Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Analisi della policy delle chiavi
Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Ogni chiave KMS ha esattamente una policy chiave.
Quando una policy delle chiavi è costituita da o include la policy chiave predefinita, la policy chiave consente agli amministratori IAM dell'account di utilizzare le policy IAM per controllare l'accesso alla chiave KMS. Inoltre, se la policy delle chiavi concede a un altro Account AWS l'autorizzazione per utilizzare la chiave KMS, gli amministratori IAM dell'account esterno possono utilizzare le policy IAM per delegare tali autorizzazioni. Per determinare l'elenco completo dei principali che possono accedere alla chiave KMS, esamina le policy IAM.
Per visualizzare la politica chiave di una chiave gestita AWS KMS dal cliente o Chiave gestita da AWSnel tuo account, utilizza l'GetKeyPolicyoperazione AWS Management Console o nell'API. AWS KMS Per visualizzare la policy delle chiavi, è necessario disporre delle autorizzazioni kms:GetKeyPolicy per la chiave KMS. Per istruzioni sulla visualizzazione delle policy delle chiave per una chiave KMS, consulta Visualizza una politica chiave.
Esamina il documento di policy delle chiavi e prendi nota di tutti i principali specificati in ciascun elemento Principal dell'istruzione di policy. In una dichiarazione politica con Allow effetto, gli utenti IAM, i ruoli IAM e Account AWS nell'Principalelemento hanno accesso a questa chiave KMS.
Nota
Non impostare il principale su un asterisco (*) in un'istruzione della policy della chiave che consenta autorizzazioni, a meno che non utilizzi condizioni per limitare la policy della chiave. Un asterisco indica ogni identità in ogni Account AWS autorizzazione all'uso della chiave KMS, a meno che un'altra dichiarazione politica non lo neghi esplicitamente. Gli utenti di altri paesi Account AWS possono utilizzare la tua chiave KMS ogni volta che dispongono delle autorizzazioni corrispondenti nel proprio account.
I seguenti esempi utilizzano le istruzioni di policy incluse nella policy delle chiavi predefinita per mostrare come eseguire questa operazione.
Esempio Istruzione di policy 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }
Nella dichiarazione politica 1, arn:aws:iam::111122223333:root è l'intestazione AWS del conto che si riferisce al Account AWS 111122223333. (Non è l'utente root dell'account). Per impostazione predefinita, una dichiarazione politica come questa viene inclusa nel documento della politica chiave quando si crea una nuova chiave KMS con o si crea una nuova chiave KMS a livello di codice AWS Management Console, ma non si fornisce una politica chiave.
Un documento strategico chiave con una dichiarazione che consente l'accesso alle politiche IAM Account AWS abilitate all'account per consentire l'accesso alla chiave KMS. Pertanto, gli utenti e i ruoli nell'account potrebbero avere accesso alla chiave KMS anche se non sono elencati in modo esplicito come principali nel documento di policy delle chiavi. Assicurati di esaminare tutte le policy IAM Account AWS elencate come principali per determinare se consentono l'accesso a questa chiave KMS.
Esempio Istruzione di policy 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
Nella dichiarazione politica 2, arn:aws:iam::111122223333:role/KMSKeyAdmins fa riferimento al ruolo IAM denominato KMSKey Admins in 111122223333. Account AWS Gli utenti autorizzati ad assumere questo ruolo sono autorizzati ad eseguire le operazioni elencate nell'istruzione della policy, che sono le operazioni amministrative per la gestione di una chiave KMS.
Esempio Istruzione di policy 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }
Nella dichiarazione politica 3, arn:aws:iam::111122223333:role/EncryptionApp fa riferimento al ruolo IAM denominato in 111122223333. EncryptionApp Account AWS I principali autorizzati ad assumere questo ruolo sono autorizzati a eseguire le operazioni riportate nell'istruzione della policy, che includono le operazioni di crittografia per una chiave KMS di crittografia simmetrica.
Esempio Istruzione di policy 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Nella dichiarazione politica 4, arn:aws:iam::111122223333:role/EncryptionApp fa riferimento al ruolo IAM denominato EncryptionApp in Account AWS 111122223333. I principali autorizzati ad assumere questo ruolo sono autorizzati a eseguire le operazioni elencate nell'istruzione della policy. Queste operazioni, quando combinate con le operazioni consentite nell'Esempio di istruzione 3 della policy, sono quelle necessarie per delegare l'utilizzo della chiave KMS alla maggior parte dei servizi AWS che si integrano con AWS KMS, in particolare i servizi che utilizzano concessioni. Il GrantIsFor AWSResource valore kms: nell'Conditionelemento assicura che la delega sia consentita solo quando il delegato è un AWS servizio che si integra AWS KMS e utilizza le concessioni per l'autorizzazione.
Per informazioni sui diversi modi in cui è possibile specificare un principale in un documento della policy chiave, consulta Specifica un principale nella Guida per l'utente IAM.
Per ulteriori informazioni sulle politiche AWS KMS chiave, consulta. Politiche chiave in AWS KMS
