Usa VPC gli endpoint per controllare l'accesso alle risorse AWS KMS - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa VPC gli endpoint per controllare l'accesso alle risorse AWS KMS

Puoi controllare l'accesso alle AWS KMS risorse e alle operazioni quando la richiesta proviene VPC o utilizza un VPC endpoint. A tale scopo, utilizzate una delle seguenti chiavi di condizione globali in una policy o IAMpolicy chiave.

  • Utilizza la chiave aws:sourceVpce condizionale per concedere o limitare l'accesso in base all'VPCendpoint.

  • Usa la chiave aws:sourceVpc condizionale per concedere o limitare l'accesso in base a VPC quello che ospita l'endpoint privato.

Nota

Fai attenzione quando crei policy e IAM policy chiave basate sul tuo VPC endpoint. Se una dichiarazione di policy richiede che le richieste provengano da un particolare VPC o da un VPC endpoint, le richieste provenienti da AWS servizi integrati che utilizzano una AWS KMS risorsa per conto dell'utente potrebbero non riuscire. Per assistenza, consulta Utilizzo delle condizioni VPC degli endpoint nelle politiche con autorizzazioni AWS KMS.

Inoltre, la chiave di aws:sourceIP condizione non è efficace quando la richiesta proviene da un VPCendpoint Amazon. Per limitare le richieste a un VPC endpoint, usa le chiavi di aws:sourceVpc condizione aws:sourceVpce o. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per VPC endpoint e servizi VPC endpoint nella Guida.AWS PrivateLink

Puoi utilizzare queste chiavi di condizione globali per controllare l'accesso a AWS KMS keys (KMSchiavi), alias e operazioni del genere CreateKeyche non dipendono da alcuna risorsa particolare.

Ad esempio, la seguente politica di chiave di esempio consente a un utente di eseguire alcune operazioni crittografiche con una KMS chiave solo quando la richiesta utilizza l'endpoint specificatoVPC. Quando un utente effettua una richiesta a AWS KMS, l'ID dell'VPCendpoint nella richiesta viene confrontato con il valore della chiave di aws:sourceVpce condizione nella policy. Se non corrisponde, la richiesta viene rifiutata.

Per utilizzare una politica come questa, sostituisci l' Account AWS ID segnaposto e l'VPCendpoint IDs con valori validi per il tuo account.

{
    "Id": "example-key-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM policies",
            "Effect": "Allow",
            "Principal": {"AWS":["111122223333"]},
            "Action": ["kms:*"],
            "Resource": "*"
        },
        {
            "Sid": "Restrict usage to my VPC endpoint",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:sourceVpce": "vpce-1234abcdf5678c90a"
                }
            }
        }

    ]
}

Puoi anche utilizzare la chiave di aws:sourceVpc condizione per limitare l'accesso alle tue KMS chiavi in base all'endpoint VPC in cui VPC si trova.

Il seguente esempio di policy chiave consente i comandi che gestiscono la KMS chiave solo quando provengono. vpc-12345678 Inoltre, consente i comandi che utilizzano la KMS chiave per operazioni crittografiche solo quando provengono davpc-2b2b2b2b. È possibile utilizzare una politica come questa se un'applicazione è in esecuzione in una di esseVPC, ma se ne utilizza una seconda, isolata VPC per le funzioni di gestione.

Per utilizzare una politica come questa, sostituisci l' Account AWS ID segnaposto e l'VPCendpoint IDs con valori validi per il tuo account.

{
    "Id": "example-key-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow administrative actions from vpc-12345678",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "kms:Create*","kms:Enable*","kms:Put*","kms:Update*",
                "kms:Revoke*","kms:Disable*","kms:Delete*",
                "kms:TagResource", "kms:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        },
        {
            "Sid": "Allow key usage from vpc-2b2b2b2b",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "kms:Encrypt","kms:Decrypt","kms:GenerateDataKey*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-2b2b2b2b"
                }
            }
        },
        {
            "Sid": "Allow read actions from everywhere",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "kms:Describe*","kms:List*","kms:Get*"
            ],
            "Resource": "*",
        }
    ]
}