Mengontrol akses ke kunci multi-Wilayah - AWS Key Management Service
Basic otorisasi untuk kunci multi-WilayahMengotorisasi administrator dan pengguna kunci multi-WilayahMengotorisasi AWS KMS untuk menyinkronkan kunci multi-Wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses ke kunci multi-Wilayah

Anda dapat menggunakan kunci multi-Wilayah sesuai dengan kepatuhan, pemulihan bencana, dan skenario backup yang akan lebih kompleks dengan kunci Wilayah tunggal. Namun, karena properti keamanan dari kunci multi-wilayah secara signifikan berbeda dengan kunci Wilayah tunggal, kami merekomendasikan sebaiknya berhati-hati saat mengotorisasi pembuatan, manajemen, dan penggunaan kunci multi-Wilayah.

catatan

Pernyataan kebijakan IAM yang ada dengan karakter wildcard di Resource bidang sekarang berlaku untuk kunci Single-region dan Multi-region. Untuk membatasi mereka ke kunci KMS wilayah tunggal atau kunci Multi-wilayah, gunakan kunci kondisi kms:. MultiRegion

Gunakan alat otorisasi Anda untuk mencegah pembuatan dan penggunaan kunci multi-Wilayah dalam skenario apa pun di mana Wilayah tunggal saja cukup. Izinkan perwakilan untuk mereplikasi kunci multi-Wilayah hanya keWilayah AWS yang membutuhkannya. Berikan izin kunci multi-Wilayah hanya kepada perwakilan yang membutuhkan dan hanya untuk tugas-tugas yang memerlukannya.

Anda dapat menggunakan kebijakan kunci, kebijakan IAM, dan izin untuk mengizinkan perwakilan IAM mengelola dan menggunakan kunci multi-Wilayah di Akun AWS Anda. Setiap kunci multi-Wilayah adalah sumber daya independen dengan ARN dan kebijakan kunci yang unik. Anda perlu menetapkan dan memelihara kebijakan kunci untuk setiap kunci dan memastikan bahwa kebijakan IAM baru maupun yang sudah ada menerapkan strategi otorisasi Anda.

Basic otorisasi untuk kunci multi-Wilayah

Ketika merancang kebijakan kunci dan kebijakan IAM untuk kunci multi-Wilayah, pertimbangkan prinsip-prinsip berikut.

  • Kebijakan utama - Setiap kunci Multi-wilayah adalah sumber daya kunci KMS independen dengan kebijakan utamanya sendiri. Anda dapat menerapkan kebijakan kunci yang sama maupun berbeda untuk setiap kunci dari kumpulan kunci multi-Wilayah terkait. Kebijakan kunci bukan properti bersama dari kunci multi-Wilayah. AWS KMS tidak menyalin atau menyinkronkan kebijakan kunci di antara kunci multi-Wilayah terkait.

    Ketika Anda membuat kunci replika di konsol AWS KMS, konsol tersebut menampilkan kebijakan kunci dari kunci primer saat ini sebagai bentuk kenyamanan. Anda dapat menggunakan kebijakan kunci ini, mengeditnya, atau menghapus serta menggantinya. Tetapi bahkan jika Anda menerima kebijakan kunci primer yang tidak berubah, AWS KMS tidak menyinkronkan kebijakan. Sebagai contoh, jika Anda mengubah kebijakan kunci dari kunci primer, kebijakan kunci dari replika tetap sama.

  • Kebijakan kunci default — Saat Anda membuat kunci Multi-wilayah dengan menggunakan CreateKeydan ReplicateKey operasi, kebijakan kunci default diterapkan kecuali Anda menentukan kebijakan kunci dalam permintaan. Ini adalah kebijakan kunci default yang sama yang diterapkan untuk kunci wilayah tunggal.

  • Kebijakan IAM — Seperti semua kunci KMS, Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke kunci Multi-wilayah hanya jika kebijakan kunci mengizinkannya. Kebijakan IAM berlaku untuk semua Wilayah AWS secara default. Namun, Anda dapat menggunakan kunci kondisi, seperti aws: RequestedRegion, untuk membatasi izin ke Wilayah tertentu.

    Untuk membuat kunci primer dan replika, perwakilan harus memiliki izin kms:CreateKey dalam kebijakan IAM yang berlaku untuk wilayah di mana kunci dibuat.

  • IzinIzin AWS KMS bersifat Regional. Setiap hibah memungkinkan izin untuk satu kunci KMS. Anda dapat menggunakan izin untuk mengizinkan izin untuk kunci primer multi-wilayah atau kunci replika. Tetapi Anda tidak dapat menggunakan satu hibah untuk mengizinkan izin ke beberapa kunci KMS, bahkan jika itu adalah kunci Multi-wilayah terkait.

  • ARN kunci — Setiap kunci multi-Wilayah memiliki ARN kunci unik. Kunci ARN dari kunci multi-Wilayah terkait memiliki partisi, akun, dan ID kunci, tetapi dengan Wilayah yang berbeda.

    Guna menerapkan pernyataan kebijakan IAM untuk kunci multi-Wilayah tertentu, gunakan ARN kunci atau pola ARN kuncinya yang mencakup Wilayah. Untuk menerapkan pernyataan kebijakan IAM untuk semua kunci multi-wilayah terkait, menggunakan karakter kartubebas (*) dalam elemen Wilayah dari ARN, seperti yang ditunjukkan dalam contoh berikut.

    {
  "Effect": "Allow",  
  "Action": [
    "kms:Describe*",
    "kms:List*"
  ],
  "Resource": {
      "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
  }
}

    Untuk menerapkan pernyataan kebijakan ke semua kunci Multi-wilayah di AndaAkun AWS, Anda dapat menggunakan kondisi MultiRegion kebijakan kms: atau pola ID kunci yang menyertakan awalan khususmrk-.

  • Peran terkait layanan — Kepala sekolah yang membuat kunci utama Multi-wilayah harus memiliki izin iam:. CreateServiceLinkedRole

    Untuk menyinkronkan properti bersama dari kunci multi-Wilayah terkait, AWS KMS mengasumsikan peran yang tertaut ke layanan IAM. AWS KMS membuat peran yang tertaut ke layanan di Akun AWS setiap kali Anda membuat kunci primer multi-wilayah. (Jika perannya ada, AWS KMS akan membuatnya ulang, yang tidak memiliki efek berbahaya.) Peran ini berlaku di semua Wilayah. AWS KMSUntuk memungkinkan membuat (atau membuat ulang) peran terkait layanan, kepala sekolah yang membuat kunci utama Multi-wilayah harus memiliki izin iam:. CreateServiceLinkedRole

Mengotorisasi administrator dan pengguna kunci multi-Wilayah

Perwakilan yang membuat dan mengelola kunci multi-Wilayah memerlukan izin berikut di daerah primer dan replika:

  • kms:CreateKey

  • kms:ReplicateKey

  • kms:UpdatePrimaryRegion

  • iam:CreateServiceLinkedRole

Membuat kunci primer

Untuk membuat kunci primer Multi-wilayah, prinsipal memerlukan CreateServiceLinkedRole izin kms: CreateKey dan iam: dalam kebijakan IAM yang efektif di Region kunci primer. Prinsipal yang memiliki izin ini dapat membuat kunci Single-region dan Multi-region kecuali Anda membatasi izinnya.

iam:CreateServiceLinkedRoleIzin memungkinkan AWS KMS untuk membuat AWSServiceRoleForKeyManagementServiceMultiRegionKeysperan untuk menyinkronkan properti bersama kunci Multi-wilayah terkait.

Misalnya, kebijakan IAM ini memungkinkan prinsipal untuk membuat semua jenis kunci KMS.

{
  "Version": "2012-10-17",
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}

Untuk mengizinkan atau menolak izin membuat kunci utama Multi-wilayah, gunakan kunci MultiRegion kondisi kms:. Nilai yang valid adalah true (kunci multi-Wilayah) atau false (kunci Wilayah tunggal). Misalnya, pernyataan kebijakan IAM berikut menggunakan tindakan Deny dengan kunci syarat kms:MultiRegion untuk mencegah perwakilan membuat kunci multi-Wilayah. 

{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": "kms:MultiRegion": true
      }
  }
}

Mereplikasi kunci

Untuk membuat kunci replika multi-Wilayah, perwakilan memerlukan izin berikut:

Berhati-hatilah saat mengizinkan izin ini. Mereka memungkinkan prinsipal untuk membuat kunci KMS dan kebijakan utama yang mengotorisasi penggunaannya. Parameter izin kms:ReplicateKey juga mengizinkan transfer materi kunci di seluruh batas-batas Wilayah dalam AWS KMS.

Untuk membatasi Wilayah AWS di mana kunci Multi-region dapat direplikasi, gunakan kms: condition key. ReplicaRegion Kunci ini hanya akan membatasi izin kms:ReplicateKey. Jika tidak, kunci tidak berpengaruh. Misalnya, kebijakan kunci berikut mengizinkan perwakilan untuk mereplikasi kunci primer ini, tetapi hanya di Wilayah tertentu.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Memperbarui Wilayah primer

Perwakilan terotorisasi dapat mengkonversi kunci replika untuk kunci primer, yang mengubah kunci primer sebelumnya ke replika. Tindakan ini dikenal sebagai memperbarui Wilayah primer. Untuk memperbarui Wilayah utama, kepala sekolah membutuhkan kms: UpdatePrimaryRegion izin di kedua Wilayah. Anda dapat memberikan izin ini di kebijakan kunci atau IAM.

  • kms:UpdatePrimaryRegion pada kunci primer. Izin ini harus efektif di Wilayah kunci primer.

  • kms:UpdatePrimaryRegion pada kunci replika. Izin ini harus berlaku di Wilayah kunci replika.

Misalnya, kebijakan kunci berikut memberi pengguna yang dapat mengasumsikan izin peran Administrator untuk memperbarui Wilayah utama kunci KMS. Kunci KMS ini dapat menjadi kunci utama atau kunci replika dalam operasi ini.

{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}

Untuk membatasi kunci Wilayah AWS yang dapat meng-host kunci utama, gunakan kms: PrimaryRegion condition key. Misalnya, pernyataan kebijakan IAM berikut ini mengizinkan perwakilan untuk memperbarui Wilayah primer kunci multi-Wilayah di Akun AWS, tetapi hanya ketika Wilayah utama baru adalah salah satu dari Wilayah yang ditentukan.

{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}

Menggunakan dan mengelola kunci multi-Wilayah

Secara default, kepala sekolah yang memiliki izin untuk menggunakan dan mengelola kunci KMS di dan Wilayah juga memiliki izin untuk menggunakan Akun AWS dan mengelola kunci Multi-wilayah. Namun, Anda dapat menggunakan kms: MultiRegion condition key untuk mengizinkan hanya kunci Single-region atau hanya kunci Multi-region. Atau gunakan kunci MultiRegionKeyType kondisi kms: untuk mengizinkan hanya kunci utama Multi-wilayah atau hanya kunci replika. Kedua tombol kondisi mengontrol akses ke CreateKeyoperasi dan operasi apa pun yang menggunakan kunci KMS yang ada, seperti Enkripsi atau. EnableKey

Contoh pernyataan kebijakan IAM berikut menggunakan kunci syarat kms:MultiRegion untuk mencegah perwakilan menggunakan atau mengelola kunci multi-Wilayah apa pun.

{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}

Contoh pernyataan kebijakan IAM berikut menggunakan kunci syarat kms:MultiRegionKeyType untuk mengizinkan perwakilan menjadwalkan dan membatalkan penghapusan kunci, tetapi hanya pada kunci replika multi-Wilayah.

{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}

Mengotorisasi AWS KMS untuk menyinkronkan kunci multi-Wilayah

Untuk mensuport kunci multi-Wilayah, AWS KMS menggunakan peran terkait layanan IAM. Peran ini memberi AWS KMS izin yang dibutuhkan untuk menyinkronkan properti bersama. Anda dapat melihat SynchronizeMultiRegionKey CloudTrail peristiwa yang merekam AWS KMS sinkronisasi properti bersama di AWS CloudTrail log Anda.

Tentang peran yang tertaut ke layanan untuk kunci multi-Wilayah

Peran yang tertaut ke layanan adalah IAM role yang memberikan satu izin layanan AWS untuk memanggil layanan AWS lainnya atas nama Anda. Ini dirancang agar mempermudah Anda menggunakan fitur dari beberapa layanan AWS terintegrasi tanpa harus membuat dan memelihara kebijakan IAM yang kompleks.

Untuk kunci Multi-wilayah, AWS KMS buat peran AWSServiceRoleForKeyManagementServiceMultiRegionKeysterkait layanan dengan kebijakan. AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy Kebijakan ini memberi peran izin kms:SynchronizeMultiRegionKey, yang mengizinkannya untuk menyinkronkan properti bersama dari kunci multi-wilayah.

Karena peran AWSServiceRoleForKeyManagementServiceMultiRegionKeysterkait layanan hanya mempercayaimrk.kms.amazonaws.com, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang memerlukan AWS KMS menyinkronkan properti bersama multi-wilayah. Ini tidak memberikan AWS KMS izin tambahan apa pun. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mereplikasi, atau menghapus kunci KMS apa pun.

Untuk informasi lebih lanjut tentang cara layanan AWS menggunakan peran tertaut layanan, lihat Menggunakan Peran Tertaut Layanan dalam Panduan Pengguna IAM.

Membuat peran yang ditautkan ke layanan

AWS KMSsecara otomatis membuat peran AWSServiceRoleForKeyManagementServiceMultiRegionKeysterkait layanan di Akun AWS saat Anda membuat kunci Multi-wilayah, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung.

Mengedit deskripsi peran tertaut layanan

Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran AWSServiceRoleForKeyManagementServiceMultiRegionKeysterkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk informasi lebih lanjut, lihat Mengedit Peran Tertaut Layanan dalam Panduan Pengguna IAM.

Menghapus peran tertaut layanan

AWS KMStidak menghapus peran AWSServiceRoleForKeyManagementServiceMultiRegionKeysterkait layanan dari Anda Akun AWS dan Anda tidak dapat menghapusnya. Namun, AWS KMS tidak mengambil AWSServiceRoleForKeyManagementServiceMultiRegionKeysperan atau menggunakan salah satu izinnya kecuali Anda memiliki kunci Multi-wilayah di Akun AWS dan Wilayah Anda.