Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo IAM delle politiche con AWS KMS
Puoi utilizzare IAM le policy, insieme alle policy chiave, alle concessioni e alle policy degli VPC endpoint, per controllare l'accesso al tuo account. AWS KMS keys AWS KMS
Nota
Per utilizzare una IAM policy per controllare l'accesso a una KMS chiave, la policy chiave relativa alla KMS chiave deve autorizzare l'account a utilizzare IAM le policy. In particolare, la politica chiave deve includere la dichiarazione politica che abilita IAM le politiche.
Questa sezione spiega come utilizzare IAM le politiche per controllare l'accesso alle AWS KMS operazioni. Per informazioni più generali suIAM, consulta la Guida IAM per l'utente.
Tutte le KMS chiavi devono avere una politica chiave. IAMle politiche sono facoltative. Per utilizzare una IAM politica per controllare l'accesso a una KMS chiave, la politica chiave relativa alla KMS chiave deve consentire all'account l'autorizzazione a utilizzare IAM le politiche. In particolare, la politica chiave deve includere la dichiarazione politica che abilita IAM le politiche.
IAMle politiche possono controllare l'accesso a qualsiasi AWS KMS operazione. A differenza delle policy chiave, IAM le policy possono controllare l'accesso a più KMS chiavi e fornire le autorizzazioni per il funzionamento di diversi AWS servizi correlati. Tuttavia, IAM le policy sono particolarmente utili per controllare l'accesso a operazioni CreateKey, ad esempio quelle operazioni che non possono essere controllate da una policy chiave perché non coinvolgono alcuna KMS chiave particolare.
Se accedi AWS KMS tramite un endpoint Amazon Virtual Private Cloud (AmazonVPC), puoi anche utilizzare una policy per gli VPC endpoint per limitare l'accesso alle tue AWS KMS risorse quando usi l'endpoint. Ad esempio, quando utilizzi l'VPCendpoint, puoi consentire solo ai tuoi responsabili di accedere Account AWS alle chiavi gestite dai clienti. Per i dettagli, consulta le politiche VPCdegli endpoint.
Per informazioni sulla stesura e la formattazione di un documento di JSON policy, consulta il IAMJSONPolicy Reference nella Guida per l'IAMutente.
È possibile utilizzare IAM le politiche nei seguenti modi:
-
Associare un criterio di autorizzazioni a un ruolo per le autorizzazioni federative o interaccount: puoi allegare un IAM criterio a un IAM ruolo per abilitare la federazione delle identità, consentire le autorizzazioni tra account o concedere autorizzazioni alle applicazioni in esecuzione su istanze. EC2 Per ulteriori informazioni sui vari casi d'uso dei IAM ruoli, consulta Ruoli nella Guida per l'utente. IAM IAM
-
Allegare una policy di autorizzazioni a un utente o a un gruppo – Puoi collegare una policy che consente a un utente o a un gruppo di utenti di richiamare operazioni AWS KMS . Tuttavia, le IAM best practice consigliano di utilizzare identità con credenziali temporanee, come IAM i ruoli, quando possibile.
L'esempio seguente mostra una IAM politica con AWS KMS autorizzazioni. Questa politica consente IAM alle identità a cui è associata di elencare tutte le KMS chiavi e gli alias.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }
Come tutte IAM le politiche, questa politica non ha un Principal elemento. Quando si allega una IAM politica a un'IAMidentità, tale identità ottiene le autorizzazioni specificate nella politica.
Per una tabella che mostra tutte le AWS KMS API azioni e le risorse a cui si applicano, consulta laRiferimento per le autorizzazioni.
Consentire a più IAM presidi di accedere a una chiave KMS
IAMi gruppi non sono principi validi in una politica chiave. Per consentire a più utenti e ruoli di accedere a una KMS chiave, esegui una delle seguenti operazioni:
-
Utilizzate un IAM ruolo come principale nella politica chiave. Più utenti autorizzati possono assumere il ruolo secondo necessità. Per i dettagli, consulta IAMi ruoli nella Guida IAM per l'utente.
Sebbene sia possibile elencare più IAM utenti in una politica chiave, questa pratica non è consigliata perché richiede l'aggiornamento della politica chiave ogni volta che l'elenco degli utenti autorizzati cambia. Inoltre, le IAM best practice scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.
-
Utilizza una IAM politica per concedere l'autorizzazione a un IAM gruppo. A tale scopo, assicurati che la politica chiave includa l'istruzione che abilita IAM le politiche per consentire l'accesso alla KMS chiave, crea una IAM politica che consenta l'accesso alla KMS chiave e quindi associa tale politica a un IAM gruppo che contiene gli IAM utenti autorizzati. L'utilizzo di questo approccio non richiede l'aggiornamento di policy quando l'elenco degli utenti autorizzati viene modificato. Al contrario, è sufficiente aggiungere o rimuovere tali utenti dal IAM gruppo appropriato. Per i dettagli, consulta i gruppi di IAM utenti nella Guida IAM per l'utente
Per ulteriori informazioni su come le politiche e le IAM politiche AWS KMS chiave interagiscono, vedereRisoluzione dei problemi relativi alle AWS KMS autorizzazioni.
