Analisi delle concessioni - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Analisi delle concessioni

Le sovvenzioni sono meccanismi avanzati per specificare le autorizzazioni che l'utente o un AWS servizio integrato AWS KMS può utilizzare per specificare come e quando una KMS chiave può essere utilizzata. Le sovvenzioni sono allegate a una KMS chiave e ogni concessione contiene il principale che riceve l'autorizzazione a utilizzare la KMS chiave e un elenco di operazioni consentite. Le concessioni sono un'alternativa alla policy delle chiavi e sono utili per casi d'uso specifici. Per ulteriori informazioni, consulta Sovvenzioni in AWS KMS.

Per ottenere un elenco di concessioni per una KMS chiave, usa l' AWS KMS ListGrantsoperazione. Puoi esaminare le sovvenzioni alla ricerca di una KMS chiave per determinare chi o cosa ha attualmente accesso all'uso della KMS chiave tramite tali sovvenzioni. Ad esempio, quanto segue è una JSON rappresentazione di una concessione ottenuta dal comando list-grants in. AWS CLI

{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}

Per scoprire chi o cosa ha accesso all'uso della KMS chiave, cercate l'elemento. "GranteePrincipal" Nell'esempio precedente, il beneficiario principale è un utente con ruolo assunto associato all'istanza i-5d476fab. EC2 L'EC2infrastruttura utilizza questo ruolo per collegare il volume crittografato vol-5cccfb4e all'istanza. EBS In questo caso, il ruolo di EC2 infrastruttura è autorizzato a utilizzare la KMS chiave perché in precedenza è stato creato un EBS volume crittografato protetto da questa chiave. KMS Il volume è stato quindi collegato a un'EC2istanza.

Di seguito è riportato un altro esempio di JSON rappresentazione di una concessione ottenuta dal comando list-grants in. AWS CLI Nel seguente esempio, il beneficiario principale è un altro. Account AWS

{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}