RBACuntuk AWS KMS - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

RBACuntuk AWS KMS

Role-based access control (RBAC) adalah strategi otorisasi yang hanya memberi pengguna izin yang diperlukan untuk melakukan tugas pekerjaan mereka, dan tidak lebih. AWS KMS mendukung RBAC dengan memungkinkan Anda mengontrol akses ke kunci Anda dengan menentukan izin terperinci tentang penggunaan kunci dalam kebijakan utama. Kebijakan kunci menentukan sumber daya, tindakan, efek, prinsip, dan kondisi opsional untuk memberikan akses ke kunci.

Untuk RBAC mengimplementasikannya AWS KMS, sebaiknya pisahkan izin untuk pengguna kunci dan administrator kunci.

Key users

Contoh kebijakan kunci berikut memungkinkan ExampleUserRole IAM peran untuk menggunakan KMS kunci.

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

Pengguna kunci Anda mungkin memerlukan izin yang lebih sedikit daripada pengguna dalam contoh ini. Hanya tetapkan izin yang dibutuhkan pengguna. Gunakan pertanyaan berikut untuk membantu Anda menyempurnakan izin lebih lanjut.

  • IAMPrinsipal (peran atau pengguna) mana yang membutuhkan akses ke kunci?

  • Tindakan apa yang harus dilakukan setiap kepala sekolah dengan kunci? Misalnya, apakah prinsipal hanya memerlukan izin Enkripsi dan Tanda tangani?

  • Apakah pengguna itu manusia atau AWS layanan? Jika ini adalah AWS layanan, Anda dapat menggunakan kunci kondisi untuk membatasi penggunaan kunci ke AWS layanan tertentu.

Key administrators

Contoh kebijakan kunci berikut memungkinkan ExampleAdminRole IAM peran untuk mengelola KMS kunci. 

{
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleAdminRole"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
    }

Administrator kunci Anda mungkin memerlukan izin yang lebih sedikit daripada administrator dalam contoh ini. Hanya tetapkan izin yang dibutuhkan administrator kunci Anda.

Hanya berikan pengguna izin yang mereka butuhkan untuk memenuhi peran mereka. Izin pengguna dapat bervariasi tergantung pada apakah kunci digunakan dalam lingkungan pengujian atau produksi. Jika Anda menggunakan izin yang tidak terlalu ketat di lingkungan non-produksi tertentu, terapkan proses untuk menguji kebijakan sebelum dirilis ke produksi.

Pelajari selengkapnya