Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo dell'accesso alle chiavi KMS HMAC
Per controllare l'accesso a una chiave KMS HMAC è necessario utilizzare una policy della chiave, richiesta per ogni chiave KMS. Puoi utilizzare anche le policy IAM e le concessioni.
La policy della chiave di default per le chiavi HMAC create nella console AWS KMS fornisce agli utenti della chiave l'autorizzazione a richiamare le operazioni GenerateMac
e VerifyMac
. Tuttavia, non include l'istruzione della policy della chiave progettata per l'utilizzo delle concessioni con i servizi AWS. Se crei chiavi HMAC utilizzando l'operazione CreateKey
, devi specificare queste autorizzazioni nella policy della chiave o in una policy IAM.
Per perfezionare e limitare le autorizzazioni alle chiavi HMAC puoi utilizzare le chiavi di condizione globali AWS e le chiavi di condizione AWS KMS. Ad esempio, puoi utilizzare la chiave di condizione kms:ResourceAliases per controllare l'accesso alle operazioni AWS KMS in base agli alias associati a una chiave HMAC. Le seguenti condizioni delle policy AWS KMS sono utili per le policy relative alle chiavi HMAC.
-
Usa una chiave di condizione kms:MacAlgorithm per limitare gli algoritmi che i principali possono richiedere quando richiamano le operazioni
GenerateMac
eVerifyMac
. Ad esempio, è possibile permettere ai principali di richiamare le operazioniGenerateMac
ma solo quando l'algoritmo MAC nella richiesta èHMAC_SHA_384
. -
Usa una chiave di condizione kms:KeySpec per permettere o impedire ai principali di creare determinati tipi di chiavi HMAC. Ad esempio, per consentire ai principali di creare solo chiavi HMAC, è possibile consentire l'CreateKeyoperazione, ma utilizzare la
kms:KeySpec
condizione per consentire solo chiavi con una specificaHMAC_384
chiave.Puoi utilizzare la chiave di condizione
kms:KeySpec
anche per controllare l'accesso ad altre operazioni su una chiave KMS in base alla specifica della chiave. Ad esempio, puoi permettere ai principali di pianificare e annullare l'eliminazione della chiave solo sulle chiavi KMS con una specifica della chiaveHMAC_256
. -
Usa la chiave di condizione kms:KeyUsage per permettere o impedire ai principali di creare determinati tipi di chiavi HMAC. Ad esempio, per consentire ai principali di creare solo chiavi HMAC, è possibile consentire l'CreateKeyoperazione, ma utilizzare la
kms:KeyUsage
condizione per consentire solo le chiavi che utilizzano una chiave.GENERATE_VERIFY_MAC
Puoi utilizzare la chiave di condizione
kms:KeyUsage
anche per controllare l'accesso ad altre operazioni su una chiave KMS in base all'utilizzo della chiave. Ad esempio, puoi permettere ai principali di abilitare e disabilitare solo le chiavi KMS con un utilizzo della chiaveGENERATE_VERIFY_MAC
.
Puoi anche creare concessioni per le operazioni GenerateMac
e VerifyMac
, che sono operazioni di concessione. Tuttavia, non puoi utilizzare vincoli di concessione del contesto di crittografia in una concessione per una chiave HMAC. Il formato dei tag HMAC non supporta i valori del contesto di crittografia.