Analisi delle policy IAM - AWS Key Management Service
Esame delle politiche con il simulatore di politiche IAM IAMEsaminando le politiche IAM con il IAM API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Analisi delle policy IAM

Oltre alla politica chiave e alle sovvenzioni, puoi anche utilizzare IAMle politiche per consentire l'accesso a una KMS chiave. Per ulteriori informazioni su come IAM le politiche e le politiche chiave interagiscono, consultaRisoluzione dei problemi relativi alle AWS KMS autorizzazioni.

Per determinare quali responsabili hanno attualmente accesso a una KMS chiave tramite IAM le policy, puoi utilizzare lo strumento IAMPolicy Simulator basato su browser oppure puoi effettuare richieste a. IAM API

Esame delle politiche con il simulatore di politiche IAM IAM

Il IAM Policy Simulator può aiutarti a scoprire quali mandanti hanno accesso a una KMS chiave attraverso una politica. IAM

Utilizzare il simulatore di IAM policy per determinare l'accesso a una chiave KMS

  1. Accedi a, quindi apri AWS Management Console il IAM Policy Simulator all'indirizzo. https://policysim.aws.amazon.com/

  2. Nel riquadro Users, Groups, and Roles (Utenti, gruppi e ruoli), scegliere l'utente, il gruppo o il ruolo del quale si intende simulare le policy.

  3. (Opzionale) Deseleziona la casella di controllo accanto a qualsiasi policy che desideri omettere dalla simulazione. Per simulare tutte le policy, lascia tutte le policy selezionate.

  4. Nel riquadro Policy Simulator (Simulatore di policy), seguire la procedura riportata di seguito:

    1. Per Select service (Seleziona servizio), scegliere Key Management Service.

    2. Per simulare AWS KMS azioni specifiche, in Seleziona azioni, scegli le azioni da simulare. Per simulare tutte le AWS KMS azioni, scegliete Seleziona tutto.

  5. (Facoltativo) Il Policy Simulator simula l'accesso a tutte le KMS chiavi per impostazione predefinita. Per simulare l'accesso a una KMS chiave specifica, scegli Impostazioni di simulazione, quindi digita l'Amazon Resource Name (ARN) della KMS chiave da simulare.

  6. Scegliere Run Simulation (Esegui simulazione).

È possibile visualizzare i risultati della simulazione nella sezione Results (Risultati). Ripeti le fasi da 2 a 6 per ogni utente, gruppo e ruolo nell' Account AWS.

Esaminando le politiche IAM con il IAM API

È possibile utilizzare il IAM API per esaminare le IAM politiche a livello di codice. Le seguenti fasi forniscono una panoramica generale su come eseguire questa operazione:

  1. Per ognuna delle entità Account AWS elencate come principali nella policy chiave (ovvero, ciascuna entitàAWS dell'account specificata in questo formato:"Principal": {"AWS": "arn:aws:iam::111122223333:root"}), utilizza le ListRolesoperazioni ListUsersand in IAM API per visualizzare tutti gli utenti e i ruoli nell'account.

  2. Per ogni utente e ruolo nell'elenco, utilizzate l'SimulatePrincipalPolicyoperazione in IAMAPI, inserendo i seguenti parametri:

    • PerPolicySourceArn, specifica l'Amazon Resource Name (ARN) di un utente o di un ruolo dal tuo elenco. Puoi specificare un solo PolicySourceArn per ogni richiesta SimulatePrincipalPolicy, pertanto è necessario chiamare questa operazione più volte, una volta per ogni utente e ruolo nell'elenco.

    • Per l'ActionNameselenco, specifica ogni AWS KMS API azione da simulare. Per simulare tutte le AWS KMS API azioni, usa. kms:* Per testare AWS KMS API le singole azioni, fai precedere ogni API azione da "kms:«, ad esempio"»kms:ListKeys. Per un elenco completo delle AWS KMS API azioni, consulta Azioni nel AWS Key Management Service APIriferimento.

    • (Facoltativo) Per determinare se gli utenti o i ruoli hanno accesso a KMS chiavi specifiche, utilizza il ResourceArns parametro per specificare un elenco di Amazon Resource Names (ARNs) delle KMS chiavi. Per determinare se gli utenti o i ruoli hanno accesso a qualsiasi KMS chiave, ometti il ResourceArns parametro.

IAMrisponde a ogni SimulatePrincipalPolicy richiesta con una decisione di valutazione:allowed,explicitDeny, o. implicitDeny Per ogni risposta che contiene una decisione di valutazione diallowed, la risposta include il nome dell' AWS KMS APIoperazione specifica consentita. Include anche ARN l'eventuale KMS chiave utilizzata nella valutazione.