Controlla l'accesso all'eliminazione delle chiavi - AWS Key Management Service
Consenti agli amministratori delle chiavi di pianificare e annullare l'eliminazione delle chiavi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso all'eliminazione delle chiavi

Se si utilizzano IAM criteri per consentire le AWS KMS autorizzazioni, IAM le identità con accesso AWS amministratore ("Action": "*") o accesso AWS KMS completo ("Action": "kms:*") possono già pianificare e annullare l'eliminazione delle KMS chiavi. Per consentire agli amministratori delle chiavi di pianificare e annullare l'eliminazione delle chiavi nella politica delle chiavi, utilizza la AWS KMS console o il. AWS KMS API

In genere, solo gli amministratori delle chiavi sono in grado di pianificare o annullare l'eliminazione delle chiavi. Tuttavia, puoi concedere queste autorizzazioni ad altre IAM identità aggiungendo l'kms:CancelKeyDeletionautorizzazione kms:ScheduleKeyDeletion and alla politica chiave o a una politica. IAM Puoi anche utilizzare la chiave kms:ScheduleKeyDeletionPendingWindowInDayscondition per limitare ulteriormente i valori che i principali possono specificare nel PendingWindowInDays parametro di una richiesta. ScheduleKeyDeletion

Consenti agli amministratori delle chiavi di pianificare e annullare l'eliminazione delle chiavi

Per concedere agli amministratori delle chiavi l'autorizzazione per pianificare e annullare l'eliminazione delle chiavi.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliete l'alias o l'ID della chiave di cui desiderate modificare le KMS autorizzazioni.

  5. Scegli la scheda Key policy (Policy delle chiavi).

  6. Il passaggio successivo è diverso per la visualizzazione predefinita e la visualizzazione della policy della policy delle chiavi. La visualizzazione predefinita è disponibile solo se utilizzi la policy delle chiavi di console predefinita. In caso contrario, è disponibile solo la visualizzazione della policy.

    Quando è disponibile la visualizzazione predefinita, nella scheda Key policy (Policy delle chiavi) viene visualizzato il pulsante Switch to policy view (Passa alla visualizzazione della policy) o Switch to default view (Passa alla visualizzazione predefinita).

    • Nella visualizzazione predefinita:

      1. In Key deletion (Eliminazione chiave), seleziona Allow key administrators to delete this key (Consenti agli amministratori delle chiavi di eliminare questa chiave).

    • Nella visualizzazione della policy:

      1. Scegli Modifica.

      2. Nell'istruzione della policy per gli amministratori delle chiavi, aggiungi le autorizzazioni kms:ScheduleKeyDeletion e kms:CancelKeyDeletion all'elemento Action.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Scegli Save changes (Salva modifiche).

È possibile utilizzare il AWS Command Line Interface per aggiungere le autorizzazioni per la pianificazione e l'annullamento dell'eliminazione delle chiavi.

Per aggiungere l'autorizzazione per pianificare e annullare l'eliminazione di chiavi

  1. Utilizzare il comando aws kms get-key-policy per recuperare la policy delle chiavi esistente, quindi salvare il documento di policy in un file.

  2. Apri il documento della policy nell'editor di testo preferito. Nell'istruzione della policy per gli amministratori delle chiavi, aggiungi le autorizzazioni kms:ScheduleKeyDeletion e kms:CancelKeyDeletion. L'esempio seguente mostra un'istruzione di policy con queste due autorizzazioni:

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Utilizzate il aws kms put-key-policycomando per applicare la politica della chiave alla chiave. KMS