Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

AWS chaves de condição globais

PDF
RSS
Modo de foco
AWS chaves de condição globais - AWS Key Management Service
Usar a condição de endereço IPUsar condições de VPC e de endpoint da VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS define chaves de condição globais, um conjunto de chaves de condições de política para todos os AWS serviços que usam o IAM para controle de acesso. AWS KMS suporta todas as chaves de condição globais. Você pode usá-las nas AWS KMS principais políticas e nas políticas do IAM.

Por exemplo, você pode usar a chave de condição aws: PrincipalArn global para permitir o acesso a uma AWS KMS key (chave KMS) somente quando o principal na solicitação for representado pelo Amazon Resource Name (ARN) no valor da chave de condição. Para oferecer suporte ao controle de acesso baseado em atributos (ABAC) em AWS KMS, você pode usar a chave de condição global aws:ResourceTag/tag-key em uma política do IAM para permitir o acesso às chaves do KMS com uma tag específica.

Para ajudar a evitar que um AWS serviço seja usado como substituto confuso em uma política em que o diretor é o principal do AWS serviço, você pode usar o aws:SourceArn ou aws:SourceAccountchaves de condição globais. Para obter detalhes, consulte Uso de chaves de condição aws:SourceArn ou aws:SourceAccount.

Para obter informações sobre chaves de condição AWS globais, incluindo os tipos de solicitações nas quais elas estão disponíveis, consulte Chaves de contexto de condição AWS global no Guia do usuário do IAM. Para exemplos de como usar chaves de condição globais em políticas do IAM, consulte Controlar o acesso a solicitações e Controlar chaves de etiquetas, no Manual do usuário do IAM.

Os tópicos a seguir fornecem orientações especiais para o uso de chaves de condição com base em endereços IP e endpoint da VPCs.

Usar a condição de endereço IP em políticas com permissões do AWS KMS

Você pode usar AWS KMS para proteger seus dados em um AWS serviço integrado. Mas tenha cuidado ao especificar os operadores de condição de endereço IP ou a chave de aws:SourceIp condição na mesma declaração de política que permite ou nega acesso a. AWS KMS Por exemplo, a política em AWS: Nega acesso a AWS Com base no IP de origem restringe AWS as ações às solicitações do intervalo de IP especificado.

Considere este cenário:

  1. Você anexa uma política como a mostrada em AWS: Nega acesso AWS com base no IP de origem a uma identidade do IAM. Defina o valor da aws:SourceIp chave de condição para o intervalo de endereços IP para a empresa do usuário. Essa identidade do IAM tem outras políticas anexadas que permitem o uso do Amazon EBS EC2, Amazon e. AWS KMS

  2. A identidade tenta anexar um volume criptografado do EBS a uma EC2 instância. Esta ação falha com um erro de autorização, embora o usuário tenha permissão para usar todos os serviços relevantes.

A etapa 2 falha porque a solicitação AWS KMS para descriptografar a chave de dados criptografada do volume vem de um endereço IP associado à infraestrutura da Amazon. EC2 Para que a solicitação seja bem-sucedida, ela deve ter o endereço IP do usuário de origem. Como a política na etapa 1 nega explicitamente todas as solicitações de endereços IP diferentes dos especificados, a Amazon não EC2 tem permissão para descriptografar a chave de dados criptografada do volume do EBS.

Além disso, a chave de condição aws:sourceIP não será efetiva se a solicitação vier de um endpoint da Amazon VPC. Para restringir solicitações a um endpoint da VPC, incluindo um endpoint da VPC do AWS KMS, use as chaves de condições aws:sourceVpce ou aws:sourceVpc. Para obter mais informações, consulte endpoint da VPCs – controle do uso de endpoints no Manual do usuário do Amazon VPC.

Usar condições do endpoint da VPC em políticas com permissões do AWS KMS

AWS KMS suporta endpoints da Amazon Virtual Private Cloud (Amazon VPC) que são alimentados por. AWS PrivateLink Você pode usar as seguintes chaves de condição globais nas políticas de chaves e nas políticas do IAM para controlar o acesso aos AWS KMS recursos quando a solicitação vem de uma VPC ou usa um VPC endpoint. Para obter detalhes, consulte Use VPC endpoints para controlar o acesso aos recursos AWS KMS.

  • aws:SourceVpc limita o acesso a solicitações da VPC especificado.

  • aws:SourceVpce limita o acesso a solicitações do endpoint da VPC especificado.

Se você usar essas chaves de condição para controlar o acesso às chaves KMS, poderá inadvertidamente negar o acesso aos AWS serviços usados AWS KMS em seu nome.

Tome cuidado para evitar uma situação como o exemplo de chaves de condições de endereço IP. Se você restringir as solicitações de uma chave KMS a uma VPC ou VPC endpoint, as chamadas AWS KMS de um serviço integrado, como Amazon S3 ou Amazon EBS, podem falhar. Isso pode acontecer mesmo se a solicitação de origem for originada, em última análise, na VPC ou no endpoint da VPC.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.