Informazioni sul ruolo AWS KMS collegato al servizio Creazione del ruolo collegato ai servizi Modifica della descrizione di un ruolo collegato ai servizi Eliminazione del ruolo collegato ai servizi

Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2

Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio nel tuo. Account AWS Gli utenti che creano archivi di AWS CloudHSM chiavi devono disporre dell'iam:CreateServiceLinkedRoleautorizzazione che consenta loro di creare ruoli collegati ai servizi.

Per visualizzare i dettagli sugli aggiornamenti della politica AWSKeyManagementServiceCustomKeyStoresServiceRolePolicygestita, vedere. AWS KMS aggiornamenti alle politiche AWS gestite

Argomenti

Informazioni sul ruolo AWS KMS collegato al servizio
Creazione del ruolo collegato ai servizi
Modifica della descrizione di un ruolo collegato ai servizi
Eliminazione del ruolo collegato ai servizi

Informazioni sul ruolo AWS KMS collegato al servizio

Un ruolo collegato al servizio è un IAM ruolo che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per conto dell'utente. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche complesseIAM. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS KMS.

Per gli archivi AWS CloudHSM chiave, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato ai servizi con la policy AWSKeyManagementServiceCustomKeyStoresServiceRolePolicygestita. Questa policy concede al ruolo le seguenti autorizzazioni:

CloudHSM:Describe* — rileva le modifiche nel AWS CloudHSM cluster collegato al tuo archivio di chiavi personalizzato.
ec2: CreateSecurityGroup — utilizzato quando connetti un archivio di AWS CloudHSM chiavi per creare il gruppo di sicurezza che abilita il flusso del traffico di rete tra e il cluster. AWS KMS AWS CloudHSM
ec2: AuthorizeSecurityGroupIngress — utilizzato quando connetti un archivio di AWS CloudHSM chiavi per consentire l'accesso alla rete dall' AWS KMS interno del cluster VPC che contiene il AWS CloudHSM cluster.
ec2: CreateNetworkInterface — utilizzato quando si connette un archivio di AWS CloudHSM chiavi per creare l'interfaccia di rete utilizzata per la comunicazione tra AWS KMS e il AWS CloudHSM cluster.
ec2: RevokeSecurityGroupEgress — utilizzato quando si connette un archivio di AWS CloudHSM chiavi per rimuovere tutte le regole in uscita dal gruppo di sicurezza creato. AWS KMS
ec2: DeleteSecurityGroup — utilizzato quando si disconnette un archivio di AWS CloudHSM chiavi per eliminare i gruppi di sicurezza creati quando si è connesso l'archivio chiavi. AWS CloudHSM
ec2: DescribeSecurityGroups — utilizzato per monitorare le modifiche nel gruppo di sicurezza AWS KMS creato nel gruppo di sicurezza VPC che contiene il AWS CloudHSM cluster in modo che AWS KMS possa fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeVpcs — utilizzato per monitorare le modifiche nel cluster VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeNetworkAcls — utilizzato per monitorare i cambiamenti nella rete ACLs VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
ec2: DescribeNetworkInterfaces — utilizzato per monitorare i cambiamenti nelle interfacce di rete AWS KMS create nel cluster VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Poiché solo il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio è affidabilecks.kms.amazonaws.com, solo AWS KMS può assumere questo ruolo collegato al servizio. Questo ruolo è limitato alle operazioni che AWS KMS richiedono la visualizzazione dei AWS CloudHSM cluster e la connessione di un archivio di AWS CloudHSM chiavi al cluster associato. AWS CloudHSM Non fornisce AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, gestire o eliminare AWS CloudHSM i cluster o HSMs i backup.

Regioni

Come la funzionalità di archiviazione delle AWS CloudHSM chiavi, il AWSServiceRoleForKeyManagementServiceCustomKeyStoresruolo è supportato Regioni AWS ovunque AWS KMS ed AWS CloudHSM è disponibile. Per un elenco delle funzionalità Regioni AWS supportate da ciascun servizio, consulta AWS Key Management Service Endpoints and Quotas e AWS CloudHSM endpoints and quotas in. Riferimenti generali di Amazon Web Services

Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, vedere Utilizzo dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione del ruolo collegato ai servizi

AWS KMS crea automaticamente il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio Account AWS quando crei un archivio di AWS CloudHSM chiavi, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.

Modifica della descrizione di un ruolo collegato ai servizi

Non puoi modificare il nome del ruolo o le istruzioni di policy nel ruolo collegato ai servizi AWSServiceRoleForKeyManagementServiceCustomKeyStores, ma puoi modificare la descrizione del ruolo. Per istruzioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'utente. IAM

Eliminazione del ruolo collegato ai servizi

AWS KMS non elimina il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio dal tuo Account AWS anche se hai eliminato tutti i tuoi archivi di chiavi. AWS CloudHSM Sebbene al momento non esista una procedura per eliminare il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio, non assume questo ruolo né ne utilizza le autorizzazioni a meno che AWS KMS non disponga di archivi di chiavi attivi. AWS CloudHSM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ruoli collegati ai servizi

Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali