Conceda permissões usando IAM políticas APIações para AWS CloudHSM Chaves de condição para AWS CloudHSM Políticas AWS gerenciadas predefinidas para AWS CloudHSM Políticas gerenciadas pelo cliente para AWS CloudHSM

Gerenciamento de identidade e acesso para AWS CloudHSM

A AWS usa credenciais de segurança para identificar você e conceder acesso aos recursos da AWS. Você pode usar os recursos de AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus AWS recursos de forma total ou limitada. É possível fazer isso sem compartilhar as credenciais de segurança.

Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar recursos da AWS. Para permitir que um usuário do IAM acesse recursos, como um load balancer, e execute tarefas, você:

Crie uma IAM política que conceda ao IAM usuário permissão para usar os recursos e API ações específicos de que ele precisa.
Anexe a política ao IAM usuário ou ao grupo ao qual o IAM usuário pertence.

Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.

Por exemplo, você pode usar IAM para criar usuários e grupos em sua AWS conta. Um usuário do IAM pode ser uma pessoa, um sistema ou um aplicativo. Em seguida, você concede permissões aos usuários e grupos para executar ações específicas nos recursos especificados usando uma política do IAM.

Conceda permissões usando IAM políticas

Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.

Uma IAM política é um JSON documento que consiste em uma ou mais declarações. Cada instrução é estruturada como mostrado no exemplo a seguir.


{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

Efeito: o efeito pode ser Allow ou Deny. Por padrão, IAM os usuários não têm permissão para usar recursos e API ações, então todas as solicitações são negadas. Um permitir explícito substitui o padrão. Uma negar explícito substitui todas as permissões.
Ação — A ação é a API ação específica para a qual você está concedendo ou negando permissão. Para obter mais informações sobre como especificar a ação, consulte APIações para AWS CloudHSM.
Recurso — O recurso afetado pela ação. AWS CloudHSM não oferece suporte a permissões em nível de recurso. Você deve usar o caractere curinga * para especificar todos os AWS CloudHSM recursos.
Condição: fica a seu critério usar as condições para controlar quando a política estará em vigor. Para obter mais informações, consulte Chaves de condição para AWS CloudHSM.

Para mais informações, consulte o Guia do usuário do IAM.

APIações para AWS CloudHSM

No elemento Ação da sua declaração de IAM política, você pode especificar qualquer API ação que AWS CloudHSM ofereça. É necessário prefixar o nome da ação com a string em minúsculas cloudhsm:, conforme mostrado no exemplo a seguir.


"Action": "cloudhsm:DescribeClusters"

Para especificar várias ações em uma única instrução, coloque-as entre colchetes e separe-as com vírgula, como mostrado no exemplo a seguir.


"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

Você também pode especificar várias ações usando o caractere curinga *. O exemplo a seguir especifica todos os nomes de API ações AWS CloudHSM que começam comList.


"Action": "cloudhsm:List*"

Para especificar todas as API ações para AWS CloudHSM, use o caractere curinga *, conforme mostrado no exemplo a seguir.


"Action": "cloudhsm:*"

Para obter a lista de API ações para AWS CloudHSM, consulte AWS CloudHSM Ações.

Chaves de condição para AWS CloudHSM

Ao criar uma política, você pode especificar as condições que controlam quando a política está em vigor. Cada condição contém um ou mais pares de chave-valor. Há chaves de condição global e chaves de condição específicas do serviço.

AWS CloudHSM não tem chaves de contexto específicas do serviço.

Para obter mais informações sobre chaves de condição globais, consulte Chaves de contexto de condição AWS global no Guia IAM do usuário.

Políticas AWS gerenciadas predefinidas para AWS CloudHSM

As políticas gerenciadas criadas pela AWS concedem as permissões necessárias para casos de uso comuns. Você pode anexar essas políticas aos seus IAM usuários, com base no acesso AWS CloudHSM que eles precisam:

AWSCloudHSMFullAccess— Concede acesso total necessário para usar os AWS CloudHSM recursos.
AWSCloudHSMReadOnlyAccess— Concede acesso somente para AWS CloudHSM leitura aos recursos.

Políticas gerenciadas pelo cliente para AWS CloudHSM

Recomendamos que você crie um grupo de IAM administradores AWS CloudHSM que contenha somente as permissões necessárias para execução AWS CloudHSM. Anexe a política com as permissões apropriadas a este grupo. Adicione usuários do IAM ao grupo, conforme necessário. Cada usuário que você adicionar herda a política do grupo de administradores.

Além disso, recomendamos criar grupos de usuários adicionais de acordo com as permissões que seus usuários precisam. Isso garante que somente usuários confiáveis tenham acesso às API ações críticas. Por exemplo, você pode criar um grupo de usuários que você usa para conceder acesso somente de leitura aos clusters e. HSMs Como esse grupo não permite que um usuário exclua clusters ouHSMs, um usuário não confiável não pode afetar a disponibilidade de uma carga de trabalho de produção.

À medida que novos recursos AWS CloudHSM de gerenciamento são adicionados ao longo do tempo, você pode garantir que somente usuários confiáveis tenham acesso imediato. Ao atribuir permissões limitadas a políticas na criação, você poderá atribuir manualmente novas permissões de recurso posteriormente.

A seguir estão exemplos de políticas para AWS CloudHSM. Para obter informações sobre como criar uma política e anexá-la a um grupo de IAM usuários, consulte Criação de políticas na JSON guia do IAM usuário.

exemplo
Exemplo: permissões somente leitura

Essa política permite o acesso às DescribeBackups API ações DescribeClusters e. Também inclui permissões adicionais para EC2 API ações específicas da Amazon. Ele não permite que o usuário exclua clusters ouHSMs.


{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}

exemplo
Exemplo: permissões de usuário avançado

Essa política permite o acesso a um subconjunto das AWS CloudHSM API ações. Também inclui permissões adicionais para EC2 ações específicas da Amazon. Ele não permite que o usuário exclua clusters ouHSMs. Você deve incluir a iam:CreateServiceLinkedRole ação para permitir AWS CloudHSM a criação automática da função AWSServiceRoleForCloudHSMvinculada ao serviço em sua conta. Essa função permite AWS CloudHSM registrar eventos. Para obter mais informações, consulte Funções vinculadas a serviços para AWS CloudHSM.

nota

Para ver as permissões específicas de cada umAPI, consulte Ações, recursos e chaves de condição AWS CloudHSM na Referência de autorização de serviço.


{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}

exemplo
Exemplo: permissões de administrador

Essa política permite acesso a todas as AWS CloudHSM API ações, incluindo as ações a serem excluídas HSMs e os clusters. Também inclui permissões adicionais para EC2 ações específicas da Amazon. Você deve incluir a iam:CreateServiceLinkedRole ação para permitir AWS CloudHSM a criação automática da função AWSServiceRoleForCloudHSMvinculada ao serviço em sua conta. Essa função permite AWS CloudHSM registrar eventos. Para obter mais informações, consulte Funções vinculadas a serviços para AWS CloudHSM.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Backups do cluster

Perfis vinculados ao serviço