RBACper AWS KMS - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

RBACper AWS KMS

Il controllo degli accessi basato sui ruoli (RBAC) è una strategia di autorizzazione che fornisce agli utenti solo le autorizzazioni necessarie per svolgere le proprie mansioni lavorative e nient'altro. AWS KMS consente RBAC di controllare l'accesso alle chiavi specificando autorizzazioni granulari sull'utilizzo delle chiavi all'interno delle politiche chiave. Le politiche chiave specificano una risorsa, un'azione, un effetto, una condizione principale e facoltativa per concedere l'accesso alle chiavi.

Per implementarlo RBAC AWS KMS, consigliamo di separare le autorizzazioni per gli utenti chiave e gli amministratori chiave.

Key users

Il seguente esempio di policy chiave consente al ExampleUserRole IAM ruolo di utilizzare la chiave. KMS

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

I tuoi utenti principali potrebbero aver bisogno di meno autorizzazioni rispetto all'utente in questo esempio. Assegna solo le autorizzazioni di cui l'utente ha bisogno. Utilizza le seguenti domande per perfezionare ulteriormente le autorizzazioni.

  • Quali IAM principali (ruoli o utenti) devono accedere alla chiave?

  • Quali azioni deve eseguire ogni preside con la chiave? Ad esempio, il preside necessita solo delle autorizzazioni Encrypt and Sign?

  • L'utente è un essere umano o un AWS servizio? Se si tratta di un AWS servizio, puoi utilizzare la chiave di condizione per limitare l'utilizzo della chiave a un AWS servizio specifico.

Key administrators

Il seguente esempio di policy chiave consente al ExampleAdminRole IAM ruolo di amministrare la KMS chiave. 

{
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleAdminRole"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
    }

In questo esempio, gli amministratori chiave potrebbero aver bisogno di meno autorizzazioni rispetto all'amministratore. Assegna solo le autorizzazioni necessarie ai tuoi amministratori chiave.

Concedi agli utenti solo le autorizzazioni necessarie per svolgere i loro ruoli. Le autorizzazioni di un utente possono variare a seconda che la chiave venga utilizzata in ambienti di test o di produzione. Se utilizzi autorizzazioni meno restrittive in determinati ambienti non di produzione, implementa un processo per testare le politiche prima che vengano rilasciate in produzione.

Ulteriori informazioni