km: CreateAlias km: ListAliases km: UpdateAlias km: DeleteAlias Limitazione delle autorizzazioni alias

Controllo dell'accesso agli alias

Quando crei o modifichi un alias, influisci sull'alias e sulla chiave associata. KMS Pertanto, i responsabili che gestiscono gli alias devono essere autorizzati a richiamare l'operazione alias sull'alias e su tutte le chiavi interessate. KMS È possibile fornire queste autorizzazioni utilizzando politiche, politiche e concessioni chiave. IAM

Nota

Presta attenzione quando concedi ai principali l'autorizzazione per gestire tag e alias. Modificando un tag o un alias puoi consentire o negare l'autorizzazione alla chiave gestita dal cliente. Per informazioni dettagliate, consulta ABACper AWS KMS e Utilizzate gli alias per controllare l'accesso alle chiavi KMS.

Per informazioni sul controllo dell'accesso a tutte le AWS KMS operazioni, vedere. Riferimento per le autorizzazioni

Le autorizzazioni per la creazione e la gestione degli alias funzionano come descritto di seguito.

km: CreateAlias

Per creare un alias, il principale necessita delle seguenti autorizzazioni sia per l'alias che per la chiave associata. KMS

kms:CreateAlias per l'alias. Fornisci questa autorizzazione in una IAM politica allegata al principale autorizzato a creare l'alias.

L'esempio di istruzione di policy seguente specifica un alias particolare in un elemento Resource. Ma puoi elencare più alias ARNs o specificare un modello di alias, ad esempio «test*». Puoi specificare il valore Resource di "*" in modo da consentire al principale di creare qualsiasi alias nell'account e nella regione. L'autorizzazione per creare un alias può anche essere inclusa in un'autorizzazione kms:Create* per tutte le risorse di un account e di una regione.
```
{
  "Sid": "IAMPolicyForAnAlias",
  "Effect": "Allow",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}
```

kms:CreateAliasper la chiave. KMS Questa autorizzazione deve essere fornita in una politica chiave o in una IAM politica delegata dalla politica chiave.


{
  "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
  "Action": [
    "kms:CreateAlias",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

È possibile utilizzare le chiavi condizionali per limitare le KMS chiavi che è possibile associare a un alias. Ad esempio, puoi usare la chiave kms: KeySpec condition per consentire al principale di creare alias solo su chiavi asimmetriche. KMS Per un elenco completo delle chiavi di condizione che puoi utilizzare per limitare l'kms:CreateAliasautorizzazione sulle KMS risorse chiave, consulta. AWS KMS autorizzazioni

km: ListAliases

Per elencare gli alias nell'account e nella regione, il principale deve disporre dell'kms:ListAliasesautorizzazione in una IAM politica. Poiché questa politica non è correlata a nessuna KMS chiave o risorsa alias particolare, il valore dell'elemento risorsa nella politica deve essere. "*"

Ad esempio, la seguente dichiarazione IAM politica fornisce l'autorizzazione principale per elencare tutte le KMS chiavi e gli alias nell'account e nella regione.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

km: UpdateAlias

Per modificare la KMS chiave associata a un alias, il principale necessita di tre elementi di autorizzazione: uno per l'alias, uno per la KMS chiave corrente e uno per la nuova chiave. KMS

Ad esempio, supponiamo di voler modificare l'test-keyalias dalla KMS chiave con ID chiave 1234abcd-12ab-34cd-56ef-1234567890ab alla KMS chiave con ID chiave 0987dcba-09fe-87dc-65ba-ab0987654321. Per questo caso, includi le istruzioni di policy simile agli esempi riportati in questa sezione.

kms:UpdateAlias per l'alias. Questa autorizzazione IAM viene fornita in una politica allegata al principale. La seguente IAM politica specifica un alias particolare. Ma puoi elencare più alias ARNs o specificare un modello di alias, ad esempio. "test*" Puoi specificare il valore Resource di "*" in modo da consentire al principale di creare qualsiasi alias nell'account e nella regione.
```
{
  "Sid": "IAMPolicyForAnAlias",
  "Effect": "Allow",
  "Action": [
    "kms:UpdateAlias",
    "kms:ListAliases",
    "kms:ListKeys"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}
```

kms:UpdateAliasper la KMS chiave attualmente associata all'alias. Questa autorizzazione deve essere fornita in una politica chiave o in una IAM politica delegata dalla politica chiave.


{
  "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
  "Action": [
    "kms:UpdateAlias",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

kms:UpdateAliasper la KMS chiave che l'operazione associa all'alias. Questa autorizzazione deve essere fornita in una politica chiave o in una IAM politica delegata dalla politica chiave.


{
  "Sid": "Key policy for 0987dcba-09fe-87dc-65ba-ab0987654321",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
  "Action": [
    "kms:UpdateAlias", 
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

È possibile utilizzare i tasti condizionali per limitare una o entrambe le KMS chiavi in un'UpdateAliasoperazione. Ad esempio, puoi utilizzare una chiave kms: ResourceAliases condition per consentire al principale di aggiornare gli alias solo quando la KMS chiave di destinazione ha già un alias particolare. Per un elenco completo delle chiavi di condizione che puoi utilizzare per limitare l'kms:UpdateAliasautorizzazione su una risorsa KMS chiave, vedi. AWS KMS autorizzazioni

km: DeleteAlias

Per eliminare un alias, il principale necessita dell'autorizzazione per l'alias e per la chiave associata. KMS

Come sempre, è necessario prestare attenzione quando si concedono le autorizzazioni per eliminare una risorsa. Tuttavia, l'eliminazione di un alias non ha alcun effetto sulla chiave associata. KMS Anche se potrebbe causare errori nelle applicazioni che utilizzano l'alias, se si elimina erroneamente un alias, puoi ricrearlo.

kms:DeleteAlias per l'alias. Fornisci questa autorizzazione in una IAM politica allegata al principale che è autorizzato a eliminare l'alias.

L'esempio di istruzione di policy seguente specifica l'alias in un elemento Resource. È tuttavia possibile elencare più alias ARNs o specificare un modello di alias, ad esempio"test*", È possibile specificare un Resource valore di "*" per consentire al principale di eliminare qualsiasi alias nell'account e nella regione.
```
{
  "Sid": "IAMPolicyForAnAlias",
  "Effect": "Allow",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key"
}
```

kms:DeleteAliasper la chiave associata. KMS Questa autorizzazione deve essere fornita in una politica chiave o in una IAM politica delegata dalla politica chiave.


{
  "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"
  },
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

Limitazione delle autorizzazioni alias

È possibile utilizzare le chiavi condizionali per limitare i permessi degli alias quando la risorsa è una chiave. KMS Ad esempio, la seguente IAM politica consente le operazioni di alias sulle KMS chiavi in un account e in una regione particolari. Tuttavia, utilizza la chiave kms: KeyOrigin condition per limitare ulteriormente le autorizzazioni alle KMS chiavi con materiale chiave proveniente da. AWS KMS

Per un elenco completo delle chiavi di condizione che puoi utilizzare per limitare l'autorizzazione degli alias su una risorsa KMS chiave, vedi. AWS KMS autorizzazioni


{
  "Sid": "IAMPolicyKeyPermissions",
  "Effect": "Allow",
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "AWS_KMS"
    }
  }  
}

Non è possibile utilizzare le chiavi di condizione in un'istruzione della policy delle chiavi in cui la risorsa è un alias. Per limitare gli alias che un principale può gestire, utilizzate il valore dell'Resourceelemento della dichiarazione IAM politica che controlla l'accesso all'alias. Ad esempio, le seguenti istruzioni politiche consentono al principale di creare, aggiornare o eliminare qualsiasi alias nella regione Account AWS and, a meno che l'alias non inizi con. Restricted


{
  "Sid": "IAMPolicyForAnAliasAllow",
  "Effect": "Allow",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/*"
},
{
  "Sid": "IAMPolicyForAnAliasDeny",
  "Effect": "Deny",
  "Action": [
    "kms:CreateAlias",
    "kms:UpdateAlias",
    "kms:DeleteAlias"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:alias/Restricted*"
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Alias

Creare alias