Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso al tuo archivio di chiavi esterno

Tutte le funzionalità di controllo degli AWS KMS accessi (IAMpolitiche, politiche e concessioni chiave) utilizzate con KMS le chiavi standard funzionano allo stesso modo per KMS le chiavi in un archivio di chiavi esterno. È possibile utilizzare IAM le policy per controllare l'accesso alle API operazioni che creano e gestiscono archivi di chiavi esterni. IAMLe policy e le policy chiave vengono utilizzate per controllare l'accesso agli archivi di chiavi esterni. AWS KMS keys Puoi anche utilizzare le policy di controllo dei servizi per la tua AWS organizzazione e le policy VPC degli endpoint per controllare l'accesso alle KMS chiavi nel tuo archivio di chiavi esterno.

Ti consigliamo di concedere a utenti e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

Autorizzazione dei gestori dell'archivio delle chiavi esterne

I principali che creano e gestiscono un archivio delle chiavi esterne necessitano di autorizzazioni per eseguire le operazioni dell'archivio delle chiavi personalizzate. L'elenco seguente descrive le autorizzazioni minime necessarie per i gestori dell'archivio delle chiavi esterne. Poiché un archivio chiavi personalizzato non è una AWS risorsa, non è possibile fornire l'autorizzazione a un archivio di chiavi esterno per i principali archivi di altri. Account AWS

I principali che creano un archivio delle chiavi esterne devono disporre dell'autorizzazione per creare e configurare i componenti di tale archivio. I principali possono creare archivi delle chiavi esterne solo nei propri account. Per creare un archivio di chiavi esterno con connettività ai servizi VPC endpoint, i responsabili devono disporre dell'autorizzazione a creare i seguenti componenti:

Per i dettagli, consulta Gestione delle identità e degli accessi per AmazonVPC, Gestione delle identità e degli accessi per VPC endpoint e servizi VPC endpoint e Autorizzazioni Elastic Load API Balancing.

Autorizzazione degli utenti delle chiavi in archivi di chiavi esterni KMS

I responsabili della creazione e della gestione AWS KMS keys nell'archivio di chiavi esterno richiedono le stesse autorizzazioni di coloro che creano e gestiscono qualsiasi KMS chiave in. AWS KMS La politica di chiave predefinita per la KMS chiave in un archivio di chiavi esterno è identica alla politica di chiave predefinita per KMS le chiavi in ingresso. AWS KMS Il controllo di accesso basato sugli attributi (ABAC), che utilizza tag e alias per controllare l'accesso alle KMS chiavi, è efficace anche sulle chiavi presenti in un archivio di KMS chiavi esterno.

I responsabili che utilizzano KMS le chiavi dell'archivio chiavi personalizzato per le operazioni crittografiche necessitano dell'autorizzazione per eseguire l'operazione di crittografia con la chiave, ad esempio KMS:Decrypt. KMS È possibile fornire queste autorizzazioni in una politica o chiave. IAM Tuttavia, non hanno bisogno di autorizzazioni aggiuntive per utilizzare una KMS chiave in un archivio di chiavi personalizzato.

Per impostare un'autorizzazione che si applica solo alle KMS chiavi in un archivio di chiavi esterno, utilizza la condizione della kms:KeyOriginpolicy con un valore diEXTERNAL_KEY_STORE. È possibile utilizzare questa condizione per limitare l'CreateKeyautorizzazione kms: o qualsiasi autorizzazione specifica per una risorsa KMS chiave. Ad esempio, la seguente IAM politica consente all'identità a cui è associata di richiamare le operazioni specificate su tutte le KMS chiavi dell'account, a condizione che le KMS chiavi si trovino in un archivio di chiavi esterno. Si noti che è possibile limitare l'autorizzazione alle KMS chiavi in un archivio di chiavi esterno e alle KMS chiavi in un archivio di chiavi esterno dell'account Account AWS, ma non a nessun particolare archivio di chiavi esterno.

{
  "Sid": "AllowKeysInExternalKeyStores",
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL_KEY_STORE"
    }
  }
}

Autorizzazione AWS KMS alla comunicazione con il proxy di archiviazione delle chiavi esterno

AWS KMS comunica con il gestore delle chiavi esterno solo tramite il proxy di archiviazione chiavi esterno fornito dall'utente. AWS KMS si autentica con il proxy firmando le relative richieste utilizzando il processo Signature Version 4 (SigV4) con le credenziali di autenticazione proxy dell'archivio chiavi esterno specificate dall'utente. Se si utilizza la connettività endpoint pubblica per il proxy dell'archivio chiavi esterno, AWS KMS non richiede autorizzazioni aggiuntive.

Tuttavia, se utilizzi la connettività del servizio VPC endpoint, devi AWS KMS autorizzare la creazione di un endpoint di interfaccia per il tuo servizio VPC endpoint Amazon. Questa autorizzazione è richiesta indipendentemente dal fatto che il proxy dell'archivio chiavi esterno si trovi nel tuo account VPC o che il proxy dell'archivio chiavi esterno si trovi altrove, ma utilizzi il servizio VPC endpoint per comunicare. AWS KMS

AWS KMS Per consentire la creazione di un endpoint di interfaccia, utilizza la VPCconsole Amazon o l'ModifyVpcEndpointServicePermissionsoperazione. Consenti le autorizzazioni per il seguente principale: cks.kms.<region>.amazonaws.com.

Ad esempio, il AWS CLI comando seguente consente di connettersi AWS KMS al servizio VPC endpoint specificato nella regione Stati Uniti occidentali (Oregon) (us-west-2). Prima di utilizzare questo comando, sostituisci l'ID del VPC servizio Amazon Regione AWS con valori validi per la tua configurazione.

modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'

Per rimuovere questa autorizzazione, usa la VPCconsole Amazon o il RemoveAllowedPrincipals parametro ModifyVpcEndpointServicePermissionswith the.

Autorizzazione proxy dell'archivio delle chiavi esterne (facoltativo)

Alcuni proxy degli archivi delle chiavi esterne implementano i requisiti di autorizzazione per l'uso delle relative chiavi esterne. Un proxy dell'archivio delle chiavi esterne è consentito, ma non obbligatorio, per progettare e implementare uno schema di autorizzazione che consenta a determinati utenti di richiedere determinate operazioni solo in base ad alcune condizioni. Ad esempio, un proxy potrebbe essere configurato per consentire all'utente A di eseguire la crittografia con una particolare chiave esterna, ma non di effettuare l'operazione inversa.

L'autorizzazione proxy è indipendente dall'autenticazione proxy basata su SigV4 che AWS KMS richiede tutti i proxy di archiviazione chiavi esterni. È inoltre indipendente dalle politiche, IAM dalle politiche e dalle concessioni chiave che autorizzano l'accesso alle operazioni che riguardano l'archivio di chiavi esterno o le relative chiavi. KMS

Per abilitare l'autorizzazione da parte del proxy dell'archivio chiavi esterno, AWS KMS include i metadati in ogni APIrichiesta proxy, tra cui il chiamante, la KMS chiave, l' AWS KMS operazione e Servizio AWS (se presente). I metadati della richiesta per la versione 1 (v1) del proxy API con chiave esterna sono i seguenti.

"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}

Ad esempio, è possibile configurare il proxy per consentire le richieste provenienti da un particolare principale (awsPrincipalArn), ma solo quando la richiesta viene effettuata per conto del principale da un particolare Servizio AWS ()kmsViaService.

Se l'autorizzazione del proxy fallisce, l' AWS KMS operazione correlata fallisce e viene visualizzato un messaggio che spiega l'errore. Per maggiori dettagli, consulta Problemi relativi all'autorizzazione proxy.

m TLS authentication (opzionale)

Per consentire al proxy dell'archivio di chiavi esterno di autenticare le richieste AWS KMS, AWS KMS firma tutte le richieste al proxy dell'archivio chiavi esterno con la credenziale di autenticazione proxy Signature V4 (SigV4) per l'archivio di chiavi esterno.

Per garantire ulteriormente che il proxy dell'archivio chiavi esterno risponda solo alle AWS KMS richieste, alcuni proxy di chiavi esterni supportano la Mutual Transport Layer Security (mTLS), in cui entrambe le parti di una transazione utilizzano i certificati per l'autenticazione reciproca. m TLS aggiunge l'autenticazione lato client, in cui il server proxy dell'archivio chiavi esterno autentica il AWS KMS client, all'autenticazione lato server TLS fornita dallo standard. Nel raro caso in cui le credenziali di autenticazione del proxy siano compromesse, m TLS impedisce a terzi di effettuare API richieste di successo al proxy dell'archivio chiavi esterno.

Per implementare mTLS, configura il tuo proxy di archiviazione delle chiavi esterno in modo che accetti solo TLS certificati lato client con le seguenti proprietà: