Nozioni di base sull'autorizzazione per le chiavi multi-regione Autorizzazione degli amministratori e degli utenti delle chiavi multi-regione Autorizzazione di AWS KMS per sincronizzare le chiavi multi-regione

Controllo dell'accesso alle chiavi multi-regione

È possibile utilizzare chiavi multi-regione in scenari di conformità, ripristino di emergenza e backup più complessi con le chiavi di singola regione. Tuttavia, poiché le proprietà di protezione delle chiavi multi-regione sono significativamente diverse da quelle delle chiavi di regione singola, si consiglia di prestare attenzione quando si autorizza la creazione, la gestione e l'utilizzo di chiavi multi-regione.

Nota

Dichiarazioni di policy IAM esistenti con caratteri jolly nel campo Resource ora si applicano sia alle chiavi di regione singola che a quelle multi-regione. Per limitarli alle chiavi KMS a regione singola o alle chiavi multiregione, usa la chiave kms: condition. MultiRegion

Utilizza gli strumenti di autorizzazione per impedire la creazione e l'utilizzo di chiavi multi-regione in qualsiasi scenario in cui una singola regione è sufficiente. Consenti ai principali di replicare una chiave multi-regione solo nelle Regioni AWS che li richiedono. Concedere l'autorizzazione per le chiavi multi-regione solo ai principali che ne hanno bisogno e solo per le attività che le richiedono.

È possibile utilizzare le policy delle chiavi, le policy IAM e le concessioni per consentire ai principali IAM di gestire e utilizzare le chiavi multi-regione nel Account AWS. Ogni chiave multi-regione è una risorsa indipendente con una chiave univoca ARN e una policy delle chiavi. È necessario stabilire e gestire una policy delle chiavi per ogni chiave e assicurarsi che le policy IAM nuove ed esistenti implementino la strategia di autorizzazione.

Argomenti

Nozioni di base sull'autorizzazione per le chiavi multi-regione
Autorizzazione degli amministratori e degli utenti delle chiavi multi-regione
Autorizzazione di AWS KMS per sincronizzare le chiavi multi-regione

Nozioni di base sull'autorizzazione per le chiavi multi-regione

Quando si progettano policy delle chiavi e policy IAM per chiavi multi-regione, considerare i seguenti principi.

Policy delle chiavi — Ogni chiave multi-regione è una risorsa della chiave KMS indipendente con la propria Policy delle chiavi. È possibile applicare la stessa policy o una policy delle chiavi diversa a ogni chiave nel set di chiavi multi-regione correlate. Policy delle chiavi non sono proprietà condivise di chiavi multi-regione. AWS KMS non copia o sincronizza le policy delle chiavi tra le chiavi multi-regione correlate.

Quando si crea una chiave di replica nel AWS KMS, la console visualizza la policy delle chiavi corrente della chiave primaria per comodità. È possibile utilizzare questa policy delle chiavi, modificarla o eliminarla e sostituirla. Ma anche se accetti la policy delle chiavi primaria invariata, AWS KMS non sincronizza le policy. Ad esempio, se si modifica la policy delle chiavi della chiave primaria, la policy delle chiavi della chiave di replica rimane invariato.
Politica chiave predefinita: quando si creano chiavi multiregionali utilizzando le ReplicateKey operazioni CreateKeyand, viene applicata la politica chiave predefinita a meno che non si specifichi una politica chiave nella richiesta. Si tratta della stessa policy delle chiavi predefinita applicata alle chiavi di singola regione.
Policy IAM — Come per tutte le chiavi KMS, è possibile utilizzare le policy IAM per controllare l'accesso alle chiavi multi-regione solo quando la policy delle chiavi lo consente. Policy IAM applica a tutte le Regioni AWS per impostazione predefinita. Tuttavia, puoi utilizzare chiavi condizionali, come aws: RequestedRegion, per limitare le autorizzazioni a una particolare regione.

Per creare chiavi primarie e di replica, i principali devono disporre di autorizzazione kms:CreateKey in una policy IAM che si applica alla regione in cui viene creata la chiave.
Concessioni — le concessioni AWS KMS sono regionali. Ogni concessione consente autorizzazioni per una chiave KMS. È possibile utilizzare le concessioni per consentire le autorizzazioni a una chiave primaria o a una chiave di replica multi-regione. Tuttavia, non è possibile utilizzare una singola concessione per consentire le autorizzazioni a più chiavi KMS, anche se sono chiavi multi-regione correlate.
ARN della chiave — Ogni chiave multi-regione ha un ARN della chiave unico. Gli ARN della chiave delle chiavi multi-regione correlate hanno la stessa partizione, account e ID chiave, ma regioni diverse.

Per applicare un'istruzione delle policy IAM a una determinata chiave multi-regione, utilizza il relativo ARN della chiave o un pattern di ARN della chiave che include la regione. Per applicare un'istruzione di policy IAM a tutte le chiavi multi-regione correlate, utilizza un carattere jolly (*) nell'elemento Regione dell'ARN, come mostrato nell'esempio seguente.
```
{
  "Effect": "Allow",  
  "Action": [
    "kms:Describe*",
    "kms:List*"
  ],
  "Resource": {
      "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
  }
}
```
Per applicare una dichiarazione di policy a tutte le chiavi multiregionali presenti nella tua aziendaAccount AWS, puoi utilizzare la condizione kms: MultiRegion policy o un modello di ID chiave che includa il prefisso distintivo. mrk-
Ruolo collegato ai servizi: i responsabili che creano chiavi primarie multiregionali devono disporre dell'autorizzazione iam:. CreateServiceLinkedRole

Per sincronizzare le proprietà condivise delle chiavi multi-regione correlate, AWS KMS assume un Ruolo collegato ai servizi IAM. AWS KMS crea il ruolo collegato ai servizi nel Account AWS ogni volta che crei una chiave primaria multi-regione. (Se il ruolo esiste, AWS KMS lo ricrea, cosa che non ha alcun effetto dannoso.) Il ruolo è valido in tutte le Regioni. AWS KMSPer consentire la creazione (o la ricreazione) del ruolo collegato al servizio, i responsabili che creano chiavi primarie multiregionali devono disporre dell'autorizzazione iam:. CreateServiceLinkedRole

Autorizzazione degli amministratori e degli utenti delle chiavi multi-regione

I principali che creano e gestiscono chiavi multi-regione necessitano delle seguenti autorizzazioni nelle regioni primarie e di replica:

kms:CreateKey
kms:ReplicateKey
kms:UpdatePrimaryRegion
iam:CreateServiceLinkedRole

Creazione di una chiave primaria

Per creare una chiave primaria multiregionale, il principale necessita delle CreateServiceLinkedRole autorizzazioni kms: CreateKey e iam: in una policy IAM efficace nella regione della chiave primaria. I principali che dispongono di queste autorizzazioni possono creare chiavi di regione singola e multi-regione a meno che non si limitino le autorizzazioni.

L'iam:CreateServiceLinkedRoleautorizzazione consente di AWS KMS creare il AWSServiceRoleForKeyManagementServiceMultiRegionKeysruolo per sincronizzare le proprietà condivise delle relative chiavi multiregionali.

Ad esempio, questa policy IAM consente a un principale di creare qualsiasi tipo di chiave KMS.


{
  "Version": "2012-10-17",
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}

Per consentire o negare l'autorizzazione alla creazione di chiavi primarie multiregionali, usa la chiave kms: condition. MultiRegion I valori validi sono true (Chiave multi-regione) o false (Chiave di singola regione). Ad esempio, la seguente istruzione di policy IAM utilizza un’operazione Deny con la chiave di condizione kms:MultiRegion per impedire ai principali di creare chiavi multi-regione.


{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": "kms:MultiRegion": true
      }
  }
}

Replica delle chiavi

Per creare una chiave di replica multi-regione, il principale richiede le seguenti autorizzazioni:

kms: ReplicateKey autorizzazione nella politica chiave della chiave primaria.
kms: CreateKey autorizzazione in una politica IAM efficace nella regione della chiave di replica.

Presta attenzione quando consenti queste autorizzazioni. Consentono ai principali di creare chiavi KMS e le policy delle chiavi che ne autorizzano l'utilizzo. L’autorizzazione kms:ReplicateKey autorizza inoltre il trasferimento di materiale chiave oltre i confini della regione all'interno di AWS KMS.

Per limitare il numero Regioni AWS di repliche di una chiave multiregionale, usa la chiave kms: condition. ReplicaRegion Limita solo l’autorizzazione kms:ReplicateKey. Altrimenti, non ha efficacia. Ad esempio, la seguente policy delle chiavi consente al principale di replicare questa chiave primaria, ma solo nelle regioni specificate.


{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Aggiornamento della regione primaria

I principali autorizzati possono convertire una chiave di replica in una chiave primaria, modificando la chiave primaria precedente in una replica. Questa azione è nota come aggiornamento della regione primaria. Per aggiornare la regione principale, la principale necessita dell'UpdatePrimaryRegionautorizzazione kms: in entrambe le regioni. Puoi fornire queste autorizzazioni in una policy delle chiavi o in una policy IAM.

kms:UpdatePrimaryRegion sulla chiave primaria. Questa autorizzazione deve essere valida nella regione chiave primaria.
kms:UpdatePrimaryRegion sulla chiave di replica. Questa autorizzazione deve essere valida nella regione chiave di replica.

Ad esempio, la seguente policy delle chiavi consente agli utenti che possono assumere il ruolo di Amministratore di aggiornare la regione primaria della chiave KMS. Questa chiave KMS può essere la chiave primaria o una chiave di replica in questa operazione.


{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}

Per limitare la Regioni AWS capacità di ospitare una chiave primaria, usa la chiave kms: PrimaryRegion condition. Ad esempio, la seguente istruzione della policy IAM consente ai principali di aggiornare la regione primaria delle chiavi multi-regione nel Account AWS, ma solo quando la nuova regione primaria è una delle regioni specificate.


{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}

Utilizzo e gestione di chiavi multi-regione

Per impostazione predefinita, i principali che dispongono dell'autorizzazione per utilizzare e gestire le chiavi KMS in un Account AWS e Regione hanno anche l'autorizzazione per utilizzare e gestire chiavi multi-regione. Tuttavia, puoi utilizzare la chiave kms: MultiRegion condition per consentire solo chiavi a regione singola o solo chiavi multiregione. Oppure usa la chiave kms: MultiRegionKeyType condition per consentire solo chiavi primarie multiregionali o solo chiavi di replica. Entrambi i tasti condizionali controllano l'accesso all'CreateKeyoperazione e a qualsiasi operazione che utilizza una chiave KMS esistente, come Encrypt o. EnableKey

La seguente istruzione di policy IAM utilizza la chiave di condizione kms:MultiRegion per impedire ai principali di utilizzare o gestire qualsiasi chiave multi-regione.


{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}

In questo esempio, l'istruzione di policy IAM utilizza la condzione kms:MultiRegionKeyType per consentire ai principali di pianificare e annullare l'eliminazione delle chiavi, ma solo sulle chiavi di replica multi-regione.


{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}

Autorizzazione di AWS KMS per sincronizzare le chiavi multi-regione

Per supportare Chiavi multi-regione, AWS KMS utilizza un ruolo collegato al servizio IAM. Questo ruolo dà a AWS KMS i permessi necessari per sincronizzare le proprietà condivise. È possibile visualizzare l'SynchronizeMultiRegionKey CloudTrail evento che registra la AWS KMS sincronizzazione delle proprietà condivise nei registri. AWS CloudTrail

Informazioni sul ruolo collegato ai servizi per le chiavi multi-regione

Un ruolo collegato ai servizi è un ruolo IAM che concede a un servizio AWS l'autorizzazione per chiamare altri servizi AWS a tuo nome. È concepito per facilitare l'utilizzo delle funzionalità di molteplici servizi AWS integrati senza la necessità di creare e gestire policy IAM complesse.

Per le chiavi multiregionali, AWS KMS crea il ruolo AWSServiceRoleForKeyManagementServiceMultiRegionKeyscollegato al servizio con la policy. AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy Questa policy dà al ruolo l’autorizzazione kms:SynchronizeMultiRegionKey, che consente di sincronizzare le proprietà condivise delle chiavi multi-regione.

Poiché solo il ruolo AWSServiceRoleForKeyManagementServiceMultiRegionKeyscollegato al servizio è affidabilemrk.kms.amazonaws.com, solo AWS KMS può assumere questo ruolo collegato al servizio. Questo ruolo è limitato alle operazioni che AWS KMS deve sincronizzare le proprietà condivise in più regioni. Non fornisce a AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, replicare o eliminare chiavi KMS.

Per ulteriori informazioni su come i servizi AWS utilizzano ruoli collegati ai servizi, consulta la pagina Uso di ruoli collegati ai servizi nella Guida per l’utente di IAM.

Creazione del ruolo collegato ai servizi

AWS KMScrea automaticamente il ruolo AWSServiceRoleForKeyManagementServiceMultiRegionKeyscollegato al servizio nel tuo Account AWS quando crei una chiave multiregionale, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.

Modifica della descrizione di un ruolo collegato ai servizi

Non è possibile modificare il nome del ruolo o le dichiarazioni politiche nel ruolo AWSServiceRoleForKeyManagementServiceMultiRegionKeyscollegato al servizio, ma è possibile modificare la descrizione del ruolo. Per istruzioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione del ruolo collegato ai servizi

AWS KMSnon elimina il ruolo AWSServiceRoleForKeyManagementServiceMultiRegionKeyscollegato al servizio dal tuo Account AWS e non puoi eliminarlo. Tuttavia, AWS KMS non assume il AWSServiceRoleForKeyManagementServiceMultiRegionKeysruolo né utilizza alcuna delle sue autorizzazioni a meno che non si disponga di chiavi multiregionali nella propria regione. Account AWS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Chiavi multi-regione

Creazione di chiavi multiregione