Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

RBAC per AWS KMS

PDF
RSS
Modalità Focus
RBAC per AWS KMS - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Il controllo degli accessi basato sui ruoli (RBAC) è una strategia di autorizzazione che fornisce agli utenti solo le autorizzazioni necessarie per svolgere le proprie mansioni lavorative e nient'altro. AWS KMS supporta RBAC permettendo di controllare l'accesso alle chiavi specificando autorizzazioni granulari sull'utilizzo delle chiavi all'interno delle policy chiave. Le politiche chiave specificano una risorsa, un'azione, un effetto, una condizione principale e facoltativa per concedere l'accesso alle chiavi.

Per implementare RBAC in AWS KMS, consigliamo di separare le autorizzazioni per gli utenti chiave e gli amministratori chiave.

Key users

Il seguente esempio di policy chiave consente al ruolo ExampleUserRole IAM di utilizzare la chiave KMS.

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

I tuoi utenti principali potrebbero aver bisogno di meno autorizzazioni rispetto all'utente in questo esempio. Assegna solo le autorizzazioni di cui l'utente ha bisogno. Utilizza le seguenti domande per perfezionare ulteriormente le autorizzazioni.

  • Quali presidi IAM (ruoli o utenti) devono accedere alla chiave?

  • Quali azioni deve eseguire ogni principale con la chiave? Ad esempio, il preside necessita solo delle autorizzazioni Encrypt and Sign?

  • L'utente è un essere umano o un AWS servizio? Se si tratta di un AWS servizio, puoi utilizzare la chiave di condizione per limitare l'utilizzo della chiave a un AWS servizio specifico.

Key administrators

Il seguente esempio di policy chiave consente al ruolo ExampleAdminRole IAM di amministrare la chiave KMS. 

{
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleAdminRole"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
    }

In questo esempio, gli amministratori chiave potrebbero aver bisogno di meno autorizzazioni rispetto all'amministratore. Assegna solo le autorizzazioni di cui hanno bisogno i tuoi amministratori chiave.

anchoranchor

Il seguente esempio di policy chiave consente al ruolo ExampleUserRole IAM di utilizzare la chiave KMS.

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

I tuoi utenti principali potrebbero aver bisogno di meno autorizzazioni rispetto all'utente in questo esempio. Assegna solo le autorizzazioni di cui l'utente ha bisogno. Utilizza le seguenti domande per perfezionare ulteriormente le autorizzazioni.

  • Quali presidi IAM (ruoli o utenti) devono accedere alla chiave?

  • Quali azioni deve eseguire ogni principale con la chiave? Ad esempio, il preside necessita solo delle autorizzazioni Encrypt and Sign?

  • L'utente è un essere umano o un AWS servizio? Se si tratta di un AWS servizio, puoi utilizzare la chiave di condizione per limitare l'utilizzo della chiave a un AWS servizio specifico.

Concedi agli utenti solo le autorizzazioni necessarie per svolgere i loro ruoli. Le autorizzazioni di un utente possono variare a seconda che la chiave venga utilizzata in ambienti di test o di produzione. Se utilizzi autorizzazioni meno restrittive in determinati ambienti non di produzione, implementa un processo per testare le politiche prima che vengano rilasciate in produzione.

Ulteriori informazioni
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.