Praktik terbaik untuk AWS KMS hibah - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk AWS KMS hibah

AWS KMS merekomendasikan praktik terbaik berikut saat membuat, menggunakan, dan mengelola hibah.

  • Batasi izin dalam hibah kepada yang dibutuhkan oleh prinsipal penerima hibah. Gunakan prinsip akses yang paling tidak istimewa.

  • Gunakan prinsipal penerima hibah tertentu, seperti peran IAM, dan berikan izin utama penerima hibah untuk hanya menggunakan operasi API yang mereka butuhkan.

  • Gunakan batasan hibah konteks enkripsi untuk memastikan bahwa penelepon menggunakan kunci KMS untuk tujuan yang dimaksud. Untuk detail tentang cara menggunakan konteks enkripsi dalam permintaan untuk mengamankan data Anda, lihat Cara Melindungi Integritas Data Terenkripsi Anda dengan Menggunakan AWS Key Management Service dan EncryptionContext di Blog AWS Keamanan.

    Tip

    Gunakan batasan EncryptionContextEqualhibah bila memungkinkan. Kendala EncryptionContextSubsethibah lebih sulit digunakan dengan benar. Jika Anda perlu menggunakannya, baca dokumentasi dengan seksama dan uji batasan hibah untuk memastikannya berfungsi sebagaimana dimaksud.

  • Hapus hibah duplikat. Hibah duplikat memiliki ARN kunci yang sama, tindakan API, prinsipal penerima hibah, konteks enkripsi, dan nama. Jika Anda pensiun atau mencabut hibah asli tetapi meninggalkan duplikat, sisa hibah duplikat merupakan eskalasi hak istimewa yang tidak diinginkan. Untuk menghindari duplikasi hibah saat mencoba kembali CreateGrant permintaan, gunakan parameter. Name Untuk mendeteksi hibah duplikat, gunakan operasi. ListGrants Jika Anda secara tidak sengaja membuat hibah duplikat, pensiun atau cabut sesegera mungkin.

    catatan

    Hibah untuk kunci AWS terkelola mungkin terlihat seperti duplikat tetapi memiliki prinsip penerima hibah yang berbeda.

    Kolom GranteePrincipal dalam respons ListGrants biasanya berisi perwakilan penerima pemberian izin. Namun, ketika pokok penerima hibah dalam hibah adalah AWS layanan, GranteePrincipal bidang tersebut berisi pokok layanan, yang mungkin mewakili beberapa prinsip penerima hibah yang berbeda.

  • Ingatlah bahwa hibah tidak secara otomatis kedaluwarsa. Pensiun atau cabut hibah segera setelah izin tidak lagi diperlukan. Hibah yang tidak dihapus dapat menimbulkan risiko keamanan untuk sumber daya terenkripsi.