本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # KMS 密钥 \| 创建 使用带有策略验证功能的 SSM 自动化文档创建 AWS KMS 客户主密钥 (CMK)。 **完整分类:**部署 \| 高级堆栈组件 \| KMS 密钥 \| 创建 ## 更改类型详情 **** | | | | --- |--- | | 更改类型 ID | ct-1d84keiri1jhg | | 当前版本 | 2.0 | | 预期执行时长 | 30 分钟 | | AWS 批准 | 必需 | | 客户批准 | 非必需 | | 执行模式 | 自动 | ## 附加信息 ### 创建 KMS 密钥 #### 使用控制台创建 AWS KMS 密钥 AMS 控制台中此更改类型的屏幕截图: ![Create KMS key change type with description, ID, version, and execution mode details.](http://docs.aws.amazon.com/zh_cn/managedservices/latest/ctref/images/guiKmsKeyCreateCT.png) 工作原理: 1. 导航到**创建 RFC** 页面:在 AMS 控制台的左侧导航窗格中,单击**RFCs**打开 RFCs 列表页面,然后单击**创建 R** FC。 1. 在默认的 “**浏览更改类型” 视图中选择常用更改类型** (CT),或者在 “**按类别选择” 视图中选择** CT。 + **按更改类型浏览**:您可以单击 “**快速创建**” 区域中的常用 CT,立即打开 “**运行 RFC**” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。 要进行排序 CTs,请使用**卡片**视图或**表格**视图中的**所有更改类型**区域。在任一视图中,选择一个 CT,然后单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。如果适用,“**创建 RFC” 按钮旁边会显示 “使用旧版本****创建**” 选项。 + **按类别选择:选择类别**、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用**旧版本创建**” 选项(如果适用)。单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。 1. 在 “**运行 RFC**” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写**主题**(如果您在 “**浏览更改类型**” 视图中选择 CT,则会为您填写此主题)。打开**其他配置**区域以添加有关 RFC 的信息。 在**执行配置**区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开**其他配置**区域。 1. 完成后,单击 “**运行**”。如果没有错误,则会显示**成功创建的 RFC** 页面,其中包含已提交的 RFC 详细信息和初始**运行**输出。 1. 打开**运行参数**区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。 #### 使用 CLI 创建 AWS KMS 密钥 工作原理: 1. 使用 Inline Create(您发出包含所有 RFC 和执行参数的`create-rfc`命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出`create-rfc`命令。这里描述了这两种方法。 1. 提交带有返回的 RFC ID 的 RFC: `aws amscm submit-rfc --rfc-id {{ID}}` 命令。 监控 RFC: `aws amscm get-rfc --rfc-id {{ID}}` 命令。 要检查更改类型版本,请使用以下命令: ``` aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value={{CT_ID}} ``` **注意** 您可以将任何`CreateRfc`参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`有关所有 CreateRfc 参数的列表,请参阅《[AMS 变更管理 API 参考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)》。 *内联创建*: 使用内联提供的执行参数(内联提供执行参数时使用转义引号)发出 create RFC 命令,然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容: 仅限必填参数: ``` aws amscm create-rfc --title {{my-app-key}} --change-type-id ct-1d84keiri1jhg --change-type-version {{1.0}} --execution-parameters '{"Description":"{{KMS key for my-app}}","VpcId":"{{VPC_ID}}","Name":"{{my-app-key}}","StackTemplateId":"stm-enf1j068fhg34vugt","TimeoutInMinutes":60,"Parameters":{"Description":"{{KMS key for my-app}}"}}' ``` *模板创建*: 1. 将此更改类型的执行参数 JSON 架构输出到文件;此示例将其命名为 CreateKmsKeyAutoParams .json。 ``` aws amscm get-change-type-version --change-type-id "ct-1d84keiri1jhg" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateKmsKeyAutoParams.json ``` 1. 修改并保存 CreateKmsKeyAutoParams 文件。以下是示例。 向@@ **用户或角色授予解密已创建的 CMK 的权限**。执行参数示例: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}”, "Name": "{{my-app-key-decrypt}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringDecryptPermissions": [ "{{ARN:role/roleA}}", "{{ARN:user/userB}}", "{{ARN:role/instanceProfileA}}" ], "Description": "{{KMS key for my-app}}" } } ``` 有关生成的策略,请参阅[向 IAM 用户或角色授予使用 CML 进行解密的权限](#kms-key-grant-cmk-decrypt-for-user-or-role)。 向@@ **用户或角色授予使用创建的 CMK 进行加密的权限**。执行参数示例: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-encrypt}}", "Tags": [ { "Key": "Name", "Value": "{{my-app-key}}" } ], "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringEncryptPermissions": [ "{{ARN:role/roleA}}", "{{ARN:user/userB}}", "{{ARN:role/instanceProfileA}}" ], "Description": "KMS key for my-app" } } ``` 有关生成的策略,请参阅[向 IAM 用户或角色授予使用 CML 进行加密的权限](#kms-key-grant-cmk-encrypt-for-user-or-role)。 **向用户、角色或账户授予使用创建的 CMK 创建授权的权限**。执行参数示例: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-create-grants}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringGrantsPermissions": [ "{{arn:aws:iam::999999999999:role/roleA}}", "{{888888888888}}" ], "Description": "{{KMS key for my-app}}" } } ``` 有关生成的策略,请参阅[授予使用 CMK 为 IAM 用户、角色或账户创建授权的权限](#kms-key-create-cmk-grants-for-user-role-or-account)。 **仅允许与 AWS KMS 集成的 AWS 服务执行授权操作**。执行参数示例: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-limit-to-services}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "IAMPrincipalsRequiringGrantsPermissions": [ "{{arn:aws:iam::999999999999:role/roleA}}" ], "LimitGrantsToAWSResources": "true", "Description": "{{KMS key for my-app}}" } } ``` 有关生成的策略,请参阅[仅允许与 AWS KMS 集成的 AWS 服务执行授权操作](#kms-key-limit-grants-to-aws-services)。 在加密@@ **操作中强制使用加密上下文密钥**。执行参数示例: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-encryption-keys}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "EnforceEncryptionContextKeys": "true", "Description": "{{KMS key for my-app}}" } } ``` 有关生成的策略,请参阅[在加密操作中强制使用加密上下文密钥](#kms-key-enforce-encryption-context-keys)。 **在加密操作中强制使用特定的加密上下文密钥列表**。执行参数示例: ``` { "Description": "{{KMS key for my-app}}", "VpcId": "{{VPC_ID}}", "Name": "{{my-app-key-encryption-list}}", "StackTemplateId": "stm-enf1j068fhg34vugt", "TimeoutInMinutes": 60, "Parameters": { "AllowedEncryptionContextKeys": [ "{{Name}}", "{{Application}}" ], "Description": "{{KMS key for my-app}}" } } ``` 有关生成的策略,请参阅[在加密操作中强制使用特定的加密上下文密钥列表](#kms-key-enforce-encryption-context-keys-list)。 **允许 AWS 服务访问创建的 CMK**。执行参数示例: ``` { "Description" : "KMS key for my-app", "VpcId" : "VPC_ID", "Name" : "my-app-key-allow-aws-service-access", "StackTemplateId" : "stm-enf1j068fhg34vugt", "TimeoutInMinutes" : 60, "Parameters" : { "AllowServiceRolesAccessKMSKeys": [ "ec2.us-east-1.amazonaws.com", "ecr.us-east-1.amazonaws.com" ], "Description": "KMS key for my-app" } } ``` 有关生成的策略,请参阅[允许 AWS 服务访问创建的 CMK](#kms-key-allow-services)。 1. 将 RFC 模板 JSON 文件输出到一个文件中;此示例将其命名为 CreateKmsKeyAutoRfc .json: ``` aws amscm create-rfc --generate-cli-skeleton > CreateKmsKeyAutoRfc.json ``` 1. 修改并保存 CreateKmsKeyAutoRfc .json 文件。例如,你可以用这样的东西替换内容: ``` { "ChangeTypeId": "ct-1d84keiri1jhg", "ChangeTypeVersion": "1.0", "Title": "{{Create KMS Key}}" } ``` 1. 创建 RFC,指定 CreateKmsKeyAuto Rfc 文件和文件: CreateKmsKeyAutoParams ``` aws amscm create-rfc --cli-input-json file://CreateKmsKeyAutoRfc.json --execution-parameters file://CreateKmsKeyAutoParams.json ``` 您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。 #### 提示 + 此 CT 会创建一个用于创建 KMS 密钥的 CloudFormation 堆栈`DeletionPolicy: Retain`。根据设计,即使您删除堆栈,创建的 KMS 密钥仍将保留。如果您确定要删除 KMS 密钥,请使用更改类型 [ct-2zxya20wmf5bf、管理 \| 高级堆栈组件 \| KM](schemas.md#ct-2zxya20wmf5bf-schema-section) S 密钥 \| 删除(托管自动化)创建 RFC。 + 此更改类型为 ExecutionMode =Automated,因此此更改类型不需要 AMS 操作人员进行手动审查,其执行速度应比 KMS Key: Create(托管自动化)更快;但是,如果您遇到异常情况,手动版本可能更适合您。请参阅 [KMS 密钥 \| 创建(托管自动化)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-kms-key-create-review-required.html)。 + 此 CT 有一个名为 AllowServiceRolesAccess kmsKeys 的新参数,它为指定的 AWS 服务提供对 KMS 密钥的访问权限。之所以进行更改,是因为由于缺少 KMS 密钥的权限,Autoscaling 组服务角色无法启动带有加密 EBS 卷的 EC2 实例。 + 要了解有关 AWS KMS 密钥的更多信息,请参阅 [AWS 密钥管理服务 (KMS)](https://aws.amazon.com/kms/) [、AWS 密钥管理 FAQs](https://aws.amazon.com/kms/faqs/)服务[和 AWS 密钥管理](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)服务概念。 #### KMS 密钥创建生成的策略 根据您创建 KMS 密钥的方式,您创建了策略。这些示例策略与中提供的各种 KMS 密钥创建方案相匹配[创建 KMS 密钥](#ex-kms-key-create-col)。 ##### 向 IAM 用户或角色授予使用 CML 进行解密的权限 生成的示例策略授予 IAM 用户、角色或实例配置文件使用 CMK 进行解密的权限: ``` { "Sid": "Allow decrypt using the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::999999999999:role/roleA", "arn:aws:iam::999999999999:user/userB", "arn:aws:iam::999999999999:role/instanceProfileA" ] }, "Action": [ "kms:DescribeKey", "kms:Decrypt" ], "Resource": "*" } ``` 有关使用 KMS 密钥创建此策略的执行参数 Create 更改类型,请参阅 [创建 KMS 密钥](#ex-kms-key-create-col) ##### 向 IAM 用户或角色授予使用 CML 进行加密的权限 生成的示例策略授予 IAM 用户、角色或实例配置文件使用 CMK 进行加密的权限: ``` { "Sid": "Allow encrypt using the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::999999999999:role/roleA", "arn:aws:iam::999999999999:user/userB", "arn:aws:iam::999999999999:role/instanceProfileA" ] }, "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:ReEncrypt*", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*" } ``` 有关使用 KMS 密钥创建此策略的执行参数 Create 更改类型,请参阅 [创建 KMS 密钥](#ex-kms-key-create-col) ##### 授予使用 CMK 为 IAM 用户、角色或账户创建授权的权限 由此产生的策略示例: ``` { "Sid": "Allow grants", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::999999999999:role/roleA", "arn:aws:iam::888888888888:root" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*" } ``` 有关使用 KMS 密钥创建此策略的执行参数 Create 更改类型,请参阅 [创建 KMS 密钥](#ex-kms-key-create-col) ##### 仅允许与 AWS KMS 集成的 AWS 服务执行授权操作 由此产生的策略示例: ``` { "Sid": "Allow grants", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::999999999999:role/roleA" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*" }, { "Sid": "Deny if grant is not for AWS resource", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "false" } } } } } ``` 有关使用 KMS 密钥创建此策略的执行参数 Create 更改类型,请参阅 [创建 KMS 密钥](#ex-kms-key-create-col) ##### 在加密操作中强制使用加密上下文密钥 由此产生的策略示例: ``` { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContextKeys": "true" } } } ``` 有关使用 KMS 密钥创建此策略的执行参数 Create 更改类型,请参阅 [创建 KMS 密钥](#ex-kms-key-create-col) ##### 在加密操作中强制使用特定的加密上下文密钥列表 由此产生的策略示例: ``` { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContextKeys": [ "Name", "Application" ] } } } ``` 有关使用 KMS 密钥创建此策略的执行参数 Create 更改类型,请参阅 [创建 KMS 密钥](#ex-kms-key-create-col) ##### 允许 AWS 服务访问创建的 CMK 由此产生的策略示例: ``` { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ec2.us-west-2.amazonaws.com", "ecr.us-east-1.amazonaws.com" ], "kms:CallerAccount": "111122223333" } } } ``` 有关使用 KMS 密钥创建此策略的执行参数 Create 更改类型,请参阅 [创建 KMS 密钥](#ex-kms-key-create-col) ## 执行输入参数 有关执行输入参数的详细信息,请参见[变更架构类型 ct-1d84keiri1jhg](schemas.md#ct-1d84keiri1jhg-schema-section)。 ## 示例:必填参数 ``` { "DocumentName": "AWSManagedServices-CreateKMSKey", "Region": "us-east-1", "Parameters": { "Description": "Test key" } } ``` ## 示例:所有参数 ``` { "DocumentName": "AWSManagedServices-CreateKMSKey", "Region": "us-west-2", "Parameters": { "Alias": "testkey", "EnableKeyRotation": true, "Description": "Test key for validation", "PendingWindow": 30, "IAMPrincipalsRequiringDecryptPermissions": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole" ], "IAMPrincipalsRequiringEncryptPermissions": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole" ], "IAMPrincipalsRequiringGrantsPermissions": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole", "987654321098" ], "LimitGrantsToAWSResources": true, "EnforceEncryptionContextKeys": true, "AllowedEncryptionContextKeys": [ "App", "Environment" ], "AllowServiceRolesAccessKMSKeys": [ "ec2.us-west-2.amazonaws.com", "s3.us-west-2.amazonaws.com" ], "Tags": [ { "Key": "foo", "Value": "bar" } ] } } ```