KMSaccesso con chiavi e autorizzazioni - AWS Key Management Service
KMSpolitiche chiave KMSsovvenzioni chiave

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

KMSaccesso con chiavi e autorizzazioni

Per utilizzarlo AWS KMS, è necessario disporre di credenziali che AWS possano essere utilizzate per autenticare le richieste. Le credenziali devono includere i permessi di accesso alle AWS risorse e gli alias. AWS KMS keys Nessun AWS principale dispone di alcuna autorizzazione per una KMS chiave a meno che tale autorizzazione non sia fornita esplicitamente e mai negata. Non esistono autorizzazioni implicite o automatiche per utilizzare o gestire una chiave. KMS

Per controllare l'accesso alle KMS chiavi, è possibile utilizzare i seguenti meccanismi di policy.

  • Politica chiave: ogni KMS chiave ha una politica chiave. È il meccanismo principale per controllare l'accesso a una KMS chiave. È possibile utilizzare solo la politica chiave per controllare l'accesso, il che significa che l'intero ambito di accesso alla KMS chiave è definito in un unico documento (la politica chiave). Per ulteriori informazioni sull'utilizzo delle policy delle chiavi, consulta Policy delle chiavi.

  • IAMpolitiche: è possibile utilizzare IAM le politiche in combinazione con la politica e le concessioni chiave per controllare l'accesso a una KMS chiave. Il controllo dell'accesso in questo modo ti consente di gestire tutte le autorizzazioni per le tue IAM identità in. IAM Per utilizzare una IAM policy che consenta l'accesso a una KMS chiave, la policy chiave deve consentirlo esplicitamente. Per ulteriori informazioni sull'utilizzo delle IAM politiche, vedereIAMpolitiche.

  • Sovvenzioni: è possibile utilizzare le sovvenzioni in combinazione con la politica e IAM le politiche chiave per consentire l'accesso a una KMS chiave. Il controllo dell'accesso in questo modo consente di consentire l'accesso alla KMS chiave contenuta nella policy chiave e di consentire alle identità di delegare il proprio accesso ad altri. Per ulteriori informazioni sull'utilizzo di concessioni, consulta Sovvenzioni in AWS KMS.

KMSpolitiche chiave

Il modo principale per gestire l'accesso alle AWS KMS risorse è tramite policy. Le policy sono documenti che descrivono quali principali possono accedere a quali risorse. Le politiche associate a un'IAMidentità sono chiamate politiche (o politiche) basate sull'identità e IAMle politiche associate ad altri tipi di risorse sono chiamate politiche relative alle risorse. AWS KMS le politiche relative alle risorse per KMS le chiavi sono chiamate politiche chiave.

Tutte KMS le chiavi hanno una politica chiave. Se non ne fornisci una, ne AWS KMS crea una per te. La politica delle chiavi predefinita AWS KMS utilizzata varia a seconda che si crei la chiave nella AWS KMS console o si utilizzi la AWS KMS API. Ti consigliamo di modificare la politica delle chiavi predefinita per allinearla ai requisiti dell'organizzazione per le autorizzazioni con privilegi minimi.

È possibile utilizzare la politica chiave da sola per controllare l'accesso se la chiave e il IAM principale si trovano nello stesso AWS account, il che significa che l'intero ambito di accesso alla KMS chiave è definito in un unico documento (la politica chiave). Tuttavia, quando un chiamante di un account deve accedere a una chiave in un account diverso, non è possibile utilizzare solo la politica delle chiavi per concedere l'accesso. In uno scenario con più account, è necessario allegare all'utente o al ruolo del chiamante una IAM politica che consenta esplicitamente al chiamante di effettuare la chiamata. API

È inoltre possibile utilizzare IAM le politiche in combinazione con le politiche e le concessioni chiave per controllare l'accesso a una chiave. KMS Per utilizzare una IAM politica per controllare l'accesso a una KMS chiave, la politica chiave deve concedere all'account l'autorizzazione a utilizzare IAM le politiche. È possibile specificare una dichiarazione politica chiave che abiliti IAM le politiche oppure specificare esplicitamente i principi consentiti nella politica chiave.

Durante la stesura delle politiche, assicurati di disporre di controlli rigorosi che limitino chi può eseguire le seguenti azioni:

  • Aggiorna, crea IAM ed elimina le politiche KMS chiave

  • Allega e scollega IAM le politiche da utenti, ruoli e gruppi

  • Allega e scollega le politiche KMS chiave dalle tue chiavi KMS

KMSsovvenzioni chiave

Oltre alle IAM politiche chiave, AWS KMS sostiene le sovvenzioni. Le sovvenzioni offrono un modo flessibile e potente per delegare le autorizzazioni. Puoi utilizzare le sovvenzioni per concedere un accesso con KMS chiave limitata nel tempo ai IAM responsabili del tuo AWS account o di altri account. AWS Ti consigliamo di emettere un accesso limitato nel tempo se non conosci i nomi dei responsabili al momento della creazione delle politiche o se i principali che richiedono l'accesso cambiano frequentemente. Il titolare del beneficiario può essere intestato allo stesso conto della chiave o a un conto diverso. KMS Se il principale e la KMS chiave si trovano in conti diversi, è necessario specificare una IAM politica oltre alla sovvenzione. Le sovvenzioni richiedono una gestione aggiuntiva perché è necessario API chiamare un addetto per creare la sovvenzione e ritirarla o revocarla quando non è più necessaria.

I seguenti argomenti forniscono dettagli su come utilizzare AWS Identity and Access Management (IAM) e AWS KMS le autorizzazioni per proteggere le risorse controllando chi può accedervi.