Modifica di una policy delle chiavi - AWS Key Management Service
Come modificare una policy delle chiaviAutorizzazione per più principali IAM di accedere a una chiave KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modifica di una policy delle chiavi

Puoi modificare la politica chiave per una chiave KMS nel tuo Account AWS utilizzando l'PutKeyPolicyoperazione AWS Management Console o. Non è possibile utilizzare queste tecniche per modificare la policy delle chiavi di una chiave KMS in un Account AWS diverso.

Quando modifichi una policy delle chiavi, ricorda le seguenti regole:

  • Puoi visualizzare la policy delle chiavi per una Chiave gestita da AWS o per una chiave gestita dal cliente, ma puoi modificare la policy delle chiavi solo per una chiave gestita dal cliente. Le policy delle Chiavi gestite da AWS vengono create e gestite dal servizio AWS che ha creato la chiave KMS nel tuo account. Non puoi visualizzare o modificare la policy delle chiavi per una Chiave di proprietà di AWS.

  • È possibile aggiungere o rimuovere utenti IAM, ruoli IAM e Account AWS nella policy delle chiavi e modificare le operazioni consentite o non consentite per quei principali. Per ulteriori informazioni sui metodi per specificare principali e autorizzazioni in una policy delle chiavi, consulta Policy delle chiavi.

  • Non puoi aggiungere gruppi IAM a una policy delle chiavi, ma puoi aggiungere più utenti IAM e ruoli IAM. Per ulteriori informazioni, consulta Autorizzazione per più principali IAM di accedere a una chiave KMS.

  • Se aggiungi Account AWS esterni a una policy delle chiavi, devi anche utilizzare le policy IAM negli account esterni per fornire autorizzazioni agli utenti, ai gruppi o ai ruoli IAM in tali account. Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  • Il documento di policy delle chiavi risultante non può superare i 32 KB (32.768 byte).

Come modificare una policy delle chiavi

Puoi modificare una policy chiavi in tre diversi modi, ognuno dei quali è illustrato nelle seguenti sezioni.

Utilizzo della visualizzazione predefinita della AWS Management Console

Puoi utilizzare la console per modificare una policy delle chiavi mediante un'interfaccia grafica denominata visualizzazione predefinita.

Se le procedure seguenti non corrispondono a ciò che viene visualizzato nella console, è possibile che questa policy delle chiavi non sia stata creata con la console oppure che sia stata modificata in un modo non supportato dalla visualizzazione predefinita della console. In questo caso, segui i passaggi descritti in Utilizzo della visualizzazione policy della AWS Management Console o Uso dell'API AWS KMS.

  1. Visualizza la policy delle chiavi per una chiave gestita dal cliente come descritto in Visualizzazione di una policy delle chiavi (console). (Non è possibile modificare la policy delle chiavi di Chiavi gestite da AWS.)

  2. Decidere cosa modificare.

    • Per aggiungere o rimuovere amministratori delle chiavi e per consentire o impedire agli amministratori di eliminare la chiave KMS, utilizza i controlli nella sezione Key Administrators della pagina. Gli amministratori delle chiavi gestiscono la chiave KMS, possono abilitare e disabilitare la stessa, impostare la policy delle chiavi e abilitare la rotazione delle chiavi.

    • Per aggiungere o rimuovere utenti della chiave e per consentire o non consentire ai Account AWS esterni di utilizzare la chiave KMS, utilizza i controlli nella sezione Utenti della chiave della pagina. Gli utenti della chiave possono utilizzare la chiave KMS nelle operazioni di crittografia, ad esempio crittografia, decrittografia, ricrittografia e generazione di chiavi di dati.

Utilizzo della visualizzazione policy della AWS Management Console

Puoi utilizzare la console per modificare un documento di policy delle chiavi mediante la visualizzazione policy della console.

  1. Visualizza la policy delle chiavi per una chiave gestita dal cliente come descritto in Visualizzazione di una policy delle chiavi (console). (Non è possibile modificare la policy delle chiavi di Chiavi gestite da AWS.)

  2. Nella sezione Policy della chiave, scegli Passa alla visualizzazione della policy.

  3. Modificare il documento di policy delle chiavi, quindi scegliere Save changes (Salva le modifiche).

Uso dell'API AWS KMS

Puoi utilizzare l'PutKeyPolicyoperazione per modificare la politica chiave di una chiave KMS nel tuo. Account AWS Non è possibile utilizzare questa API per una chiave KMS in un Account AWS differente.

  1. Utilizza l'GetKeyPolicyoperazione per ottenere il documento di politica chiave esistente, quindi salva il documento di politica chiave in un file. Per il codice di esempio in più linguaggi di programmazione, consulta Recupero di una policy delle chiavi.

  2. Aprire il documento di policy delle chiavi in un editor di testo, modificarlo e salvare il file.

  3. Utilizza l'PutKeyPolicyoperazione per applicare il documento di policy chiave aggiornato alla chiave KMS. Per il codice di esempio in più linguaggi di programmazione, consulta Impostazione di una policy delle chiavi.

Per un esempio di copia di una politica chiave da una chiave KMS a un'altra, vedi l'GetKeyPolicy esempio nel Command Reference. AWS CLI

Autorizzazione per più principali IAM di accedere a una chiave KMS

I gruppi IAM non sono principali validi in una policy chiave. Per consentire a più utenti e ruoli di accedere a una chiave KMS, procedi in uno dei seguenti modi:

  • Usa un ruolo IAM come principale nella policy delle chiavi. Più utenti autorizzati possono assumere il ruolo secondo necessità. Per i dettagli, consulta Ruoli IAM nella Guida per l'utente IAM.

    Sebbene sia possibile collegare più utenti IAM in una policy delle chiavi, questa procedura non è consigliata perché richiede l'aggiornamento della policy delle chiavi ogni volta che l'elenco di utenti autorizzati viene modificato. Inoltre, le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

  • Utilizza una policy IAM per collegare l'autorizzazione a un gruppo IAM. Per fare ciò, assicurati che la policy delle chiavi includa la dichiarazione che consente alle policy IAM di consentire l'accesso alla chiave KMS, crea una policy IAM che consenta l'accesso alla chiave KMS e quindi collega tale policy a un gruppo IAM che contenga gli utenti IAM autorizzati. L'utilizzo di questo approccio non richiede l'aggiornamento di policy quando l'elenco degli utenti autorizzati viene modificato. È sufficiente aggiungere o rimuovere tali utenti dal gruppo IAM appropriato. Per i dettagli, consulta la sezione Gruppi di utenti IAM nella Guida per l'utente IAM

Per ulteriori informazioni sull'utilizzo congiunto delle policy delle chiavi AWS KMS e delle policy IAM, consulta Risoluzione dei problemi di accesso alla chiave.