Controllo dell'accesso alle chiavi KMS HMAC - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso alle chiavi KMS HMAC

Per controllare l'accesso a una chiave KMS HMAC è necessario utilizzare una policy della chiave, richiesta per ogni chiave KMS. Puoi utilizzare anche le policy IAM e le concessioni.

La policy della chiave di default per le chiavi HMAC create nella console AWS KMS fornisce agli utenti della chiave l'autorizzazione a richiamare le operazioni GenerateMac e VerifyMac. Tuttavia, non include l'istruzione della policy della chiave progettata per l'utilizzo delle concessioni con i servizi AWS. Se crei chiavi HMAC utilizzando l'operazione CreateKey, devi specificare queste autorizzazioni nella policy della chiave o in una policy IAM.

Per perfezionare e limitare le autorizzazioni alle chiavi HMAC puoi utilizzare le chiavi di condizione globali AWS e le chiavi di condizione AWS KMS. Ad esempio, puoi utilizzare la chiave di condizione kms:ResourceAliases per controllare l'accesso alle operazioni AWS KMS in base agli alias associati a una chiave HMAC. Le seguenti condizioni delle policy AWS KMS sono utili per le policy relative alle chiavi HMAC.

  • Usa una chiave di condizione kms:MacAlgorithm per limitare gli algoritmi che i principali possono richiedere quando richiamano le operazioni GenerateMac e VerifyMac. Ad esempio, è possibile permettere ai principali di richiamare le operazioni GenerateMacma solo quando l'algoritmo MAC nella richiesta è HMAC_SHA_384.

  • Usa una chiave di condizione kms:KeySpec per permettere o impedire ai principali di creare determinati tipi di chiavi HMAC. Ad esempio, per consentire ai principali di creare solo chiavi HMAC, è possibile consentire l'CreateKeyoperazione, ma utilizzare la kms:KeySpec condizione per consentire solo chiavi con una specifica HMAC_384 chiave.

    Puoi utilizzare la chiave di condizione kms:KeySpec anche per controllare l'accesso ad altre operazioni su una chiave KMS in base alla specifica della chiave. Ad esempio, puoi permettere ai principali di pianificare e annullare l'eliminazione della chiave solo sulle chiavi KMS con una specifica della chiave HMAC_256.

  • Usa la chiave di condizione kms:KeyUsage per permettere o impedire ai principali di creare determinati tipi di chiavi HMAC. Ad esempio, per consentire ai principali di creare solo chiavi HMAC, è possibile consentire l'CreateKeyoperazione, ma utilizzare la kms:KeyUsage condizione per consentire solo le chiavi che utilizzano una chiave. GENERATE_VERIFY_MAC

    Puoi utilizzare la chiave di condizione kms:KeyUsage anche per controllare l'accesso ad altre operazioni su una chiave KMS in base all'utilizzo della chiave. Ad esempio, puoi permettere ai principali di abilitare e disabilitare solo le chiavi KMS con un utilizzo della chiave GENERATE_VERIFY_MAC.

Puoi anche creare concessioni per le operazioni GenerateMac e VerifyMac, che sono operazioni di concessione. Tuttavia, non puoi utilizzare vincoli di concessione del contesto di crittografia in una concessione per una chiave HMAC. Il formato dei tag HMAC non supporta i valori del contesto di crittografia.