Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

ABAC per AWS KMS

PDF
RSS
Modalità Focus
ABAC per AWS KMS - AWS Key Management Service
Chiavi di condizione ABAC per AWS KMSTag o alias?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. AWS KMS supporta ABAC consentendovi di controllare l'accesso alle chiavi gestite dai clienti in base ai tag e agli alias associati alle chiavi KMS. Le chiavi di condizione dei tag e degli alias che consentono ad ABAC di AWS KMS fornire un modo potente e flessibile per autorizzare i mandanti a utilizzare le chiavi KMS senza modificare le politiche o gestire le sovvenzioni. Ma occorre usare queste funzionalità con cura in modo che ai principali non sia inavvertitamente autorizzato o negato l'accesso.

Se si utilizza ABAC, tenere presente che l'autorizzazione per gestire tag e alias è ora un'autorizzazione di controllo di accesso. Assicurarsi di conoscere i tag e gli alias esistenti in tutte le chiavi KMS prima di distribuire una policy che dipende da tag o alias. Prendere ragionevoli precauzioni quando si aggiungono, eliminano e aggiornano gli alias e quando si taggano e si rimuovono i tag delle chiavi. Assegna le autorizzazioni per gestire tag e alias solo alle entità che ne hanno bisogno e limita i tag e gli alias che possono gestire.

Note

Quando usi ABAC for AWS KMS, fai attenzione a non concedere ai principali il permesso di gestire tag e alias. La modifica di un tag o di un alias potrebbe consentire o negare l'autorizzazione a una chiave KMS. Gli amministratori chiave che non dispongono dell'autorizzazione per modificare le policy chiave o creare concessioni possono controllare l'accesso alle chiavi KMS se dispongono dell'autorizzazione per gestire tag o alias.

È possibile che occorrano fino a cinque minuti affinché le modifiche a tag e alias diventano effettive per l'autorizzazione delle chiavi KMS. Le modifiche recenti potrebbero essere visibili nelle operazioni API prima che influiscano sull'autorizzazione.

Per controllare l'accesso a una chiave KMS in base al relativo alias, è necessario utilizzare una chiave di condizione. Non è possibile utilizzare un alias per rappresentare una chiave KMS nell'elemento Resource di un'istruzione di policy. Quando viene visualizzato un alias nell'elemento Resource, l'istruzione di policy si applica all'alias e non alla chiave KMS associata.

Ulteriori informazioni

Chiavi di condizione ABAC per AWS KMS

Per autorizzare l'accesso alle chiavi del servizio di gestione delle chiavi in base ai relativi tag e alias, utilizzare le seguenti chiavi di condizione in una policy chiave o in una policy IAM.

Chiavi di condizione ABAC Descrizione Tipo di policy AWS KMS operazioni
leggi: ResourceTag Il tag (chiave e valore) sulla chiave KMS corrisponde al tag (chiave e valore) o al modello di tag nella policy Solo policy IAM Operazioni delle risorse delle chiavi KMS 2
aws:RequestTag//tag-key Il tag (chiave e valore) nella richiesta corrisponde al tag (chiave e valore) o al modello di tag nella policy Policy chiave e policy IAM1 TagResource, UntagResource
aws: TagKeys Le chiavi tag nella richiesta corrispondono alle chiavi tag nella policy Policy chiave e policy IAM1 TagResource, UntagResource
km: ResourceAliases Gli alias associati alla chiave KMS corrispondono agli alias o ai modelli di alias nella policy Solo policy IAM Operazioni delle risorse delle chiavi KMS 2
km: RequestAlias L'alias che rappresenta la chiave KMS nella richiesta corrisponde agli alias o ai modelli di alias nella policy. Policy chiave e policy IAM1 Operazioni crittografiche, DescribeKeyGetPublicKey

1Qualsiasi chiave di condizione che può essere utilizzata in una policy chiave può essere utilizzata anche in una policy IAM, ma solo se la policy chiave lo consente.

2Un'operazione delle risorse delle chiavi KMS è un'operazione autorizzata per una determinata chiave KMS. Per identificare le operazioni delle risorse delle chiavi KMS, nella tabella delle autorizzazioni AWS KMS, cerca un valore della chiave KMS nella colonna Resourcesper l'operazione.

Ad esempio, è possibile utilizzare queste chiavi di condizione per creare le seguenti policy.

  • Una policy IAM con kms:ResourceAliases che consente di utilizzare le chiavi KMS con un particolare alias o modello di alias. Ciò è leggermente diverso dalle policy che si basano sui tag: sebbene sia possibile utilizzare modelli di alias in una policy, ogni alias deve essere unico in una Account AWS regione and. Ciò consente di applicare una politica a un set selezionato di chiavi KMS senza elencare la chiave ARNs delle chiavi KMS nell'informativa sulla politica. Per aggiungere o rimuovere chiavi KMS dal set, modificare l'alias della chiave KMS.

  • Una policy chiave con kms:RequestAlias che consente ai principali di utilizzare una chiave KMS in un'operazione Encrypt, ma solo quando la richiesta Encrypt utilizza tale alias per identificare la chiave KMS.

  • Una policy IAM con aws:ResourceTag/tag-key che nega l'autorizzazione a utilizzare le chiavi KMS con una chiave di tag e un valore di tag specifici. Ciò consente di applicare una politica a un set selezionato di chiavi KMS senza elencare la chiave ARNs delle chiavi KMS nell'informativa sulla politica. Per aggiungere o rimuovere le chiavi del servizio di gestione delle chiavi dal set, taggare o rimuovere la chiave KMS.

  • Una policy IAM con aws:RequestTag/tag-key che consente ai gruppi di eliminare solo i tag della chiave KMS "Purpose"="Test".

  • Una policy IAM con aws:TagKeys che nega l'autorizzazione ad aggiungere o eliminare un tag a una chiave KMS con una chiave tag Restricted.

ABAC rende la gestione degli accessi flessibile e scalabile. Ad esempio, puoi utilizzare la chiave di condizione aws:ResourceTag/tag-key per creare una policy IAM che consente ai principali di utilizzare una chiave KMS per le operazioni specificate solo quando la chiave KMS ha un tag Purpose=Test. La policy si applica a tutte le chiavi KMS in tutte le Regioni dell' Account AWS.

Quando è collegata a un utente o a un ruolo, la policy IAM seguente consente alle entità principali di utilizzare tutte le chiavi KMS esistenti con un tag Purpose=Test per le operazioni specificate. Per fornire questo accesso a chiavi KMS nuove o esistenti, non è necessario modificare le policy. È sufficiente collegare il tag Purpose=Test alle chiavi KMS. Allo stesso modo, per rimuovere questo accesso dalle chiavi KMS con un tag Purpose=Test, modifica o elimina il tag. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AliasBasedIAMPolicy",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Purpose": "Test"
        }
      }
    }
  ]
}

Tuttavia, se si utilizza questa funzione, fare attenzione nella gestione di tag e alias. L'aggiunta, la modifica o l'eliminazione di un tag o di un alias può inavvertitamente consentire o negare l'accesso a una chiave KMS. Gli amministratori chiave che non dispongono dell'autorizzazione per modificare le policy chiave o creare concessioni possono controllare l'accesso alle chiavi KMS se dispongono dell'autorizzazione per gestire tag e alias. Per mitigare questo rischio, considera di limitare le autorizzazioni per la gestione di tag e alias. Ad esempio, potrebbe essere necessario consentire solo ai principali di gestire la gestione dei tag Purpose=Test. Per informazioni dettagliate, consulta Usa gli alias per controllare l'accesso alle chiavi KMS e Usa i tag per controllare l'accesso alle chiavi KMS.

Tag o alias?

AWS KMS supporta ABAC con tag e alias. Entrambe le opzioni offrono una strategia di controllo degli accessi flessibile e scalabile, ma sono leggermente diverse l'una dall'altra.

Potresti decidere di utilizzare tag o utilizzare alias in base ai tuoi modelli di utilizzo particolari AWS . Ad esempio, se sono già state concesse autorizzazioni di assegnazione di tag alla maggior parte degli amministratori, potrebbe essere più semplice controllare una strategia di autorizzazione basata sugli alias. Oppure, se stai per raggiungere la quota di alias per chiave KMS, potresti preferire una strategia di autorizzazione basata sui tag.

I seguenti vantaggi sono di interesse generale.

Vantaggi del controllo degli accessi basato su tag

  • Stesso meccanismo di autorizzazione per diversi tipi di AWS risorse.

    Puoi utilizzare lo stesso tag o codice tag per controllare l'accesso a più tipi di risorse, ad esempio un cluster Amazon Relational Database Service (Amazon RDS), un volume Amazon Elastic Block Store (Amazon EBS) e una chiave KMS. Questa funzione consente diversi modelli di autorizzazione più flessibili rispetto ai tradizionali controlli di accesso basati sui ruoli.

  • Autorizzare l'accesso a un gruppo di chiavi KMS.

    È possibile utilizzare i tag per gestire l'accesso a un gruppo di chiavi KMS nello stesso Account AWS e nella stessa Regione. Assegnare lo stesso tag o chiave di tag alle chiavi KMS scelte. Quindi crea una semplice dichiarazione easy-to-maintain politica basata sul tag o sulla chiave del tag. Per aggiungere o rimuovere una chiave KMS dal gruppo di autorizzazioni, aggiungere o rimuovere il tag. Non è necessario modificare la policy.

Vantaggi del controllo degli accessi basato su alias

  • Autorizza l'accesso alle operazioni di crittografia in base agli alias.

    La maggior parte delle condizioni delle policy basate sulla richiesta per gli attributi, incluso aws:RequestTag/tag-key, influiscono solo sulle operazioni che aggiungono, modificano o eliminano l'attributo. Ma la chiave kms: RequestAlias condition controlla l'accesso alle operazioni crittografiche in base all'alias utilizzato per identificare la chiave KMS nella richiesta. Ad esempio, è possibile concedere a un'entità principale l'autorizzazione per utilizzare una chiave KMS in u'operazione Encrypt ma solo quando il valore del parametro KeyId è alias/restricted-key-1. Per soddisfare questa condizione, è necessario quanto segue:

    • La chiave KMS deve essere associata a tale alias.

    • La richiesta deve utilizzare l'alias per identificare la chiave KMS.

    • Il principale deve disporre dell'autorizzazione per utilizzare la chiave KMS soggetta alla condizione kms:RequestAlias.

    Ciò è particolarmente utile se le applicazioni utilizzano comunemente nomi alias o alias ARNs per fare riferimento alle chiavi KMS.

  • Fornisci autorizzazioni molto limitate.

    Un alias deve essere univoco in una regione and. Account AWS Di conseguenza, concedere ai principali l'accesso a una chiave KMS basata su un alias può essere molto più restrittivo rispetto a concedere loro l'accesso basato su un tag. Diversamente dagli alias, i tag possono essere assegnati a più chiavi KMS nello stesso account e nella stessa Regione. Se si sceglie, è possibile utilizzare un modello alias, ad esempio alias/test*, per consentire agli entità principali di accedere a un gruppo di chiavi KMS nello stesso account e nella stessa Regione. Tuttavia, l'autorizzazione o la negazione dell'accesso a un alias specifico consente un controllo molto rigoroso sulle chiavi KMS.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.