Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Analisi della policy delle chiavi
Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Ogni chiave KMS ha esattamente una policy chiave.
Quando una policy delle chiavi è costituita da o include la policy chiave predefinita, la policy chiave consente agli amministratori IAM dell'account di utilizzare le policy IAM per controllare l'accesso alla chiave KMS. Inoltre, se la policy delle chiavi concede a un altro Account AWS l'autorizzazione per utilizzare la chiave KMS, gli amministratori IAM dell'account esterno possono utilizzare le policy IAM per delegare tali autorizzazioni. Per determinare l'elenco completo dei principali che possono accedere alla chiave KMS, esamina le policy IAM.
Per visualizzare la politica chiave di una chiave gestita AWS KMS dal cliente o Chiave gestita da AWSnel tuo account, utilizza AWS Management Console o l'GetKeyPolicyoperazione nell'AWS KMSAPI. Per visualizzare la policy delle chiavi, è necessario disporre delle autorizzazioni kms:GetKeyPolicy per la chiave KMS. Per istruzioni sulla visualizzazione delle policy delle chiave per una chiave KMS, consulta Visualizzazione di una policy di chiave.
Esamina il documento di policy delle chiavi e prendi nota di tutti i principali specificati in ciascun elemento Principal dell'istruzione di policy. In un'istruzione della policy con un effetto Allow, gli utenti IAM, i ruoli IAM e l'Account AWS nell'elemento Principal hanno accesso a questa chiave KMS.
Nota
Non impostare il principale su un asterisco (*) in un'istruzione della policy della chiave che consenta autorizzazioni, a meno che non utilizzi condizioni per limitare la policy della chiave. Un asterisco dà ogni identità in ogni Account AWS l'autorizzazione a utilizzare la chiave KMS, a meno che un'altra istruzione di policy lo neghi esplicitamente. Gli utenti in altri Account AWS possono utilizzare la tua chiave KMS ogni qualvolta dispongono delle autorizzazioni corrispondenti nel loro account.
I seguenti esempi utilizzano le istruzioni di policy incluse nella policy delle chiavi predefinita per mostrare come eseguire questa operazione.
Esempio Istruzione di policy 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }
Nell'istruzione della policy 1, arn:aws:iam::111122223333:root è un principale dell'account AWS che si riferisce all'Account AWS 111122223333. (Non è l'utente root dell'account). Per impostazione predefinita, un'istruzione della policy come questa è inclusa nel documento della policy delle chiavi quando crei una nuova chiave KMS con la AWS Management Console o quando crei una nuova chiave KMS in modo programmatico ma non fornisci una policy delle chiavi.
Un documento di policy delle chiavi con un'istruzione che consente l'accesso all'Account AWS consente policy IAM nell'account per concedere l'accesso alla chiave KMS. Pertanto, gli utenti e i ruoli nell'account potrebbero avere accesso alla chiave KMS anche se non sono elencati in modo esplicito come principali nel documento di policy delle chiavi. Esamina tutte le policy IAM in tutti gli Account AWS elencati come principali per determinare se consentono l'accesso a questa chiave KMS.
Esempio Istruzione di policy 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
Nella dichiarazione politica 2, arn:aws:iam::111122223333:role/KMSKeyAdmins fa riferimento al ruolo IAM denominato KMS KeyAdmins in Account AWS 111122223333. Gli utenti autorizzati ad assumere questo ruolo sono autorizzati ad eseguire le operazioni elencate nell'istruzione della policy, che sono le operazioni amministrative per la gestione di una chiave KMS.
Esempio Istruzione di policy 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }
Nella dichiarazione politica 3, arn:aws:iam::111122223333:role/EncryptionApp fa riferimento al ruolo IAM denominato EncryptionApp in 111122223333. Account AWS I principali autorizzati ad assumere questo ruolo sono autorizzati a eseguire le operazioni riportate nell'istruzione della policy, che includono le operazioni di crittografia per una chiave KMS di crittografia simmetrica.
Esempio Istruzione di policy 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Nella dichiarazione politica 4, arn:aws:iam::111122223333:role/EncryptionApp fa riferimento al ruolo IAM denominato EncryptionApp in Account AWS 111122223333. I principali autorizzati ad assumere questo ruolo sono autorizzati a eseguire le operazioni elencate nell'istruzione della policy. Queste operazioni, quando combinate con le operazioni consentite nell'Esempio di istruzione 3 della policy, sono quelle necessarie per delegare l'utilizzo della chiave KMS alla maggior parte dei servizi AWS che si integrano con AWS KMS, in particolare i servizi che utilizzano concessioni. Il GrantIsFor AWSResource valore kms: nell'Conditionelemento assicura che la delega sia consentita solo quando il delegato è un AWS servizio che si integra AWS KMS e utilizza le concessioni per l'autorizzazione.
Per informazioni sui diversi modi in cui è possibile specificare un principale in un documento della policy chiave, consulta Specifica un principale nella Guida per l'utente IAM.
Per ulteriori informazioni sulle policy delle chiavi AWS KMS consulta Politiche chiave in AWS KMS.
