Nozioni di base sull'autorizzazione per le chiavi multi-regione Autorizzazione degli amministratori e degli utenti delle chiavi multi-regione

Controlla l'accesso alle chiavi multiregionali

È possibile utilizzare chiavi multi-regione in scenari di conformità, ripristino di emergenza e backup più complessi con le chiavi di singola regione. Tuttavia, poiché le proprietà di protezione delle chiavi multi-regione sono significativamente diverse da quelle delle chiavi di regione singola, si consiglia di prestare attenzione quando si autorizza la creazione, la gestione e l'utilizzo di chiavi multi-regione.

Nota

Le dichiarazioni IAM politiche esistenti con caratteri jolly nel Resource campo ora si applicano sia alle chiavi a regione singola che a quelle multiregionali. Per limitarle alle chiavi a regione singola o alle KMS chiavi multiregione, usa la chiave kms: condition. MultiRegion

Utilizza gli strumenti di autorizzazione per impedire la creazione e l'utilizzo di chiavi multi-regione in qualsiasi scenario in cui una singola regione è sufficiente. Consenti ai principali di replicare una chiave multiregionale solo in quelle che li richiedono. Regioni AWS Concedere l'autorizzazione per le chiavi multi-regione solo ai principali che ne hanno bisogno e solo per le attività che le richiedono.

Puoi utilizzare politiche, IAM politiche e sovvenzioni chiave per consentire ai IAM committenti di gestire e utilizzare chiavi multiregionali nel tuo. Account AWS Ogni chiave multiregionale è una risorsa indipendente con una chiave e una politica chiave ARN uniche. È necessario stabilire e mantenere una politica chiave per ogni chiave e assicurarsi che IAM le politiche nuove ed esistenti implementino la strategia di autorizzazione.

Per supportare le chiavi multiregionali, AWS KMS utilizza un ruolo collegato al IAM servizio. Questo ruolo dà a AWS KMS i permessi necessari per sincronizzare le proprietà condivise. Per ulteriori informazioni, consulta Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali.

Argomenti

Nozioni di base sull'autorizzazione per le chiavi multi-regione
Autorizzazione degli amministratori e degli utenti delle chiavi multi-regione

Nozioni di base sull'autorizzazione per le chiavi multi-regione

Nella progettazione di politiche e IAM politiche chiave per chiavi multiregionali, tenete conto dei seguenti principi.

Politica chiave: ogni chiave multiregionale è una risorsa KMS chiave indipendente con una propria politica chiave. È possibile applicare la stessa policy o una policy delle chiavi diversa a ogni chiave nel set di chiavi multi-regione correlate. Le politiche chiave non sono proprietà condivise delle chiavi multiregionali. AWS KMS non copia o sincronizza le politiche chiave tra le chiavi multiregionali correlate.

Quando si crea una chiave di replica nella AWS KMS console, per comodità, la console visualizza la politica delle chiavi corrente della chiave primaria. È possibile utilizzare questa policy delle chiavi, modificarla o eliminarla e sostituirla. Ma anche se accetti invariata la politica della chiave primaria, AWS KMS non sincronizza le politiche. Ad esempio, se si modifica la policy delle chiavi della chiave primaria, la policy delle chiavi della chiave di replica rimane invariato.
Politica di chiave predefinita: quando si creano chiavi multiregionali utilizzando le ReplicateKey operazioni CreateKeyand, viene applicata la politica di chiave predefinita a meno che non si specifichi una politica chiave nella richiesta. Si tratta della stessa policy delle chiavi predefinita applicata alle chiavi di singola regione.
IAMcriteri: come per tutte le KMS chiavi, è possibile utilizzare i IAM criteri per controllare l'accesso alle chiavi multiregionali solo quando il criterio chiave lo consente. IAMi criteri si applicano a tutti per Regioni AWS impostazione predefinita. Tuttavia, puoi utilizzare chiavi condizionali, come aws: RequestedRegion, per limitare le autorizzazioni a una particolare regione.

Per creare chiavi primarie e di replica, i responsabili devono disporre kms:CreateKey dell'autorizzazione in una IAM politica applicabile alla regione in cui viene creata la chiave.
Sovvenzioni: le sovvenzioni sono AWS KMS regionali. Ogni concessione consente le autorizzazioni per una chiave. KMS È possibile utilizzare le concessioni per consentire le autorizzazioni a una chiave primaria o a una chiave di replica multi-regione. Tuttavia, non è possibile utilizzare una singola concessione per consentire le autorizzazioni su più KMS chiavi, anche se si tratta di chiavi multiregionali correlate.
ChiaveARN: ogni chiave multiregionale ha una chiave unica. ARN La chiave ARNs delle chiavi multiregionali correlate ha la stessa partizione, lo stesso account e lo stesso ID di chiave, ma regioni diverse.

Per applicare una dichiarazione IAM politica a una particolare chiave multiregionale, utilizza la relativa chiave ARN o uno ARN schema chiave che includa la regione. Per applicare una dichiarazione IAM politica a tutte le chiavi multiregionali correlate, utilizzate un carattere jolly (*) nell'elemento Region diARN, come illustrato nell'esempio seguente.
```
{
  "Effect": "Allow",  
  "Action": [
    "kms:Describe*",
    "kms:List*"
  ],
  "Resource": {
      "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
  }
}
```
Per applicare una dichiarazione di policy a tutte le chiavi multiregionali presenti nel sistema Account AWS, è possibile utilizzare la condizione kms: MultiRegion policy o un modello di ID chiave che includa il prefisso distintivo. mrk-
Ruolo collegato ai servizi: i responsabili che creano chiavi primarie multiregionali devono disporre dell'autorizzazione iam:. CreateServiceLinkedRole

Per sincronizzare le proprietà condivise delle chiavi multiregionali correlate, assume un ruolo collegato al servizio. AWS KMS IAM AWS KMS crea il ruolo collegato al servizio in Account AWS ogni volta che si crea una chiave primaria multiregionale. (Se il ruolo esiste, AWS KMS lo ricrea, cosa che non ha alcun effetto dannoso.) Il ruolo è valido in tutte le Regioni. AWS KMS Per consentire la creazione (o la ricreazione) del ruolo collegato al servizio, i responsabili che creano chiavi primarie multiregionali devono disporre dell'autorizzazione iam:. CreateServiceLinkedRole

Autorizzazione degli amministratori e degli utenti delle chiavi multi-regione

I principali che creano e gestiscono chiavi multi-regione necessitano delle seguenti autorizzazioni nelle regioni primarie e di replica:

kms:CreateKey
kms:ReplicateKey
kms:UpdatePrimaryRegion
iam:CreateServiceLinkedRole

Creazione di una chiave primaria

Per creare una chiave primaria multiregionale, il principale necessita delle CreateServiceLinkedRole autorizzazioni kms: CreateKey e iam: in una IAM politica che sia efficace nella regione della chiave primaria. I principali che dispongono di queste autorizzazioni possono creare chiavi di regione singola e multi-regione a meno che non si limitino le autorizzazioni.

L'iam:CreateServiceLinkedRoleautorizzazione consente di AWS KMS creare il AWSServiceRoleForKeyManagementServiceMultiRegionKeysruolo per sincronizzare le proprietà condivise delle relative chiavi multiregionali.

Ad esempio, questa IAM politica consente a un preside di creare qualsiasi tipo di KMS chiave.


{
  "Version": "2012-10-17",
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}

Per consentire o negare l'autorizzazione alla creazione di chiavi primarie multiregionali, usa la chiave kms: MultiRegion condition. I valori validi sono true (Chiave multi-regione) o false (Chiave di singola regione). Ad esempio, la seguente dichiarazione IAM politica utilizza un'Denyazione con la chiave kms:MultiRegion condition per impedire ai principali di creare chiavi multiregionali.


{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": "kms:MultiRegion": true
      }
  }
}

Replica delle chiavi

Per creare una chiave di replica multi-regione, il principale richiede le seguenti autorizzazioni:

kms: ReplicateKey autorizzazione nella politica chiave della chiave primaria.
kms: CreateKey autorizzazione in una IAM politica che è efficace nella regione della chiave di replica.

Presta attenzione quando consenti queste autorizzazioni. Consentono ai mandanti di creare KMS chiavi e le politiche chiave che ne autorizzano l'uso. L’autorizzazione kms:ReplicateKey autorizza inoltre il trasferimento di materiale chiave oltre i confini della regione all'interno di AWS KMS.

Per limitare il numero Regioni AWS di repliche di una chiave multiregionale, usa la chiave kms: condition. ReplicaRegion Limita solo l’autorizzazione kms:ReplicateKey. Altrimenti, non ha efficacia. Ad esempio, la seguente policy delle chiavi consente al principale di replicare questa chiave primaria, ma solo nelle regioni specificate.


{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Aggiornamento della regione primaria

I principali autorizzati possono convertire una chiave di replica in una chiave primaria, modificando la chiave primaria precedente in una replica. Questa azione è nota come aggiornamento della regione primaria. Per aggiornare la regione principale, la principale necessita dell'UpdatePrimaryRegionautorizzazione kms: in entrambe le regioni. Puoi fornire queste autorizzazioni in una politica o IAM in una politica chiave.

kms:UpdatePrimaryRegion sulla chiave primaria. Questa autorizzazione deve essere valida nella regione chiave primaria.
kms:UpdatePrimaryRegion sulla chiave di replica. Questa autorizzazione deve essere valida nella regione chiave di replica.

Ad esempio, la seguente politica chiave offre agli utenti che possono assumere il ruolo di amministratore l'autorizzazione ad aggiornare la regione principale della KMS chiave. Questa KMS chiave può essere la chiave primaria o una chiave di replica in questa operazione.


{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}

Per limitare la Regioni AWS capacità di ospitare una chiave primaria, usa la chiave kms: PrimaryRegion condition. Ad esempio, la seguente dichiarazione IAM politica consente ai principali di aggiornare la regione principale delle chiavi multiregione nella Account AWS, ma solo quando la nuova regione principale è una delle regioni specificate.


{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}

Utilizzo e gestione di chiavi multi-regione

Per impostazione predefinita, i responsabili che dispongono dell'autorizzazione a utilizzare e gestire KMS le chiavi in una regione Account AWS e hanno anche l'autorizzazione a utilizzare e gestire le chiavi multiregionali. Tuttavia, puoi utilizzare la chiave kms: MultiRegion condition per consentire solo chiavi a regione singola o solo chiavi multiregione. Oppure usa la chiave kms: MultiRegionKeyType condition per consentire solo chiavi primarie multiregionali o solo chiavi di replica. Entrambi i tasti condizionali controllano l'accesso all'CreateKeyoperazione e a qualsiasi operazione che utilizza una KMS chiave esistente, come Encrypt o. EnableKey

La seguente dichiarazione IAM politica di esempio utilizza la chiave kms:MultiRegion condition per impedire ai principali di utilizzare o gestire qualsiasi chiave multiregionale.


{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}

Questa dichiarazione IAM politica di esempio utilizza la kms:MultiRegionKeyType condizione per consentire ai responsabili di pianificare e annullare l'eliminazione delle chiavi, ma solo su chiavi di replica multiregionali.


{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accesso multi-account

Determinazione dell'accesso