Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2 - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2

Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio nel tuo. Account AWS Gli utenti che creano archivi di AWS CloudHSM chiavi devono disporre dell'iam:CreateServiceLinkedRoleautorizzazione che consenta loro di creare ruoli collegati ai servizi.

Per visualizzare i dettagli sugli aggiornamenti della politica AWSKeyManagementServiceCustomKeyStoresServiceRolePolicygestita, vedere. AWS KMS aggiornamenti alle politiche AWS gestite

Informazioni sul ruolo AWS KMS collegato al servizio

Un ruolo collegato al servizio è un IAM ruolo che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per conto dell'utente. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche complesseIAM. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS KMS.

Per gli archivi AWS CloudHSM chiave, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato ai servizi con la policy AWSKeyManagementServiceCustomKeyStoresServiceRolePolicygestita. Questa policy concede al ruolo le seguenti autorizzazioni:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }

Poiché solo il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio è affidabilecks.kms.amazonaws.com, solo AWS KMS può assumere questo ruolo collegato al servizio. Questo ruolo è limitato alle operazioni che AWS KMS richiedono la visualizzazione dei AWS CloudHSM cluster e la connessione di un archivio di AWS CloudHSM chiavi al cluster associato. AWS CloudHSM Non fornisce AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, gestire o eliminare AWS CloudHSM i cluster o HSMs i backup.

Regioni

Come la funzionalità di archiviazione delle AWS CloudHSM chiavi, il AWSServiceRoleForKeyManagementServiceCustomKeyStoresruolo è supportato Regioni AWS ovunque AWS KMS ed AWS CloudHSM è disponibile. Per un elenco delle funzionalità Regioni AWS supportate da ciascun servizio, consulta AWS Key Management Service Endpoints and Quotas e AWS CloudHSM endpoints and quotas in. Riferimenti generali di Amazon Web Services

Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, vedere Utilizzo dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione del ruolo collegato ai servizi

AWS KMS crea automaticamente il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio Account AWS quando crei un archivio di AWS CloudHSM chiavi, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.

Modifica della descrizione di un ruolo collegato ai servizi

Non puoi modificare il nome del ruolo o le istruzioni di policy nel ruolo collegato ai servizi AWSServiceRoleForKeyManagementServiceCustomKeyStores, ma puoi modificare la descrizione del ruolo. Per istruzioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'utente. IAM

Eliminazione del ruolo collegato ai servizi

AWS KMS non elimina il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio dal tuo Account AWS anche se hai eliminato tutti i tuoi archivi di chiavi. AWS CloudHSM Sebbene al momento non esista una procedura per eliminare il ruolo AWSServiceRoleForKeyManagementServiceCustomKeyStorescollegato al servizio, non assume questo ruolo né ne utilizza le autorizzazioni a meno che AWS KMS non disponga di archivi di chiavi attivi. AWS CloudHSM