最小特権のアクセス許可の実装

キーストア管理者は、キーストアと、キーストアが保持および保護するブランチキーを作成および管理します。キーストア管理者は、キーストアとして機能する Amazon DynamoDB テーブルへの書き込み権限を持つ唯一のユーザーである必要があります。これらは、 CreateKeyや などの特権のある管理者オペレーションにアクセスできる唯一のユーザーである必要がありますVersionKey。これらのオペレーションは、キーストアアクション を静的に設定した場合にのみ実行できます。

CreateKey は、キーストアの許可リストARNに新しいKMSキーを追加できる特権オペレーションです。このKMSキーは、新しいアクティブなブランチキーを作成できます。一度ブランチキーストアにKMSキーを追加すると、削除できないため、このオペレーションへのアクセスを制限することをお勧めします。

ほとんどの場合、キーストアユーザーは、データを暗号化、復号、署名、検証する際に、階層キーリングを介してキーストアとのみやり取りします。そのため、キーストアとして機能する Amazon DynamoDB テーブルへの読み取りアクセス許可のみが必要です。キーストアユーザーは、、、 などの暗号化オペレーションを可能にする使用オペレーションにのみアクセスする必要がありますGetActiveBranchKeyGetBranchKeyVersionGetBeaconKey。使用するブランチキーを作成または管理するためのアクセス許可は必要ありません。

キーストアアクションが静的に設定されている場合、または検出用に設定されている場合、使用操作を実行できます。キーストアアクションが検出用に設定されている場合、管理者オペレーション (CreateKey と VersionKey) を実行することはできません。

ブランチキーストア管理者がブランチキーストアに複数のKMSキーを許可リストした場合は、キーストアユーザーがキーストアアクションを検出用に設定して、階層キーリングが複数のKMSキーを使用できるようにすることをお勧めします。