Gunakan VPC titik akhir untuk mengontrol akses ke sumber daya AWS KMS - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan VPC titik akhir untuk mengontrol akses ke sumber daya AWS KMS

Anda dapat mengontrol akses ke AWS KMS sumber daya dan operasi saat permintaan berasal VPC atau menggunakan VPC titik akhir. Untuk melakukannya, gunakan salah satu kunci kondisi global berikut dalam kebijakan atau IAMkebijakan utama.

  • Gunakan tombol aws:sourceVpce kondisi untuk memberikan atau membatasi akses berdasarkan titik VPC akhir.

  • Gunakan kunci aws:sourceVpc kondisi untuk memberikan atau membatasi akses berdasarkan VPC yang menghosting titik akhir pribadi.

catatan

Berhati-hatilah saat membuat kebijakan dan IAM kebijakan utama berdasarkan VPC titik akhir Anda. Jika pernyataan kebijakan mengharuskan permintaan berasal dari VPC titik akhir VPC atau tertentu, permintaan dari AWS layanan terintegrasi yang menggunakan AWS KMS sumber daya atas nama Anda mungkin gagal. Untuk bantuan, lihat Menggunakan kondisi VPC titik akhir dalam kebijakan dengan izin AWS KMS.

Juga, kunci aws:sourceIP kondisi tidak efektif ketika permintaan berasal dari VPCtitik akhir Amazon. Untuk membatasi permintaan ke VPC titik akhir, gunakan kunci aws:sourceVpce atau aws:sourceVpc kondisi. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses untuk layanan VPC titik VPC akhir dan titik akhir di Panduan.AWS PrivateLink

Anda dapat menggunakan kunci kondisi global ini untuk mengontrol akses ke AWS KMS keys (KMSkunci), alias, dan operasi seperti CreateKeyitu tidak bergantung pada sumber daya tertentu.

Misalnya, kebijakan kunci sampel berikut memungkinkan pengguna untuk melakukan beberapa operasi kriptografi dengan KMS kunci hanya ketika permintaan menggunakan titik VPC akhir yang ditentukan. Saat pengguna membuat permintaan AWS KMS, ID VPC titik akhir dalam permintaan akan dibandingkan dengan nilai kunci aws:sourceVpce kondisi dalam kebijakan. Jika tidak cocok, permintaan ditolak.

Untuk menggunakan kebijakan seperti ini, ganti Akun AWS ID placeholder dan VPC endpoint IDs dengan nilai yang valid untuk akun Anda.

{
    "Id": "example-key-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM policies",
            "Effect": "Allow",
            "Principal": {"AWS":["111122223333"]},
            "Action": ["kms:*"],
            "Resource": "*"
        },
        {
            "Sid": "Restrict usage to my VPC endpoint",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:sourceVpce": "vpce-1234abcdf5678c90a"
                }
            }
        }

    ]
}

Anda juga dapat menggunakan tombol aws:sourceVpc kondisi untuk membatasi akses ke KMS kunci Anda berdasarkan VPC titik akhir mana VPC berada.

Kebijakan kunci sampel berikut memungkinkan perintah yang mengelola KMS kunci hanya ketika mereka berasalvpc-12345678. Selain itu, ini memungkinkan perintah yang menggunakan KMS kunci untuk operasi kriptografi hanya ketika mereka berasalvpc-2b2b2b2b. Anda mungkin menggunakan kebijakan seperti ini jika aplikasi berjalan dalam satuVPC, tetapi Anda menggunakan kebijakan kedua yang terisolasi VPC untuk fungsi manajemen.

Untuk menggunakan kebijakan seperti ini, ganti Akun AWS ID placeholder dan VPC endpoint IDs dengan nilai yang valid untuk akun Anda.

{
    "Id": "example-key-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow administrative actions from vpc-12345678",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "kms:Create*","kms:Enable*","kms:Put*","kms:Update*",
                "kms:Revoke*","kms:Disable*","kms:Delete*",
                "kms:TagResource", "kms:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        },
        {
            "Sid": "Allow key usage from vpc-2b2b2b2b",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "kms:Encrypt","kms:Decrypt","kms:GenerateDataKey*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-2b2b2b2b"
                }
            }
        },
        {
            "Sid": "Allow read actions from everywhere",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "kms:Describe*","kms:List*","kms:Get*"
            ],
            "Resource": "*",
        }
    ]
}