AWS chaves de condição globais - AWS Key Management Service
Usar a condição de endereço IPUsar condições de VPC e de endpoint da VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS chaves de condição globais

AWS define chaves de condição globais, um conjunto de chaves de condições de política para todos os AWS serviços que usam o IAM para controle de acesso. AWS KMS suporta todas as chaves de condição globais. Você pode usá-las nas AWS KMS principais políticas e nas políticas do IAM.

Por exemplo, você pode usar a chave de condição aws: PrincipalArn global para permitir o acesso a uma AWS KMS key (chave KMS) somente quando o principal na solicitação for representado pelo Amazon Resource Name (ARN) no valor da chave de condição. Para oferecer suporte ao controle de acesso baseado em atributos (ABAC) em AWS KMS, você pode usar a chave de condição global aws:ResourceTag/tag-key em uma política do IAM para permitir o acesso às chaves do KMS com uma tag específica.

Para ajudar a evitar que um AWS serviço seja usado como substituto confuso em uma política em que o diretor é o principal do AWS serviço, você pode usar as chaves de condição aws:SourceArnou as chaves de condição aws:SourceAccountglobais. Para obter detalhes, consulte Uso de chaves de condição aws:SourceArn ou aws:SourceAccount.

Para obter informações sobre chaves de condição AWS globais, incluindo os tipos de solicitações nas quais elas estão disponíveis, consulte Chaves de contexto de condição AWS global no Guia do usuário do IAM. Para exemplos de como usar chaves de condição globais em políticas do IAM, consulte Controlar o acesso a solicitações e Controlar chaves de etiquetas, no Manual do usuário do IAM.

Os tópicos a seguir fornecem orientações especiais para o uso de chaves de condição com base em endereços IP e endpoint da VPCs.

Usar a condição de endereço IP em políticas com permissões do AWS KMS

Você pode usar AWS KMS para proteger seus dados em um AWS serviço integrado. Mas tenha cuidado ao especificar os operadores de condição de endereço IP ou a chave de aws:SourceIp condição na mesma declaração de política que permite ou nega acesso a. AWS KMS Por exemplo, a política em AWS: Nega acesso a AWS Com base no IP de origem restringe AWS as ações às solicitações do intervalo de IP especificado.

Considere este cenário:

  1. Você anexa uma política como a mostrada em AWS: Nega acesso AWS com base no IP de origem a uma identidade do IAM. Defina o valor da aws:SourceIp chave de condição para o intervalo de endereços IP para a empresa do usuário. Essa identidade do IAM tem outras políticas vinculadas que permitem que ela use o Amazon EBS, o Amazon EC2 e o AWS KMS.

  2. A identidade tenta vincular um volume do EBS criptografado a uma instância do EC2. Esta ação falha com um erro de autorização, embora o usuário tenha permissão para usar todos os serviços relevantes.

A etapa 2 falha porque a solicitação AWS KMS para descriptografar a chave de dados criptografada do volume vem de um endereço IP associado à infraestrutura do Amazon EC2. Para que a solicitação seja bem-sucedida, ela deve ter o endereço IP do usuário de origem. Como a política na etapa 1 nega explicitamente todas as solicitações de endereços IP que não sejam aqueles especificados, o Amazon EC2 não recebe permissão para descriptografar a chave de dados criptografada do volume do EBS.

Além disso, a chave de condição aws:sourceIP não será efetiva se a solicitação vier de um endpoint da Amazon VPC. Para restringir solicitações a um endpoint da VPC, incluindo um endpoint da VPC do AWS KMS, use as chaves de condições aws:sourceVpce ou aws:sourceVpc. Para obter mais informações, consulte endpoint da VPCs – controle do uso de endpoints no Manual do usuário do Amazon VPC.

Usar condições do endpoint da VPC em políticas com permissões do AWS KMS

AWS KMS suporta endpoints da Amazon Virtual Private Cloud (Amazon VPC) que são alimentados por. AWS PrivateLink Você pode usar as seguintes chaves de condição globais nas políticas de chaves e nas políticas do IAM para controlar o acesso aos AWS KMS recursos quando a solicitação vem de uma VPC ou usa um VPC endpoint. Para obter detalhes, consulte Usar um endpoint da VPC em uma declaração de política.

  • aws:SourceVpc limita o acesso a solicitações da VPC especificado.

  • aws:SourceVpce limita o acesso a solicitações do endpoint da VPC especificado.

Se você usar essas chaves de condição para controlar o acesso às chaves KMS, poderá inadvertidamente negar o acesso aos AWS serviços usados AWS KMS em seu nome.

Tome cuidado para evitar uma situação como o exemplo de chaves de condições de endereço IP. Se você restringir as solicitações de uma chave KMS a uma VPC ou VPC endpoint, as chamadas AWS KMS de um serviço integrado, como Amazon S3 ou Amazon EBS, podem falhar. Isso pode acontecer mesmo se a solicitação de origem for originada, em última análise, na VPC ou no endpoint da VPC.