Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Analisi della policy delle chiavi
Le politiche chiave sono il modo principale per controllare l'accesso alle KMS chiavi. Ogni KMS chiave ha esattamente una politica chiave.
Quando una politica chiave è costituita o include la politica chiave predefinita, la politica chiave consente IAM agli amministratori dell'account IAM di utilizzare le politiche per controllare l'accesso alla KMS chiave. Inoltre, se la politica chiave fornisce un'altra Account AWS autorizzazione all'uso della KMS chiave, IAM gli amministratori dell'account esterno possono utilizzare IAM le politiche per delegare tali autorizzazioni. Per determinare l'elenco completo dei responsabili che possono accedere alla KMS chiave, esamina le politiche. IAM
Per visualizzare la politica chiave di una chiave gestita AWS KMS dal cliente o Chiave gestita da AWSnel tuo account, utilizza l'GetKeyPolicyoperazione AWS Management Console o in. AWS KMS API Per visualizzare la politica chiave, è necessario disporre kms:GetKeyPolicy delle autorizzazioni per la KMS chiave. Per istruzioni sulla visualizzazione della politica chiave per una KMS chiave, vedereVisualizza una politica chiave.
Esamina il documento di policy delle chiavi e prendi nota di tutti i principali specificati in ciascun elemento Principal dell'istruzione di policy. In una dichiarazione politica con Allow effetto, gli IAM utenti, IAM i ruoli e Account AWS l'Principalelemento hanno accesso a questa KMS chiave.
Nota
Non impostare il principale su un asterisco (*) in un'istruzione della policy della chiave che consenta autorizzazioni, a meno che non utilizzi condizioni per limitare la policy della chiave. Un asterisco indica ogni identità in ogni Account AWS autorizzazione all'uso della KMS chiave, a meno che un'altra dichiarazione politica non lo neghi esplicitamente. Gli utenti di altri paesi Account AWS possono utilizzare la tua KMS chiave ogni volta che dispongono delle autorizzazioni corrispondenti nel proprio account.
I seguenti esempi utilizzano le istruzioni di policy incluse nella policy delle chiavi predefinita per mostrare come eseguire questa operazione.
Esempio Istruzione di policy 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }
Nella dichiarazione politica 1, arn:aws:iam::111122223333:root è un intestatario AWS del conto che si riferisce al Account AWS 111122223333. (Non è l'utente root dell'account). Per impostazione predefinita, una dichiarazione politica come questa viene inclusa nel documento di policy chiave quando si crea una nuova KMS chiave con o si crea una nuova KMS chiave a livello di codice ma non si fornisce una politica chiave. AWS Management Console
Un documento di policy chiave con una dichiarazione che consente l'accesso alle IAMpolitiche di abilitazione presenti nell'account per consentire l'accesso alla KMS chiave. Account AWS Ciò significa che gli utenti e i ruoli dell'account potrebbero avere accesso alla KMS chiave anche se non sono esplicitamente elencati come responsabili nel documento di policy chiave. Assicurati di esaminare tutte le IAM politiche Account AWS elencate come principali per determinare se consentono l'accesso a questa chiave. KMS
Esempio Istruzione di policy 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
Nella dichiarazione politica 2, arn:aws:iam::111122223333:role/KMSKeyAdmins si riferisce al IAM ruolo indicato KMSKeyAdmins in Account AWS 111122223333. Gli utenti autorizzati ad assumere questo ruolo sono autorizzati a eseguire le azioni elencate nella dichiarazione politica, ovvero le azioni amministrative per la gestione di una KMS chiave.
Esempio Istruzione di policy 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }
Nella dichiarazione politica 3, arn:aws:iam::111122223333:role/EncryptionApp si riferisce al IAM ruolo denominato EncryptionApp in Account AWS 111122223333. I responsabili autorizzati ad assumere questo ruolo sono autorizzati a eseguire le azioni elencate nella dichiarazione politica, che includono le operazioni crittografiche per una chiave di crittografia simmetrica. KMS
Esempio Istruzione di policy 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Nella dichiarazione politica 4, arn:aws:iam::111122223333:role/EncryptionApp si riferisce al IAM ruolo denominato in 111122223333. EncryptionApp Account AWS I principali autorizzati ad assumere questo ruolo sono autorizzati a eseguire le operazioni elencate nell'istruzione della policy. Queste azioni, se combinate con le azioni consentite nell'esempio della dichiarazione politica 3, sono quelle necessarie per delegare l'uso della KMS chiave alla maggior parte dei servizi che si integrano con AWS KMS, in particolare ai AWS servizi che utilizzano sovvenzioni. Il GrantIsFor AWSResource valore kms: nell'Conditionelemento assicura che la delega sia consentita solo quando il delegato è un AWS servizio che si integra AWS KMS e utilizza le concessioni di autorizzazione.
Per scoprire tutti i diversi modi in cui è possibile specificare un principale in un documento di policy chiave, consulta Specificare un principale nella Guida per l'utente. IAM
Per ulteriori informazioni sulle politiche AWS KMS chiave, consultaPolitiche chiave in AWS KMS.
