AWS chaves de condição globais - AWS Key Management Service
Usar a condição de endereço IPCondições de uso VPC e VPC de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS chaves de condição globais

AWS define chaves de condição globais, um conjunto de chaves de condições de política para todos os AWS serviços usados IAM para controle de acesso. AWS KMS suporta todas as chaves de condição globais. Você pode usá-los nas AWS KMS principais políticas e IAM políticas.

Por exemplo, você pode usar a chave de condição aws: PrincipalArn global para permitir o acesso a uma AWS KMS key (KMSchave) somente quando o principal na solicitação for representado pelo Amazon Resource Name (ARN) no valor da chave de condição. Para oferecer suporte ao controle de acesso baseado em atributos (ABAC) em AWS KMS, você pode usar a chave de condição global aws:ResourceTag/tag-key em uma IAM política para permitir o acesso a KMS chaves com uma tag específica.

Para ajudar a evitar que um AWS serviço seja usado como um substituto confuso em uma política em que o diretor é o principal do AWS serviço, você pode usar o aws:SourceArn ou aws:SourceAccountchaves de condição globais. Para obter detalhes, consulte Uso de chaves de condição aws:SourceArn ou aws:SourceAccount.

Para obter informações sobre chaves de condição AWS globais, incluindo os tipos de solicitações nas quais elas estão disponíveis, consulte Chaves de contexto de condição AWS global no Guia IAM do usuário. Para exemplos de uso de chaves de condição globais em IAM políticas, consulte Controlando o acesso às solicitações e Controlando as chaves de tag no Guia IAM do usuário.

Os tópicos a seguir fornecem orientação especial para o uso de chaves de condição com base em endereços IP e VPC endpoints.

Usar a condição de endereço IP em políticas com permissões do AWS KMS

Você pode usar AWS KMS para proteger seus dados em um AWS serviço integrado. Mas tenha cuidado ao especificar os operadores de condição de endereço IP ou a chave de aws:SourceIp condição na mesma declaração de política que permite ou nega acesso a. AWS KMS Por exemplo, a política em AWS: Nega acesso a AWS Com base no IP de origem restringe AWS as ações às solicitações do intervalo de IP especificado.

Considere este cenário:

  1. Você anexa uma política como a mostrada em AWS: Nega acesso a uma IAM identidade AWS com base no IP de origem. Defina o valor da aws:SourceIp chave de condição para o intervalo de endereços IP para a empresa do usuário. Essa IAM identidade tem outras políticas anexadas que permitem o uso da Amazon EBSEC2, Amazon AWS KMS e.

  2. A identidade tenta anexar um EBS volume criptografado a uma EC2 instância. Esta ação falha com um erro de autorização, embora o usuário tenha permissão para usar todos os serviços relevantes.

A etapa 2 falha porque a solicitação AWS KMS para descriptografar a chave de dados criptografada do volume vem de um endereço IP associado à infraestrutura da Amazon. EC2 Para que a solicitação seja bem-sucedida, ela deve ter o endereço IP do usuário de origem. Como a política na etapa 1 nega explicitamente todas as solicitações de endereços IP diferentes dos especificados, a Amazon não EC2 tem permissão para descriptografar a chave de dados criptografada do EBS volume.

Além disso, a chave de aws:sourceIP condição não é efetiva quando a solicitação vem de um VPCendpoint da Amazon. Para restringir as solicitações a um VPC endpoint, incluindo um AWS KMS VPCendpoint, use as chaves de aws:sourceVpc condição aws:sourceVpce ou. Para obter mais informações, consulte VPCEndpoints - Controlando o uso de endpoints no Guia VPC do usuário da Amazon.

Usando condições VPC de endpoint em políticas com permissões AWS KMS

AWS KMS suporta endpoints da Amazon Virtual Private Cloud (AmazonVPC) que são alimentados por AWS PrivateLink. Você pode usar as seguintes chaves de condição globais nas principais políticas e IAM políticas para controlar o acesso aos AWS KMS recursos quando a solicitação vem de um VPC endpoint VPC ou usa um. Para obter detalhes, consulte Usar endpoints da VPC para controlar o acesso aos recursos do AWS KMS.

  • aws:SourceVpclimita o acesso às solicitações do especificadoVPC.

  • aws:SourceVpcelimita o acesso às solicitações do VPC endpoint especificado.

Se você usar essas chaves de condição para controlar o acesso às KMS chaves, poderá inadvertidamente negar o acesso aos AWS serviços usados AWS KMS em seu nome.

Tome cuidado para evitar uma situação como o exemplo de chaves de condições de endereço IP. Se você restringir as solicitações de uma KMS chave para um VPC ou um VPC endpoint, as chamadas AWS KMS de um serviço integrado, como Amazon S3 ou EBS Amazon, podem falhar. Isso pode acontecer mesmo que a solicitação de origem tenha origem no VPC ou no VPC endpoint.