Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Gerenciamento de identidade e acesso para AWS CloudHSM

PDF
RSS
Modo de foco
Gerenciamento de identidade e acesso para AWS CloudHSM - AWS CloudHSM
Conceder permissões usando políticas do IAM;Ações de API para AWS CloudHSMChaves de condição para AWS CloudHSMPolíticas predefinidas gerenciadas pela AWS para AWS CloudHSMPolíticas gerenciadas pelo cliente para AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

A AWS usa credenciais de segurança para identificar você e conceder acesso aos recursos da AWS. Você pode usar os recursos do AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus recursos da AWS de forma total ou limitada. É possível fazer isso sem compartilhar as credenciais de segurança.

Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar os recursos da AWS. Para permitir que um usuário do IAM acesse recursos, como um load balancer, e execute tarefas, você:

  1. Criar uma política do IAM que conceda permissão ao usuário do IAM para usar os recursos específicos e ações de API de que ele precisa.

  2. Anexar a política ao usuário do IAM ou ao grupo ao qual o usuário do IAM pertence.

Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.

Por exemplo, é possível usar o IAM para criar usuários e grupos na conta da AWS. Um usuário do IAM pode ser uma pessoa, um sistema ou um aplicativo. Em seguida, você concede permissões aos usuários e grupos para executar ações específicas nos recursos especificados usando uma política do IAM;.

Conceder permissões usando políticas do IAM;

Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.

A política do IAM é um documento JSON que consiste em uma ou mais instruções. Cada instrução é estruturada como mostrado no exemplo a seguir.

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • Efeito: o efeito pode ser Allow ou Deny. Por padrão, os usuários do IAM não têm permissão para usar recursos e ações da API. Por isso, todas as solicitações são negadas. Uma permissão explícita substitui o padrão. Uma negar explícito substitui todas as permissões.

  • Ação: a ação é a ação de API específica para a qual você está concedendo ou negando permissão. Para obter mais informações sobre como especificar a ação, consulte Ações de API para AWS CloudHSM.

  • Recurso — O recurso afetado pela ação. AWS CloudHSM não oferece suporte a permissões em nível de recurso. Você deve usar o caractere curinga * para especificar todos os AWS CloudHSM recursos.

  • Condição: fica a seu critério usar as condições para controlar quando a política estará em vigor. Para obter mais informações, consulte Chaves de condição para AWS CloudHSM.

Para obter mais informações, consulte o Guia do usuário do IAM.

Ações de API para AWS CloudHSM

No elemento Ação da sua declaração de política do IAM, você pode especificar qualquer ação de API que AWS CloudHSM ofereça. É necessário prefixar o nome da ação com a string em minúsculas cloudhsm:, conforme mostrado no exemplo a seguir.

"Action": "cloudhsm:DescribeClusters"

Para especificar várias ações em uma única instrução, coloque-as entre colchetes e separe-as com vírgula, como mostrado no exemplo a seguir.

"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

Você também pode especificar várias ações usando o caractere curinga *. O exemplo a seguir especifica todos os nomes de ações de API AWS CloudHSM que começam comList.

"Action": "cloudhsm:List*"

Para especificar todas as ações da API para AWS CloudHSM, use o caractere curinga *, conforme mostrado no exemplo a seguir.

"Action": "cloudhsm:*"

Para ver a lista de ações de API para AWS CloudHSM, consulte AWS CloudHSM Ações.

Chaves de condição para AWS CloudHSM

Ao criar uma política, você pode especificar as condições que controlam quando a política está em vigor. Cada condição contém um ou mais pares de chave-valor. Há chaves de condição global e chaves de condição específicas do serviço.

AWS CloudHSM não tem chaves de contexto específicas do serviço.

Para obter mais informações sobre chaves de condição global, consulte Chaves de contexto de condição global da AWS no Guia de usuário da IAM.

Políticas predefinidas gerenciadas pela AWS para AWS CloudHSM

As políticas gerenciadas criadas pela AWS concedem as permissões necessárias para casos de uso comuns. É possível anexar essas políticas aos usuários do IAM de acordo com o acesso de que eles precisam no AWS CloudHSM :

  • AWSCloudHSMFullAcesso — Concede o acesso total necessário para usar os AWS CloudHSM recursos.

  • AWSCloudHSMReadOnlyAccess— Concede acesso somente para AWS CloudHSM leitura aos recursos.

Políticas gerenciadas pelo cliente para AWS CloudHSM

Recomendamos que você crie um grupo de administradores do IAM AWS CloudHSM que contenha somente as permissões necessárias para execução AWS CloudHSM. Anexe a política com as permissões apropriadas a este grupo. Adicione usuários do IAM; ao grupo, conforme necessário. Cada usuário que você adicionar herda a política do grupo de administradores.

Além disso, recomendamos criar grupos de usuários adicionais de acordo com as permissões que seus usuários precisam. Isso garante que somente usuários confiáveis tenham acesso a ações críticas da API. Por exemplo, você pode criar um grupo de usuários que você usa para conceder acesso somente de leitura aos clusters e. HSMs Como esse grupo não permite que um usuário exclua clusters ou HSMs, um usuário não confiável não pode afetar a disponibilidade de uma carga de trabalho de produção.

À medida que novos recursos AWS CloudHSM de gerenciamento são adicionados ao longo do tempo, você pode garantir que somente usuários confiáveis tenham acesso imediato. Ao atribuir permissões limitadas a políticas na criação, você poderá atribuir manualmente novas permissões de recurso posteriormente.

A seguir estão exemplos de políticas para AWS CloudHSM. Para obter informações sobre como criar uma política e anexá-la a um grupo de usuários do IAM, consulte Criar políticas na guia JSON no Guia usuário do IAM.

Exemplos
exemplo
Exemplo: permissões somente leitura

Esta política permite o acesso às ações da API DescribeClusters e DescribeBackups. Também inclui permissões adicionais para ações específicas da EC2 API da Amazon. Ele não permite que o usuário exclua clusters ou HSMs.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}
exemplo
Exemplo: permissões de usuário avançado

Essa política permite o acesso a um subconjunto das ações da AWS CloudHSM API. Também inclui permissões adicionais para EC2 ações específicas da Amazon. Ele não permite que o usuário exclua clusters ou HSMs. Você deve incluir a iam:CreateServiceLinkedRole ação para permitir AWS CloudHSM a criação automática da função vinculada ao serviço AWSServiceRoleForCloudHSM em sua conta. Essa função permite AWS CloudHSM registrar eventos. Para obter mais informações, consulte Funções vinculadas a serviços para AWS CloudHSM.

nota

Para permissões específicas por API, consulte a tabela de Ações, recursos e chaves de condição do AWS CloudHSM na Referência de autorização do serviço.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}
exemplo
Exemplo: permissões de administrador

Essa política permite o acesso a todas as ações AWS CloudHSM da API, incluindo as ações de exclusão HSMs e os clusters. Também inclui permissões adicionais para EC2 ações específicas da Amazon. Você deve incluir a iam:CreateServiceLinkedRole ação para permitir AWS CloudHSM a criação automática da função vinculada ao serviço AWSServiceRoleForCloudHSM em sua conta. Essa função permite AWS CloudHSM registrar eventos. Para obter mais informações, consulte Funções vinculadas a serviços para AWS CloudHSM.

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.