KMSakses kunci dan izin - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

KMSakses kunci dan izin

Untuk menggunakannya AWS KMS, Anda harus memiliki kredensi yang AWS dapat digunakan untuk mengautentikasi permintaan Anda. Kredensialnya harus menyertakan izin untuk mengakses AWS sumber daya: AWS KMS keys dan alias. Tidak ada AWS prinsipal yang memiliki izin untuk KMS kunci kecuali izin tersebut diberikan secara eksplisit dan tidak pernah ditolak. Tidak ada izin implisit atau otomatis untuk menggunakan atau mengelola KMS kunci.

Untuk mengontrol akses ke KMS kunci Anda, Anda dapat menggunakan mekanisme kebijakan berikut.

  • Kebijakan kunci — Setiap KMS kunci memiliki kebijakan kunci. Ini adalah mekanisme utama untuk mengendalikan akses ke KMS kunci. Anda dapat menggunakan kebijakan kunci sendiri untuk mengontrol akses, yang berarti cakupan penuh akses ke KMS kunci ditentukan dalam satu dokumen (kebijakan kunci). Untuk informasi selengkapnya tentang cara menggunakan kebijakan kunci, lihat Kebijakan utama.

  • IAMkebijakan — Anda dapat menggunakan IAM kebijakan dalam kombinasi dengan kebijakan utama dan hibah untuk mengontrol akses ke KMS kunci. Mengontrol akses dengan cara ini memungkinkan Anda mengelola semua izin untuk IAM identitas Anda. IAM Untuk menggunakan IAM kebijakan untuk mengizinkan akses ke KMS kunci, kebijakan kunci harus secara eksplisit mengizinkannya. Untuk informasi selengkapnya tentang penggunaan IAM kebijakan, lihatKebijakan IAM.

  • Hibah — Anda dapat menggunakan hibah dalam kombinasi dengan kebijakan dan IAM kebijakan utama untuk mengizinkan akses ke kunci. KMS Mengontrol akses dengan cara ini memungkinkan Anda mengizinkan akses ke KMS kunci dalam kebijakan kunci, dan mengizinkan identitas mendelegasikan akses mereka ke orang lain. Untuk informasi selengkapnya tentang cara menggunakan izin, lihat Hibah di AWS KMS.

KMSkebijakan utama

Cara utama untuk mengelola akses ke AWS KMS sumber daya Anda adalah dengan kebijakan. Kebijakan adalah dokumen yang menjelaskan prinsip mana yang dapat mengakses sumber daya mana. Kebijakan yang melekat pada IAM identitas disebut kebijakan berbasis identitas (atau kebijakan), dan IAMkebijakan yang melekat pada jenis sumber daya lainnya disebut kebijakan sumber daya. AWS KMS kebijakan sumber daya untuk KMS kunci disebut kebijakan kunci.

Semua KMS kunci memiliki kebijakan utama. Jika Anda tidak menyediakannya, AWS KMS buatlah satu untuk Anda. Kebijakan kunci default yang AWS KMS menggunakan berbeda tergantung pada apakah Anda membuat kunci di AWS KMS konsol atau Anda menggunakan AWS KMS API. Sebaiknya Anda mengedit kebijakan kunci default agar selaras dengan persyaratan organisasi Anda untuk izin hak istimewa paling sedikit.

Anda dapat menggunakan kebijakan kunci sendiri untuk mengontrol akses jika kunci dan IAM prinsipal berada di AWS akun yang sama, yang berarti cakupan penuh akses ke KMS kunci ditentukan dalam satu dokumen (kebijakan kunci). Namun, ketika penelepon di satu akun harus mengakses kunci di akun yang berbeda, Anda tidak dapat menggunakan kebijakan kunci sendiri untuk memberikan akses. Dalam skenario lintas akun, IAM kebijakan harus dilampirkan ke pengguna atau peran pemanggil yang secara eksplisit memungkinkan pemanggil untuk melakukan panggilan. API

Anda juga dapat menggunakan IAM kebijakan dalam kombinasi dengan kebijakan utama dan hibah untuk mengontrol akses ke KMS kunci. Untuk menggunakan IAM kebijakan untuk mengontrol akses ke KMS kunci, kebijakan kunci harus memberikan izin akun untuk menggunakan IAM kebijakan. Anda dapat menentukan pernyataan kebijakan kunci yang mengaktifkan IAM kebijakan, atau Anda dapat secara eksplisit menentukan prinsip yang diizinkan dalam kebijakan utama.

Saat menulis kebijakan, pastikan Anda memiliki kontrol kuat yang membatasi siapa yang dapat melakukan tindakan berikut:

  • Perbarui, buat, IAM dan hapus serta kebijakan KMS utama

  • Melampirkan dan melepaskan IAM kebijakan dari pengguna, peran, dan grup

  • Pasang dan lepaskan kebijakan KMS kunci dari kunci Anda KMS

KMShibah kunci

Selain IAM dan kebijakan utama, AWS KMS mendukung hibah. Hibah menyediakan cara yang fleksibel dan ampuh untuk mendelegasikan izin. Anda dapat menggunakan hibah untuk mengeluarkan akses KMS kunci terikat waktu ke IAM kepala sekolah di akun Anda, atau di AWS akun lain. AWS Kami merekomendasikan untuk mengeluarkan akses terikat waktu jika Anda tidak mengetahui nama prinsipal pada saat kebijakan dibuat, atau jika prinsip yang memerlukan akses sering berubah. Prinsipal penerima hibah dapat berada di akun yang sama dengan KMS kunci atau akun yang berbeda. Jika prinsipal dan KMS kunci berada di akun yang berbeda, maka Anda harus menentukan IAM kebijakan selain hibah. Hibah memerlukan manajemen tambahan karena Anda harus memanggil API untuk membuat hibah dan untuk pensiun atau mencabut hibah ketika tidak lagi diperlukan.

Topik berikut memberikan detail tentang bagaimana Anda dapat menggunakan AWS Identity and Access Management (IAM) dan AWS KMS izin untuk membantu mengamankan sumber daya Anda dengan mengontrol siapa yang dapat mengaksesnya.