Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Gunakan tag untuk mengontrol akses ke tombol KMS

PDF
RSS
Mode fokus
Gunakan tag untuk mengontrol akses ke tombol KMS - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda dapat mengontrol akses AWS KMS keys berdasarkan tag pada tombol KMS. Misalnya, Anda dapat menulis kebijakan IAM yang memungkinkan prinsipal mengaktifkan dan menonaktifkan hanya kunci KMS yang memiliki tag tertentu. Atau Anda dapat menggunakan kebijakan IAM untuk mencegah prinsipal menggunakan kunci KMS dalam operasi kriptografi kecuali kunci KMS memiliki tag tertentu.

Fitur ini merupakan bagian dari AWS KMS dukungan untuk kontrol akses berbasis atribut (ABAC). Untuk informasi tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya, lihat Untuk apa ABAC? AWS dan Mengontrol Akses ke AWS Sumber Daya Menggunakan Tag Sumber Daya di Panduan Pengguna IAM. Untuk membantu menyelesaikan masalah akses yang terkait dengan ABAC, lihat Memecahkan masalah ABAC untuk AWS KMS.

catatan

Mungkin diperlukan waktu hingga lima menit untuk perubahan tag dan alias untuk memengaruhi otorisasi kunci KMS. Perubahan terbaru mungkin terlihat dalam operasi API sebelum mempengaruhi otorisasi.

AWS KMS mendukung kunci konteks kondisi global aws:ResourceTag/tag-key, yang memungkinkan Anda mengontrol akses ke kunci KMS berdasarkan tag pada kunci KMS. Karena beberapa kunci KMS dapat memiliki tag yang sama, fitur ini memungkinkan Anda menerapkan izin ke satu set kunci KMS tertentu. Anda juga dapat dengan mudah mengubah kunci KMS di set dengan mengubah tag mereka.

Dalam AWS KMS, kunci aws:ResourceTag/tag-key kondisi hanya didukung dalam kebijakan IAM. Ini tidak didukung dalam kebijakan utama, yang hanya berlaku untuk satu kunci KMS, atau pada operasi yang tidak menggunakan kunci KMS tertentu, seperti ListKeysatau ListAliasesoperasi.

Mengontrol akses dengan tanda menyediakan cara sederhana, dapat diskalakan, dan fleksibel untuk mengelola izin. Namun, jika tidak dirancang dan dikelola dengan benar, itu dapat mengizinkan atau menolak akses ke kunci KMS Anda secara tidak sengaja. Jika Anda menggunakan tanda untuk mengontrol akses, pertimbangkan praktik berikut.

  • Gunakan tanda untuk memperkuat praktik terbaik dari akses dengan keistimewaan terkecil. Berikan kepala sekolah IAM hanya izin yang mereka butuhkan hanya pada kunci KMS yang harus mereka gunakan atau kelola. Misalnya, gunakan tag untuk memberi label kunci KMS yang digunakan untuk proyek. Kemudian berikan izin tim proyek untuk hanya menggunakan kunci KMS dengan tag proyek.

  • Berhati-hatilah tentang memberikan prinsipal izin kms:TagResource dan kms:UntagResource yang memungkinkan mereka menambahkan, mengedit, dan menghapus tanda. Saat Anda menggunakan tag untuk mengontrol akses ke kunci KMS, mengubah tag dapat memberikan izin kepada prinsipal untuk menggunakan kunci KMS yang tidak diizinkan untuk digunakan. Ini juga dapat menolak akses ke kunci KMS yang diperlukan oleh kepala sekolah lain untuk melakukan pekerjaan mereka. Administrator kunci yang tidak memiliki izin untuk mengubah kebijakan kunci atau membuat hibah dapat mengontrol akses ke kunci KMS jika mereka memiliki izin untuk mengelola tag.

    Jika memungkinkan, gunakan kondisi kebijakan, seperti aws:RequestTag/tag-key atau aws:TagKeys untuk membatasi izin penandaan prinsipal untuk tag atau pola tag tertentu pada kunci KMS tertentu.

  • Tinjau prinsip-prinsip di Anda Akun AWS yang saat ini memiliki izin penandaan dan pembatalan tag dan sesuaikan, jika perlu. Misalnya, kebijakan kunci default konsol untuk administrator kunci menyertakan kms:TagResource dan kms:UntagResource izin pada kunci KMS tersebut. Kebijakan IAM memungkinkan izin tag dan untag pada semua kunci KMS. Misalnya, kebijakan AWSKeyManagementServicePowerUserterkelola memungkinkan prinsipal untuk menandai, menghapus tag, dan mencantumkan tag pada semua kunci KMS.

  • Sebelum menetapkan kebijakan yang bergantung pada tag, tinjau tag pada kunci KMS di tag Anda Akun AWS. Pastikan bahwa kebijakan Anda hanya berlaku untuk tanda yang ingin Anda sertakan. Gunakan CloudTrail log dan CloudWatch alarm untuk mengingatkan Anda untuk menandai perubahan yang mungkin memengaruhi akses ke kunci KMS Anda.

  • Kondisi kebijakan berbasis tanda menggunakan pencocokan pola; mereka tidak terikat pada instans tertentu dari tanda. Kebijakan yang menggunakan kunci kondisi berbasis tanda memengaruhi semua tanda baru dan yang sudah ada yang cocok dengan pola. Jika Anda menghapus dan membuat ulang tanda yang cocok dengan kondisi kebijakan, kondisi berlaku untuk tanda baru, seperti halnya pada tanda lama.

Misalnya, pertimbangkan contoh kebijakan IAM berikut. Hal ini memungkinkan prinsipal untuk memanggil GenerateDataKeyWithoutPlaintextdan mendekripsi operasi hanya pada kunci KMS di akun Anda yang merupakan Wilayah Asia Pasifik (Singapura) dan memiliki tag. "Project"="Alpha" Anda mungkin melampirkan kebijakan ini ke peran dalam contoh proyek Alpha.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMPolicyWithResourceTag",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "Alpha"
        }
      }
    }
  ]
}

Contoh berikut kebijakan IAM memungkinkan prinsipal untuk menggunakan kunci KMS apa pun di akun untuk operasi kriptografi tertentu. Tapi itu melarang prinsipal menggunakan operasi kriptografi ini pada kunci KMS dengan tag atau tanpa tag. "Type"="Reserved" "Type"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAllowCryptographicOperations",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    },
    {
      "Sid": "IAMDenyOnTag",
      "Effect": "Deny",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Type": "Reserved"
        }
      }
    },
    {
      "Sid": "IAMDenyNoTag",
      "Effect": "Deny",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/Type": "true"
        }
      }
    }
  ]
}
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.