Controlar o acesso ao armazenamento de chaves do AWS CloudHSM - AWS Key Management Service
Autorizar gerenciadores e usuários de armazenamento de chaves do AWS CloudHSMAutorizar o AWS KMS a gerenciar recursos do AWS CloudHSM e do Amazon EC2

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso ao armazenamento de chaves do AWS CloudHSM

Você pode usar políticas do IAM para controlar o acesso ao seu armazenamento de chaves do AWS CloudHSM e ao cluster do AWS CloudHSM. Você pode usar políticas de chaves, políticas do IAM e concessões para controlar o acesso às AWS KMS keys no seu armazenamento de chaves do AWS CloudHSM. Recomendamos que você forneça aos usuários, grupos e funções apenas as permissões que precisam para as tarefas que possivelmente executarão.

Autorizar gerenciadores e usuários de armazenamento de chaves do AWS CloudHSM

Ao criar seu armazenamento de chaves do AWS CloudHSM, verifique se as entidades principais que usam e gerenciam têm apenas as permissões necessárias. A lista a seguir descreve as permissões mínimas necessárias para gerenciadores e usuários de armazenamento de chaves do AWS CloudHSM.

  • As entidades principais que criam e gerenciam o armazenamento de chaves do AWS CloudHSM precisam das seguintes permissões para usar as operações de API do armazenamento de chaves do AWS CloudHSM.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • As entidades principais que criam e gerenciam o cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM precisam de permissão para criar e inicializar um cluster do AWS CloudHSM. Isso inclui permissão para criar ou usar uma Amazon Virtual Private Cloud (VPC), criar sub-redes e criar uma instância do Amazon EC2. Também pode ser necessário criar e excluir HSMs, além de gerenciar backups. Para obter as listas das permissões necessárias, consulte Identity and access management for AWS CloudHSM (Gerenciamento de identidade e acesso para o ) no Guia do usuário do AWS CloudHSM.

  • As entidades principais que criam e gerenciam AWS KMS keys em seu armazenamento de chaves do AWS CloudHSM exigem as mesmas permissões que as que criam e gerenciam qualquer chave do KMS no AWS KMS. A política de chaves padrão para a chave do KMS em um armazenamento de chaves do AWS CloudHSM é idêntica à política de chaves padrão para chaves do KMS no AWS KMS. O controle de acesso por atributo (ABAC), que usa etiquetas e aliases para controlar o acesso a chaves do KMS, também é eficaz em chaves do KMS em armazenamentos de chaves do AWS CloudHSM.

  • As entidades principais que usam as chaves do KMS no seu armazenamento de chaves do AWS CloudHSM para operações de criptografia precisam de permissão para executar a operação de criptografia com as chaves do KMS, como kms:Decrypt. Você pode fornecer essas permissões em uma política de chaves, política do IAM. No entanto, elas não precisam de permissões adicionais para usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM.

Autorizar o AWS KMS a gerenciar recursos do AWS CloudHSM e do Amazon EC2

Para oferecer suporte aos armazenamentos de chaves do AWS CloudHSM, o AWS KMS precisa de permissão para obter informações sobre seus clusters do AWS CloudHSM. Ele também precisa de permissão para criar a infraestrutura de rede que conecta seu armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM. Para obter essas permissões, AWS KMS crie a função AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculada ao serviço em seu. Conta da AWS Os usuários que criam armazenamentos de chaves do AWS CloudHSM devem ter a permissão iam:CreateServiceLinkedRole que permite criar perfis vinculados ao serviço.

Sobre a função vinculada ao serviço do AWS KMS

Uma função vinculada ao serviço é uma função do IAM que oferece permissão a um serviço da AWS para chamar outros serviços da AWS em seu nome. Ela foi projetada para facilitar o uso dos recursos de vários serviços integrados da AWS sem a necessidade de criar e manter políticas complexas do IAM. Para ter mais informações, consulte Usar perfis vinculados ao serviço do AWS KMS.

Para armazenamentos de AWS CloudHSM chaves, AWS KMS cria a função AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculada ao serviço com a AWSKeyManagementServiceCustomKeyStoresServiceRolePolicypolítica. Essa política concede as seguintes permissões à função:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

Como a função AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculada ao serviço é confiável somentecks.kms.amazonaws.com, somente AWS KMS pode assumir essa função vinculada ao serviço. Essa função está limitada às operações de que o AWS KMS precisa para visualizar seus clusters do AWS CloudHSM e conectar um armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM associado. Ele não concede permissões adicionais ao AWS KMS. Por exemplo, o AWS KMS não tem permissão para criar, gerenciar ou excluir clusters, HSMs ou backups do AWS CloudHSM.

Regiões

Assim como o recurso de lojas AWS CloudHSM principais, a AWSServiceRoleForKeyManagementServiceCustomKeyStoresfunção é suportada em todos os Regiões da AWS lugares AWS KMS e AWS CloudHSM está disponível. Para obter uma lista das Regiões da AWS com suporte por cada serviço, consulte Endpoints e cotas do AWS Key Management Service e Endpoints e cotas do AWS CloudHSM em Referência geral da Amazon Web Services.

Para obter mais informações sobre como os serviços da AWS usam perfis vinculados a serviços, consulte Uso de perfis vinculados a serviço, no Guia do usuário do IAM.

Criar a função vinculada ao serviço

AWS KMScria automaticamente a função AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculada ao serviço em sua Conta da AWS quando você cria um armazenamento de AWS CloudHSM chaves, se a função ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente.

Editar a descrição de uma função vinculada ao serviço

Você não pode editar o nome da função ou as declarações da política na função vinculada ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores, mas você pode editar a descrição da função. Para obter mais informações, consulte Editar um perfil vinculado ao serviço, no Guia do usuário do IAM.

Excluir a função vinculada ao serviço

AWS KMSnão exclui a função AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculada ao serviço de sua, Conta da AWS mesmo que você tenha excluído todos os seus armazenamentos de AWS CloudHSM chaves. Embora atualmente não haja nenhum procedimento para excluir a função AWSServiceRoleForKeyManagementServiceCustomKeyStoresvinculada ao serviço, não assume essa função AWS KMS nem usa suas permissões, a menos que você tenha armazenamentos de chaves ativosAWS CloudHSM.