Le migliori pratiche per le sovvenzioni AWS KMS - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le migliori pratiche per le sovvenzioni AWS KMS

AWS KMS consiglia le seguenti best practice per la creazione, l'utilizzo e la gestione delle sovvenzioni.

  • Limita le autorizzazioni nella concessione a quelle richieste dall'assegnatario principale. Utilizzare il principio di accesso meno privilegiato.

  • Utilizza uno specifico beneficiario principale, ad esempio un IAM ruolo, e concedi al beneficiario il permesso principale di utilizzare solo le API operazioni necessarie.

  • Utilizzate i vincoli di concessione del contesto di crittografia per garantire che i chiamanti utilizzino la chiave per lo scopo previsto. KMS Per informazioni dettagliate su come utilizzare il contesto di crittografia in una richiesta di protezione dei dati, consulta Come proteggere l'integrità dei dati crittografati utilizzando AWS Key Management Service e EncryptionContext nel blog sulla AWS sicurezza.

    Suggerimento

    Utilizza il vincolo di EncryptionContextEqualconcessione ogni volta che è possibile. Il vincolo di EncryptionContextSubsetconcessione è più difficile da usare correttamente. Se devi utilizzarlo, leggi attentamente la documentazione e testa il vincolo di concessione per assicurarti che funzioni come previsto.

  • Eliminare concessioni duplicate. Le sovvenzioni duplicate hanno la stessa chiaveARN, le stesse API azioni, il principale del beneficiario, il contesto di crittografia e lo stesso nome. Se ritiri o revochi la concessione originale ma lasci i duplicati, le concessioni duplicate rimanenti rappresentano escalation involontarie di privilegi. Per evitare di duplicare le concessioni quando riprovi una richiesta CreateGrant, utilizza il parametro Name. Per rilevare concessioni duplicate, usa l'operazione. ListGrants Se crei accidentalmente una concessione duplicata, ritirala o revocala il prima possibile.

    Nota

    Le concessioni per chiavi gestite da AWS potrebbero sembrare duplicate ma avere diversi assegnatari principali.

    Il campo GranteePrincipal nella risposta ListGrants contiene solitamente il principal dell'assegnatario della concessione. Tuttavia, quando il beneficiario principale della sovvenzione è un AWS servizio, il GranteePrincipal campo contiene il principale del servizio, che potrebbe rappresentare diversi committenti del beneficiario.

  • Ricorda che le concessioni non scadono automaticamente. Ritira o revoca la concessione non appena l'autorizzazione non sarà più necessaria. Le concessioni che non vengono eliminate potrebbero creare un rischio per la sicurezza delle risorse crittografate.