Sovvenzioni in AWS KMS

Una sovvenzione è uno strumento politico che consente ai AWS mandanti di utilizzare KMS le chiavi nelle operazioni crittografiche. Può anche consentire loro di visualizzare una KMS chiave (DescribeKey) e creare e gestire le sovvenzioni. Quando si autorizza l'accesso a una KMS chiave, le sovvenzioni vengono prese in considerazione insieme alle politiche e alle politiche chiave. IAM Le sovvenzioni vengono spesso utilizzate per autorizzazioni temporanee perché è possibile crearne una, utilizzarne le autorizzazioni ed eliminarla senza modificare le politiche o le politiche chiave. IAM

Le sovvenzioni vengono comunemente utilizzate dai AWS servizi che si integrano con AWS KMS per crittografare i dati inattivi. Il servizio crea una concessione per conto di un utente nell'account, ne utilizza le autorizzazioni e la revoca non appena l'attività è completata. Per informazioni dettagliate sull'utilizzo delle sovvenzioni da parte AWS dei servizi, consulta l'argomento Encryption at rest nella guida per l'utente del servizio o nella guida per sviluppatori.

Le concessioni sono un meccanismo di controllo degli accessi molto flessibile e utile. Quando si crea una concessione per una KMS chiave, la concessione consente al committente beneficiario di richiamare le operazioni di concessione specificate sulla KMS chiave, a condizione che tutte le condizioni specificate nella concessione siano soddisfatte.

Ogni concessione consente l'accesso a una sola KMS chiave. È possibile creare una concessione per una KMS chiave in un'altra Account AWS.
Una concessione può consentire l'accesso a una KMS chiave, ma non negare l'accesso.
Ogni concessione ha un beneficiario principale. Il beneficiario principale può rappresentare una o più identità nella Account AWS stessa KMS chiave o in un account diverso.
Una concessione può consentire solo operazioni di concessione. Le operazioni di sovvenzione devono essere supportate dalla KMS chiave contenuta nella sovvenzione. Se si specifica un'operazione non supportata, la CreateGrantrichiesta ha esito negativo con un'ValidationErroreccezione.
Il beneficiario può utilizzare le autorizzazioni concesse dalla concessione senza specificare la concessione, proprio come farebbe se le autorizzazioni provenissero da una politica o una politica chiave. IAM Tuttavia, poiché AWS KMS API segue un eventuale modello di coerenza, quando si crea, si ritira o si revoca una sovvenzione, è possibile che si verifichi un breve ritardo prima che la modifica sia disponibile per intero. AWS KMS Per utilizzare immediatamente le autorizzazioni in una concessione, usa un token di concessione.
Un principale autorizzato può eliminare la concessione (ritirala o revocala). L'eliminazione di una concessione elimina tutte le autorizzazioni consentite dalla concessione. Non è necessario individuare le policy da aggiungere o rimuovere per annullare la concessione.
AWS KMS limita il numero di sovvenzioni per ogni chiave. KMS Per informazioni dettagliate, consultare Sovvenzioni per KMS chiave: 50.000.

Prestare attenzione quando si creano concessione e quando si concede ad altri l'autorizzazione di creare concessione. L'autorizzazione a creare sovvenzioni ha implicazioni sulla sicurezza, proprio come concedere il permesso di kms: PutKeyPolicy autorizzazione a impostare politiche.

Gli utenti autorizzati a creare sovvenzioni per una KMS chiave (kms:CreateGrant) possono utilizzare una concessione per consentire a utenti e ruoli, inclusi i AWS servizi, di utilizzare la chiave. KMS I principali possono essere identità proprie Account AWS o identità appartenenti a un account o a un'organizzazione diversi.
Le sovvenzioni possono consentire solo un sottoinsieme di operazioni. AWS KMS È possibile utilizzare le sovvenzioni per consentire ai responsabili di visualizzare la KMS chiave, utilizzarla nelle operazioni crittografiche e creare e ritirare le sovvenzioni. Per informazioni dettagliate, consulta .Operazioni di concessione. È possibile utilizzare anche i vincoli di concessione per limitare le autorizzazioni nell'ambito di una concessione per una chiave crittografica simmetrica.
I mandanti possono ottenere il permesso di creare sovvenzioni sulla base di una politica o di una politica chiave. IAM I mandanti che ottengono kms:CreateGrant l'autorizzazione da una politica possono creare sovvenzioni per qualsiasi operazione di concessione sulla chiave. KMS Questi principali non sono tenuti ad avere l'autorizzazione che stanno concedendo sulla chiave. Quando si consente un'autorizzazione kms:CreateGrant in una policy, è possibile utilizzare le condizioni della policy per limitare questa autorizzazione.
I principali possono inoltre ottenere l'autorizzazione per creare concessioni da una concessione. Questi responsabili possono delegare solo le autorizzazioni che sono state loro concesse, anche se dispongono di altre autorizzazioni previste da una politica. Per informazioni dettagliate, consultare Concessione dell'autorizzazione CreateGrant .

Concetti delle concessioni

Per utilizzare le concessioni in modo efficace, è necessario comprendere i termini e i concetti che AWS KMS usa.

Vincoli di concessione

Condizione che limita le autorizzazioni nella concessione. Attualmente, AWS KMS supporta vincoli di concessione basati sul contesto di crittografia nella richiesta di un'operazione crittografica. Per informazioni dettagliate, consultare Utilizzo dei vincoli di concessione.

ID concessione

L'identificatore univoco di una concessione per una chiave. KMS È possibile utilizzare un ID di concessione, insieme a un identificatore chiave, per identificare una concessione in una richiesta RetireGrantor RevokeGrant.

Operazioni di concessione

Le AWS KMS operazioni che puoi consentire in una sovvenzione. Se si specificano altre operazioni, la CreateGrantrichiesta ha esito negativo con un'ValidationErroreccezione. Queste sono anche le operazioni che accettano un token di concessione. Per informazioni dettagliate sulla modifica di queste autorizzazioni, consulta AWS KMS autorizzazioni.

Queste operazioni di concessione rappresentano effettivamente l'autorizzazione per l'utilizzo dell'operazione. Pertanto, per l'operazione ReEncrypt, puoi specificare ReEncryptFrom, ReEncryptTo o entrambi ReEncrypt*.

Le operazioni di concessione sono:

Operazioni di crittografia
Altre operazioni

Le operazioni di concessione consentite devono essere supportate dalla KMS chiave contenuta nella concessione. Se si specifica un'operazione non supportata, la CreateGrantrichiesta ha esito negativo con un'ValidationErroreccezione. Ad esempio, le concessioni per le KMS chiavi di crittografia simmetriche non possono consentire le operazioni Sign, Verify o. GenerateMacVerifyMac Le sovvenzioni per chiavi asimmetriche non possono consentire alcuna operazione che generi KMS chiavi di dati o coppie di chiavi di dati.

Concessione di token

AWS KMS APISegue un eventuale modello di coerenza. Quando crei una concessione, potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Generalmente, occorrono pochissimi secondi per la propagazione della modifica in tutto il sistema, ma in alcuni casi possono essere necessari diversi minuti. Se provi a utilizzare una concessione prima della propagazione in tutto il sistema, potrebbe verificarsi un errore di accesso negato. Un token di concessione consente di fare riferimento alla concessione e di utilizzare immediatamente le autorizzazioni di concessione.

Un grant token (token di concessione) è una stringa univoca, non segreta, di lunghezza variabile, codificata in base64 che rappresenta una concessione. È possibile utilizzare il token di concessione per identificare la concessione in qualsiasi operazione di concessione. Tuttavia, poiché il valore del token è un hash digest, non rivela alcun dettaglio sulla concessione.

Un token di concessione è progettato in modo da poter essere utilizzato solo quando la concessione si è propagata in AWS KMS. Dopo di che, l'assegnatario principale può utilizzare l'autorizzazione nella concessione senza fornire un token di concessione o qualsiasi altra prova della concessione. È possibile utilizzare un token di concessione in qualsiasi momento, ma una volta che la concessione è alla fine coerente, AWS KMS utilizza la concessione per determinare le autorizzazioni, non il token di concessione.

Ad esempio, il comando seguente richiama l'GenerateDataKeyoperazione. Utilizza un token di concessione per rappresentare la concessione che concede al chiamante (il titolare del beneficiario) l'autorizzazione a richiamare la chiave GenerateDataKey specificata. KMS


$ aws kms generate-data-key \
        --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
        --key-spec AES_256 \
        --grant-token $token

Puoi anche utilizzare un token di concessione per identificare una concessione in qualsiasi operazione che gestisce le concessioni. Ad esempio, il committente uscente può utilizzare un token di concessione in una chiamata all'operazione. RetireGrant


$ aws kms retire-grant \
        --grant-token $token

CreateGrant è l'unica operazione che restituisce un token di concessione. Non è possibile ottenere un token di concessione da nessun'altra AWS KMS operazione o dall'evento di CloudTrail registro relativo all' CreateGrant operazione. Le ListRetirableGrantsoperazioni ListGrantsand restituiscono l'ID della concessione, ma non un token di concessione.

Per informazioni dettagliate, consultare Utilizzo di un token di concessione.

Principale assegnatario

Le identità che ottengono le autorizzazioni specificate nella concessione. Ogni concessione ha un principale beneficiario che può rappresentare più identità.

Il principale beneficiario può essere qualsiasi AWS principale, incluso un Account AWS (root), un IAMutente, un ruolo, un IAMruolo o un utente federato o un utente con ruolo assunto. Il titolare del beneficiario può trovarsi nello stesso account della KMS chiave o in un account diverso. Tuttavia, il committente non può essere un responsabile del servizio, un IAMgruppo o un'organizzazione.AWS

Nota

IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

Ritiro (di una concessione)

Termina una concessione. Ritiri una concessione al termine dell'utilizzo delle autorizzazioni.

Sia la revoca che il ritiro di una concessione eliminano la concessione. Ma il ritiro può essere fatto da un principale specificato nella concessione. La revoca viene in genere eseguita da un amministratore della chiave. Per informazioni dettagliate, consultare Ritirare e revocare le concessioni.

Principale per il ritiro

Un principale che può ritirare una concessione. È possibile specificare un principale per il ritiro in una concessione, ma non è obbligatorio. Il responsabile uscente può essere qualsiasi AWS principale, inclusi IAM utenti Account AWS, IAM ruoli, utenti federati e utenti con ruolo assunto. Il mandante uscente può avere lo stesso account della KMS chiave o un account diverso.

Nota

Oltre al capitale in pensione specificato nella sovvenzione, una sovvenzione può essere ritirata dalla società Account AWS in cui è stata creata. Se la concessione consente l'operazione RetireGrant, l'assegnatario principale può ritirare la concessione. Inoltre, l' Account AWS ente preside Account AWS in pensione può delegare l'autorizzazione a ritirare una sovvenzione a un IAM preside della stessa. Account AWS Per informazioni dettagliate, consultare Ritirare e revocare le concessioni.

Revoca (di una concessione)

Termina una concessione. Revochi una concessione per negare attivamente le autorizzazioni consentite dalla concessione.

Consistenza finale (per le concessioni)

AWS KMS APISegue un eventuale modello di coerenza. Quando crei, ritiri o revochi una concessione, potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Generalmente, occorrono pochissimi secondi per la propagazione della modifica in tutto il sistema, ma in alcuni casi possono essere necessari diversi minuti.

Potresti apprendere di questo breve ritardo se ricevi errori imprevisti. Ad esempio, se si tenta di gestire una nuova concessione o di utilizzare le autorizzazioni di una nuova concessione prima che la concessione sia nota per intero AWS KMS, è possibile che venga visualizzato un errore di accesso negato. Se ritiri o revochi una concessione, l'assegnatario principale potrebbe ancora essere in grado di utilizzare le autorizzazioni per un breve periodo fino a quando la concessione non viene completamente eliminata. La strategia tipica consiste nel riprovare la richiesta e alcune AWS SDKs includono il backoff automatico e la logica dei tentativi.

AWS KMS dispone di funzionalità per mitigare questo breve ritardo.

Per utilizzare immediatamente le autorizzazioni in una nuova concessione, usa un token di concessione. È possibile utilizzare un token di concessione per fare riferimento a una concessione in qualsiasi operazione di concessione. Per istruzioni, consulta Utilizzo di un token di concessione.
L'CreateGrantoperazione ha un Name parametro che impedisce che le operazioni di nuovo tentativo creino concessioni duplicate.

Nota

I token di concessione sostituiscono la validità della concessione fino a quando tutti gli endpoint del servizio non sono stati aggiornati con il nuovo stato della concessione. Nella maggior parte dei casi, la consistenza finale sarà raggiunta entro cinque minuti.

Per ulteriori informazioni, consulta Consistenza finale di AWS KMS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Politiche di controllo delle risorse

Best practice