AWS politica gestita: AWSKeyManagementServicePowerUser AWS politica gestita: AWSServiceRoleForKeyManagementServiceCustomKeyStores AWS politica gestita: AWSServiceRoleForKeyManagementServiceMultiRegionKeys AWS KMS aggiornamenti alle politiche AWS gestite

AWS politiche gestite per AWS Key Management Service

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.

Per ulteriori informazioni, consulta Policy gestite da AWSnellaGuida per l'utente IAM.

AWS politica gestita: AWSKeyManagementServicePowerUser

È possibile collegare la policy AWSKeyManagementServicePowerUser alle identità IAM.

Puoi utilizzare la policy AWSKeyManagementServicePowerUser gestita per concedere IAM ai responsabili del tuo account le autorizzazioni di un power user. Gli utenti esperti possono creare KMS chiavi, utilizzare e gestire le KMS chiavi che creano e visualizzare tutte le KMS chiavi e IAM le identità. I responsabili che dispongono della politica AWSKeyManagementServicePowerUser gestita possono anche ottenere autorizzazioni da altre fonti, tra cui politiche chiave, altre IAM politiche e sovvenzioni.

AWSKeyManagementServicePowerUserè una politica gestita AWS . IAM Per ulteriori informazioni sulle politiche AWS gestite, vedere le politiche AWS gestite nella Guida IAM per l'utente.

Nota

Le autorizzazioni contenute in questa policy, che sono specifiche per una KMS chiave, ad esempio kms:TagResource ekms:GetKeyRotationStatus, sono efficaci solo quando la policy chiave per quella KMS chiave consente esplicitamente di utilizzare IAM le policy per controllare l'accesso alla chiave. Account AWS Per determinare se un'autorizzazione è specifica per una KMS chiave, consulta AWS KMS autorizzazioni e cerca un valore di KMSchiave nella colonna Risorse.

Questa politica fornisce a un power user le autorizzazioni per qualsiasi KMS chiave con una politica chiave che ne consente l'operazione. Per le autorizzazioni tra più account, come kms:DescribeKey ekms:ListGrants, ciò potrebbe includere KMS le chiavi in untrusted. Account AWS Per informazioni dettagliate, consulta Best practice per le policy IAM e Consentire agli utenti di altri account di utilizzare una KMS chiave. Per determinare se un'autorizzazione è valida per KMS le chiavi di altri account, consulta AWS KMS autorizzazioni e cerca il valore Sì nella colonna Utilizzo tra account.

Per consentire ai responsabili di visualizzare la AWS KMS console senza errori, l'amministratore deve utilizzare il tag: GetResources permission, che non è incluso nella AWSKeyManagementServicePowerUser policy. È possibile consentire questa autorizzazione in una IAM politica separata.

La IAM politica AWSKeyManagementServicePowerUsergestita include le seguenti autorizzazioni.

Consente ai principali di creare KMS chiavi. Poiché questo processo include l'impostazione della politica delle chiavi, gli utenti esperti possono concedere a se stessi e agli altri il permesso di utilizzare e gestire le KMS chiavi che creano.
Consente ai responsabili di creare ed eliminare alias e tag su tutte le KMS chiavi. La modifica di un tag o di un alias può consentire o negare l'autorizzazione all'uso e alla gestione della chiave. KMS Per informazioni dettagliate, consultare ABACper AWS KMS.
Consente ai responsabili di ottenere informazioni dettagliate su tutte le KMS chiavi, inclusa la chiave, la configurazione crittograficaARN, la politica delle chiavi, gli alias, i tag e lo stato di rotazione.
Consente ai responsabili di elencare IAM utenti, gruppi e ruoli.
Questa politica non consente ai mandanti di utilizzare o gestire KMS chiavi che non hanno creato. Tuttavia, possono modificare alias e tag su tutte le KMS chiavi, il che potrebbe consentire o negare loro l'autorizzazione a utilizzare o gestire una chiave. KMS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AWSServiceRoleForKeyManagementServiceCustomKeyStores

Non puoi collegare AWSServiceRoleForKeyManagementServiceCustomKeyStores alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a visualizzare AWS CloudHSM i cluster associati all'archivio AWS CloudHSM chiavi e a creare la rete per supportare una connessione tra l'archivio chiavi personalizzato e il relativo cluster. AWS CloudHSM Per ulteriori informazioni, consulta Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2.

AWS politica gestita: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

Non puoi collegare AWSServiceRoleForKeyManagementServiceMultiRegionKeys alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a sincronizzare qualsiasi modifica al materiale chiave di una chiave primaria multiregionale con le relative chiavi di replica. Per ulteriori informazioni, consulta Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali.

AWS KMS aggiornamenti alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS KMS da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed sulla AWS KMS Cronologia dei documenti pagina.

Modifica	Descrizione	Data
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy: aggiornamento a policy esistente	AWS KMS ha aggiunto un campo statement ID (`Sid`) alla politica gestita nella versione della policy v2.	21 novembre 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy: aggiornamento a policy esistente	AWS KMS ha aggiunto `ec2:DescribeVpcsec2:DescribeNetworkAcls`, e `ec2:DescribeNetworkInterfaces` le autorizzazioni per monitorare le modifiche nel file VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di errori.	10 novembre 2023
AWS KMS ha iniziato a tenere traccia delle modifiche	AWS KMS ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.	10 novembre 2023

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell'identità e degli accessi

Ruoli collegati ai servizi