Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy AWS KMS chiave richiesta per l'uso con volumi crittografati
Amazon EC2 Auto Scaling utilizza ruoli collegati ai servizi per delegare le autorizzazioni ad altri. Servizi AWS I ruoli collegati ai servizi di Amazon EC2 Auto Scaling sono predefiniti e includono le autorizzazioni richieste da Amazon Auto Scaling EC2 per chiamare altre persone per tuo conto. Servizi AWS Le autorizzazioni predefinite includono anche l'accesso ai tuoi. Chiavi gestite da AWS Tuttavia, non includono l'accesso alle chiavi gestite dal cliente, permettendoti di mantenere il pieno controllo su queste chiavi.
Questo argomento descrive come configurare la policy chiave necessaria per avviare le istanze di Auto Scaling quando si specifica una chiave gestita dal cliente per la crittografia Amazon. EBS
Nota
Amazon EC2 Auto Scaling non necessita di autorizzazioni aggiuntive per utilizzare l'impostazione predefinita Chiave gestita da AWS per proteggere i volumi crittografati nel tuo account.
Indice
- Panoramica
- Configurare le policy chiave
- Esempio 1: sezioni delle policy delle chiavi che permettono l'accesso alla chiave gestita dal cliente
- Esempio 2: sezioni delle policy delle chiavi che permettono l'accesso multiaccount alla chiave gestita dal cliente
- Modificare le policy delle chiavi nella console AWS KMS
Panoramica
Quanto segue AWS KMS keys può essere utilizzato per la EBS crittografia Amazon quando Amazon EC2 Auto Scaling avvia le istanze:
-
Chiave gestita da AWS— Una chiave di crittografia nel tuo account che Amazon EBS crea, possiede e gestisce. Questa è la chiave di crittografia di default per un nuovo account. Chiave gestita da AWS Viene utilizzato per la crittografia a meno che non si specifichi una chiave gestita dal cliente.
-
Chiave gestita dal cliente: una chiave di crittografia personalizzata che puoi creare, possedere e gestire. Per ulteriori informazioni, consulta Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .
Nota: la chiave deve essere simmetrica. Amazon EBS non supporta chiavi asimmetriche gestite dai clienti.
Le chiavi gestite dal cliente vengono configurate quando crei snapshot crittografati o un modello di avvio che specifichi i volumi crittografati, oppure abiliti la crittografia di default.
Configurare le policy chiave
KMSLe tue chiavi devono avere una politica chiave che consenta ad Amazon EC2 Auto Scaling di avviare istanze con EBS volumi Amazon crittografati con una chiave gestita dal cliente.
Utilizza gli esempi in questa pagina per configurare una policy chiave che consenta ad Amazon EC2 Auto Scaling di accedere alla chiave gestita dal cliente. Puoi modificare la policy della chiave gestita dal cliente sia al momento della creazione della chiave che in seguito.
È necessario aggiungere almeno due dichiarazioni politiche alla politica chiave per farla funzionare con Amazon EC2 Auto Scaling.
-
La prima istruzione consente all'IAMidentità specificata nell'
Principal
elemento di utilizzare direttamente la chiave gestita dal cliente. Include le autorizzazioni per eseguire AWS KMSEncrypt
Decrypt
,ReEncrypt*
GenerateDataKey*
, eDescribeKey
le operazioni sulla chiave. -
La seconda istruzione consente all'IAMidentità specificata nell'
Principal
elemento di utilizzare l'CreateGrant
operazione per generare concessioni che delegano un sottoinsieme delle proprie autorizzazioni a un sottoinsieme delle proprie autorizzazioni integrate con o con un altro principale. Servizi AWS AWS KMS Questo permette di utilizzare la chiave per creare le risorse crittografate per te.
Quando aggiungi le nuove istruzioni alla policy della chiave, non modificare quelle già esistenti nella policy.
Per ciascuno degli esempi seguenti, gli argomenti che devono essere sostituiti, ad esempio un ID chiave o il nome di un ruolo collegato al servizio, vengono mostrati come user placeholder
text
. Nella maggior parte dei casi, puoi sostituire il nome del ruolo collegato al servizio con il nome di un ruolo collegato al servizio di Amazon Auto EC2 Scaling.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Per aggiornare una politica chiave con il AWS CLI, vedi. put-key-policy
-
Per trovare un ID chiave e Amazon Resource Name (ARN), consulta Finding the key ID e ARN nella AWS Key Management Service Developer Guide.
-
Per informazioni sui ruoli collegati ai servizi di Amazon EC2 Auto Scaling, consulta. Ruoli collegati ai servizi per Amazon Auto Scaling EC2
-
Per informazioni sulla EBS crittografia Amazon e, in KMS generale, sulla EBScrittografia Amazon, consulta la Amazon EBS User Guide e la AWS Key Management Service Developer Guide.
Esempio 1: sezioni delle policy delle chiavi che permettono l'accesso alla chiave gestita dal cliente
Aggiungi le seguenti due dichiarazioni politiche alla politica chiave della chiave gestita dal cliente, sostituendo l'esempio ARN con il ARN ruolo appropriato collegato al servizio a cui è consentito l'accesso alla chiave. In questo esempio, le sezioni relative alla policy forniscono al ruolo collegato al servizio denominato il AWSServiceRoleForAutoScalingpermesso di utilizzare la chiave gestita dal cliente.
{ "Sid": "Allow service-linked role use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::
account-id
:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling
" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::
account-id
:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling
" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }
Esempio 2: sezioni delle policy delle chiavi che permettono l'accesso multiaccount alla chiave gestita dal cliente
Se crei una chiave gestita dal cliente in un account diverso da quello del gruppo con dimensionamento automatico, è necessario utilizzare una concessione in combinazione con la policy della chiave per consentire l'accesso multi-account alla chiave stessa.
Esistono due passaggi, che devono essere completati nel seguente ordine:
-
Innanzitutto, aggiungi le seguenti due dichiarazioni di policy alla policy della chiave della chiave gestita dal cliente. Sostituisci l'esempio ARN con quello ARN dell'altro account, assicurandoti di sostituire
111122223333
con l'ID account effettivo del gruppo Auto Scaling in Account AWS cui desideri creare il gruppo Auto Scaling. Ciò consente di concedere a un IAM utente o a un ruolo nell'account specificato l'autorizzazione a creare una concessione per la chiave utilizzando il CLI comando seguente. Tuttavia, di per sé non fornisce l'accesso alla chiave agli utenti.{ "Sid": "Allow external account
111122223333
use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333
:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }{ "Sid": "Allow attachment of persistent resources in external account
111122223333
", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333
:root" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*" } -
Quindi, dall'account in cui desideri creare il gruppo con dimensionamento automatico, crea una concessione che deleghi le autorizzazioni pertinenti al ruolo collegato al servizio appropriato. L'
Grantee Principal
elemento della concessione è il ARN ruolo collegato al servizio appropriato.key-id
Questa è la ARN chiave.Di seguito è riportato un esempio di CLI comando create-grant che fornisce il ruolo collegato al servizio denominato in account AWSServiceRoleForAutoScaling
111122223333
autorizzazioni per utilizzare la chiave gestita dal cliente nell'account444455556666
.aws kms create-grant \ --region
us-west-2
\ --key-idarn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d
\ --grantee-principal arn:aws:iam::111122223333
:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling
\ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"Affinché questo comando possa completare la richiesta, l'utente che effettua la richiesta deve avere le autorizzazioni per l'operazione
CreateGrant
.La seguente IAM politica di esempio consente un'IAMidentità (utente o ruolo) nell'account
111122223333
per creare una concessione per l'account key in gestito dal cliente444455556666
.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount
444455556666
", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d
" } ] }Per ulteriori informazioni sulla creazione di una concessione per una KMS chiave in un altro Account AWS, consulta Grants in AWS KMS nella AWS Key Management Service Developer Guide.
Importante
Il nome del ruolo collegato al servizio specificato come principale assegnatario deve essere il nome di un ruolo esistente. Dopo aver creato la concessione, per assicurarti che la concessione consenta ad Amazon EC2 Auto Scaling di utilizzare la KMS chiave specificata, non eliminare e ricreare il ruolo collegato al servizio.
Modificare le policy delle chiavi nella console AWS KMS
Gli esempi nelle seguenti sezioni mostrano solo come aggiungere le istruzioni alla policy di una chiave, che è solo uno dei modi per modificare questo tipo di policy. Il modo più semplice per modificare una politica chiave consiste nell'utilizzare la visualizzazione predefinita della AWS KMS console per le politiche chiave e rendere un'IAMidentità (utente o ruolo) uno degli utenti chiave per la politica chiave appropriata. Per ulteriori informazioni, consulta Uso della visualizzazione AWS Management Console predefinita nella Guida per gli AWS Key Management Service sviluppatori.
Importante
Fai attenzione. Le dichiarazioni sulla politica di visualizzazione predefinita della console includono le autorizzazioni per eseguire AWS KMS Revoke
operazioni sulla chiave gestita dal cliente. Se concedi Account AWS l'accesso a una chiave gestita dal cliente nel tuo account e revochi accidentalmente la concessione che ha concesso loro tale autorizzazione, gli utenti esterni non possono più accedere ai loro dati crittografati o alla chiave utilizzata per crittografare i loro dati.