Condividi la KMS chiave utilizzata per crittografare uno snapshot Amazon EBS condiviso - Amazon EBS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi la KMS chiave utilizzata per crittografare uno snapshot Amazon EBS condiviso

Per condividere uno snapshot crittografato, è necessario condividere anche la chiave gestita dal cliente utilizzata per la crittografia dello snapshot. È possibile applicare autorizzazioni valide su più account a una chiave gestita dal cliente al momento della creazione o in seguito.

Gli utenti della chiave gestita dal cliente condivisa che accedono agli snapshot crittografati devono disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave di kms:GrantIsForAWSResource condizione per consentire all'utente di creare sovvenzioni sulla KMS chiave solo quando la concessione viene creata per conto dell'utente da un AWS servizio.

Per ulteriori informazioni sul controllo dell'accesso a una chiave gestita dal cliente, consulta Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

Per condividere la chiave gestita dal cliente tramite la console AWS KMS

  1. Apri la AWS KMS console in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Scegliere Customer managed keys (Chiavi gestite cliente) nel riquadro di navigazione.

  4. Nella colonna Alias scegliere l'alias (collegamento testuale) della chiave gestita dal cliente utilizzata per crittografare lo snapshot. I dettagli della chiave si aprono in una nuova pagina.

  5. Nella sezione Key policy (Policy della chiave), consultare la visualizzazione della policy oppure la visualizzazione predefinita. La visualizzazione della policy mostra il documento della policy della chiave. Nella visualizzazione predefinita vengono mostrate le sezioni per Amministratori della chiave, Eliminazione della chiave, Uso della chiave e Altri account AWS . La visualizzazione predefinita viene mostrata se la policy è stata creata nella console e non è stata personalizzata. Se la visualizzazione predefinita non è disponibile, sarà necessario modificare manualmente la policy nella visualizzazione della policy. Per ulteriori informazioni, consulta Visualizzazione di una policy della chiave (console) nella Guida per gli sviluppatori di AWS Key Management Service .

    Utilizza la visualizzazione dei criteri o la visualizzazione predefinita, a seconda della visualizzazione a cui puoi accedere, per aggiungere uno o più AWS account IDs alla politica, come segue:

    • (Visualizzazione della policy) Scegliere Edit (Modifica). Aggiungi uno o più AWS account IDs alle seguenti dichiarazioni: "Allow use of the key" e"Allow attachment of persistent resources". Scegli Save changes (Salva modifiche). Nell'esempio seguente, l'ID AWS dell'account 444455556666 viene aggiunto alla politica.

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (Visualizzazione predefinita) Scorri verso il basso fino a Altri AWS account. Scegli Aggiungi altri AWS account e inserisci l'ID AWS dell'account come richiesto. Per aggiungere un altro account, scegli Aggiungi un altro AWS account e inserisci l'ID dell' AWS account. Dopo aver aggiunto tutti gli account AWS , scegliere Salva modifiche.