mencoba untuk melampirkan EBS volume terenkripsi ke sebuah EC2 instance. Tindakan ini gagal dengan kesalahan otorisasi meskipun pengguna memiliki izin untuk menggunakan semua layanan yang relevan.

Langkah 2 gagal karena permintaan AWS KMS untuk mendekripsi kunci data terenkripsi volume berasal dari alamat IP yang terkait dengan infrastruktur Amazon. EC2 Agar berhasil, permintaan harus berasal dari alamat IP pengguna asal. Karena kebijakan pada langkah 1 secara eksplisit menolak semua permintaan dari alamat IP selain yang ditentukan, Amazon ditolak EC2 izinnya untuk mendekripsi kunci data terenkripsi EBS volume.

Juga, kunci aws:sourceIP kondisi tidak efektif ketika permintaan berasal dari VPCtitik akhir Amazon. Untuk membatasi permintaan ke VPC titik akhir, termasuk AWS KMS VPCtitik akhir, gunakan kunci aws:sourceVpce atau aws:sourceVpc kondisi. Untuk informasi selengkapnya, lihat VPCTitik Akhir - Mengontrol Penggunaan Titik Akhir di VPCPanduan Pengguna Amazon.

Menggunakan kondisi VPC titik akhir dalam kebijakan dengan izin AWS KMS

AWS KMS mendukung titik akhir Amazon Virtual Private Cloud (AmazonVPC) yang didukung oleh AWS PrivateLink. Anda dapat menggunakan kunci kondisi global berikut dalam kebijakan dan IAM kebijakan utama untuk mengontrol akses ke AWS KMS sumber daya saat permintaan berasal dari VPC atau menggunakan VPC titik akhir. Untuk detailnya, lihat Gunakan VPC titik akhir untuk mengontrol akses ke sumber daya AWS KMS.

  • aws:SourceVpcmembatasi akses ke permintaan dari yang ditentukanVPC.

  • aws:SourceVpcemembatasi akses ke permintaan dari VPC titik akhir yang ditentukan.

Jika Anda menggunakan tombol kondisi ini untuk mengontrol akses ke KMS kunci, Anda mungkin secara tidak sengaja menolak akses ke AWS layanan yang digunakan AWS KMS atas nama Anda.

Berhati-hatilah untuk menghindari situasi seperti contoh kunci syarat alamat IP. Jika Anda membatasi permintaan KMS kunci ke VPC titik akhir VPC atau titik akhir, panggilan ke AWS KMS dari layanan terintegrasi, seperti Amazon S3 atau EBS Amazon, mungkin gagal. Ini dapat terjadi bahkan jika permintaan sumber pada akhirnya berasal dari VPC atau dari titik VPC akhir.