Controlar o acesso a chaves de várias regiões - AWS Key Management Service
Noções básicas de autorização para chaves de várias regiõesAutorizar administradores e usuários de chave de várias regiões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso a chaves de várias regiões

Você pode usar chaves de várias regiões em cenários de conformidade, recuperação de desastres e backup que seriam mais complexos com chaves de uma única região. No entanto, como as propriedades de segurança das chaves de várias regiões são significativamente diferentes das de chaves de uma única região, convém ter cuidado ao autorizar a criação, o gerenciamento e o uso de chaves de várias regiões.

nota

As declarações IAM de política existentes com caracteres curinga no Resource campo agora se aplicam às chaves de região única e multirregião. Para restringi-las a chaves de região única ou KMS chaves de várias regiões, use a chave de condição kms: MultiRegion.

Use suas ferramentas de autorização para impedir a criação e o uso de chaves de várias regiões em qualquer cenário em que uma única região seja suficiente. Permita que os diretores repliquem uma chave multirregional somente no Regiões da AWS que for necessário. Dê permissão para chaves de várias regiões apenas às entidades principais que precisam delas e apenas para tarefas necessárias.

Você pode usar as principais políticas, IAM políticas e subsídios para permitir que IAM os diretores gerenciem e usem chaves multirregionais em seu. Conta da AWS Cada chave multirregional é um recurso independente com uma chave ARN e uma política de chaves exclusivas. Você precisa estabelecer e manter uma política de chaves para cada chave e garantir que IAM as políticas novas e existentes implementem sua estratégia de autorização.

Para oferecer suporte a chaves multirregionais, AWS KMS usa uma função vinculada ao IAM serviço. Essa função dá ao AWS KMS as permissões necessárias para sincronizar propriedades compartilhadas. Para obter mais informações, consulte Autorizando a sincronização AWS KMS de chaves multirregionais.

Noções básicas de autorização para chaves de várias regiões

Ao criar as principais políticas e IAM políticas para chaves multirregionais, considere os princípios a seguir.

  • Política-chave — Cada chave multirregional é um recurso KMS chave independente com sua própria política chave. Você pode aplicar a mesma política de chaves ou uma política de chaves diferente a cada chave no conjunto de chaves de várias regiões relacionadas. As políticas de chaves não são propriedades compartilhadas de chaves multirregionais. AWS KMS não copia nem sincroniza políticas de chaves entre chaves multirregionais relacionadas.

    Quando você cria uma chave de réplica no AWS KMS console, o console exibe a política de chaves atual da chave primária como uma conveniência. É possível usar essa política de chaves, editá-la ou excluí-la e substituí-la. Mas mesmo que você aceite a política de chave primária inalterada, AWS KMS não sincroniza as políticas. Por exemplo, se você alterar a política de chaves da chave primária, a política de chaves da chave de réplica permanecerá igual.

  • Política de chaves padrão — Quando você cria chaves multirregionais usando as ReplicateKey operações CreateKeye, a política de chaves padrão é aplicada, a menos que você especifique uma política de chaves na solicitação. Essa é a mesma política de chave padrão aplicada a chaves de região única.

  • IAMpolíticas — Como acontece com todas KMS as chaves, você pode usar IAM políticas para controlar o acesso às chaves multirregionais somente quando a política de chaves permitir. IAMas políticas se aplicam a todos Regiões da AWS por padrão. No entanto, você pode usar chaves de condição, como aws: RequestedRegion, para limitar as permissões a uma região específica.

    Para criar chaves primárias e de réplica, os diretores devem ter kms:CreateKey permissão em uma IAM política que se aplique à região em que a chave foi criada.

  • Subsídios — os AWS KMS subsídios são regionais. Cada concessão permite permissões para uma KMS chave. É possível usar concessões para dar permissões para uma chave primária ou chave de réplica de várias regiões. Mas você não pode usar uma única concessão para permitir permissões para várias KMS chaves, mesmo que sejam chaves multirregionais relacionadas.

  • Chave ARN — Cada chave multirregional tem uma chave ARN exclusiva. A chave ARNs das chaves multirregionais relacionadas tem a mesma partição, conta e ID de chave, mas regiões diferentes.

    Para aplicar uma declaração IAM de política a uma chave multirregional específica, use sua chave ARN ou um ARN padrão de chave que inclua a região. Para aplicar uma declaração de IAM política a todas as chaves multirregionais relacionadas, use um caractere curinga (*) no elemento Região doARN, conforme mostrado no exemplo a seguir.

    {
  "Effect": "Allow",  
  "Action": [
    "kms:Describe*",
    "kms:List*"
  ],
  "Resource": {
      "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
  }
}

    Para aplicar uma declaração de política a todas as chaves multirregionais em sua Conta da AWS, você pode usar a condição kms: MultiRegion policy ou um padrão de ID de chave que inclua o prefixo distintomrk-.

  • Função vinculada ao serviço — Os diretores que criam chaves primárias multirregionais devem ter a permissão iam:. CreateServiceLinkedRole

    Para sincronizar as propriedades compartilhadas das chaves multirregionais relacionadas, AWS KMS assume uma IAM função vinculada ao serviço. AWS KMS cria a função vinculada ao serviço Conta da AWS sempre que você cria uma chave primária multirregional. (Se a função existir, o AWS KMS a recriará, o que não causa nenhum problema.) A função é válida em todas as regiões. AWS KMS Para permitir a criação (ou recriação) da função vinculada ao serviço, os diretores que criam chaves primárias multirregionais devem ter a permissão iam:. CreateServiceLinkedRole

Autorizar administradores e usuários de chave de várias regiões

As entidades principais que criam e gerenciam chaves de várias regiões precisam das seguintes permissões nas regiões primária e de réplica:

  • kms:CreateKey

  • kms:ReplicateKey

  • kms:UpdatePrimaryRegion

  • iam:CreateServiceLinkedRole

Criar uma chave primária

Para criar uma chave primária multirregional, o principal precisa das CreateServiceLinkedRole permissões kms: CreateKey e iam: em uma IAM política que seja efetiva na região da chave primária. As entidades principais que têm essas permissões podem criar chaves de região única e de várias regiões, a menos que você restrinja suas permissões.

A iam:CreateServiceLinkedRole permissão permite criar AWS KMS a AWSServiceRoleForKeyManagementServiceMultiRegionKeysfunção para sincronizar as propriedades compartilhadas das chaves multirregionais relacionadas.

Por exemplo, essa IAM política permite que um diretor crie qualquer tipo de KMS chave.

{
  "Version": "2012-10-17",
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}

Para permitir ou negar a permissão para criar chaves primárias multirregionais, use a chave de MultiRegion condição kms:. Os valores válidos são true (chave de várias regiões) ou false (chave de região única). Por exemplo, a declaração de IAM política a seguir usa uma Deny ação com a chave de kms:MultiRegion condição para impedir que os principais criem chaves multirregionais. 

{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": "kms:MultiRegion": true
      }
  }
}

Replicação de chaves

Para criar uma chave de réplica de várias regiões, a entidade principal precisará das seguintes permissões:

  • kms: ReplicateKey permissão na política de chaves da chave primária.

  • kms: CreateKey permissão em uma IAM política que é efetiva na região da chave de réplica.

Tenha cuidado ao conceder essas permissões. Eles permitem que os diretores criem KMS chaves e as principais políticas que autorizam seu uso. A permissão kms:ReplicateKey também autoriza a transferência de material chave através dos limites da região no AWS KMS.

Para restringir o modo Regiões da AWS em que uma chave multirregional pode ser replicada, use a chave de condição kms: ReplicaRegion. Ela limita apenas a permissão kms:ReplicateKey. De outra forma, ela não terá efeito. Por exemplo, a política de chaves a seguir permite que a entidade principal replique essa chave primária, mas somente nas regiões especificadas.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Atualizar a região primária

As entidades principais autorizadas podem converter uma chave de réplica em uma chave primária, o que transforma a chave primária anterior em uma réplica. Essa ação é conhecida como atualização da região primária. Para atualizar a região principal, o principal precisa de kms: UpdatePrimaryRegion permissão em ambas as regiões. Você pode fornecer essas permissões em uma política ou IAM política chave.

  • kms:UpdatePrimaryRegion na chave primária. Essa permissão deve ser efetiva na região da chave primária.

  • kms:UpdatePrimaryRegion na chave de réplica. Essa permissão deve ser efetiva na região da chave de réplica.

Por exemplo, a política de chaves a seguir dá aos usuários que podem assumir a função de administrador permissão para atualizar a região primária da KMS chave. Essa KMS chave pode ser a chave primária ou uma chave de réplica nessa operação.

{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}

Para restringir o Regiões da AWS que pode hospedar uma chave primária, use a chave de PrimaryRegion condição kms:. Por exemplo, a declaração de IAM política a seguir permite que os diretores atualizem a região primária das chaves multirregionais no Conta da AWS, mas somente quando a nova região primária for uma das regiões especificadas.

{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}

Usar e gerenciar chaves de várias regiões

Por padrão, os diretores que têm permissão para usar e gerenciar KMS chaves em uma Conta da AWS região também têm permissão para usar e gerenciar chaves multirregionais. No entanto, você pode usar a chave de MultiRegion condição kms: para permitir somente chaves de região única ou somente chaves de várias regiões. Ou use a chave de MultiRegionKeyType condição kms: para permitir somente chaves primárias multirregionais ou somente chaves de réplica. Ambas as chaves de condição controlam o acesso à CreateKeyoperação e a qualquer operação que use uma KMS chave existente, como Criptografar ou EnableKey.

O exemplo de declaração IAM de política a seguir usa a chave de kms:MultiRegion condição para impedir que os diretores usem ou gerenciem qualquer chave multirregional.

{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}

Este exemplo IAM de declaração de política usa a kms:MultiRegionKeyType condição para permitir que os diretores programem e cancelem a exclusão de chaves, mas somente em chaves de réplica multirregionais.

{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}