的身分識別與存取管理 AWS CloudHSM - AWS CloudHSM
使用 IAM 政策授予許可適用於的 API 動作 AWS CloudHSM條件鍵 AWS CloudHSM預先定義的 AWS 受管政策 AWS CloudHSM客戶管理的政策 AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的身分識別與存取管理 AWS CloudHSM

AWS 使用安全登入資料來識別您並授予您對 AWS 資源的存取權。您可以使用 AWS Identity and Access Management (IAM) 的功能,允許其他使用者、服務和應用程式完全或以有限的方式使用您的 AWS 資源。您可以在不共用您的安全登入資料的情況下執行這項操作。

預設情況下,IAM 使用者沒有可建立、檢視或修改 AWS 資源的許可。若要允許 IAM 使用者存取資源 (例如負載平衡器),並執行工作,您可以:

  1. 建立 IAM 政策以准許 IAM 使用者使用他們所需的特定資源和 API 動作。

  2. 將政策連接到 IAM 使用者所屬的 IAM 使用者或群組。

將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。

例如,您可以使用 IAM 在 AWS 帳戶下建立使用者與群組。IAM 使用者可以是個人、系統或應用程式。然後,您需要使用 IAM 政策,將許可授予使用者和群組在指定資源上執行特定動作。

使用 IAM 政策授予許可

將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。

IAM 政策為包含一或多個陳述式的 JSON 文件。每個陳述式的結構,如下列範例所示。

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • EffectEffect 可以是 AllowDeny。根據預設,IAM 使用者沒有使用資源和 API 動作的許可,因此所有請求均會遭到拒絕。明確允許覆寫預設值。明確拒絕覆寫任何允許。

  • ActionAction 是您授予或拒絕許可的特定 API 動作。如需有關指定動作的詳細資訊,請參閱 適用於的 API 動作 AWS CloudHSM

  • 資源 — 受動作影響的資源。 AWS CloudHSM 不支援資源層級權限。您必須使用 * 萬用字元來指定所有 AWS CloudHSM 資源。

  • Condition:您可以選擇性地使用條件來控制政策何時生效。如需詳細資訊,請參閱 條件鍵 AWS CloudHSM

如需詳細資訊,請參閱《IAM 使用者指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/

適用於的 API 動作 AWS CloudHSM

在 IAM 政策聲明的「動作」元素中,您可以指定 AWS CloudHSM 提供的任何 API 動作。您必須以小寫字串 cloudhsm: 做為動作名稱的字首,如下列範例所示。

"Action": "cloudhsm:DescribeClusters"

若要在單一陳述式中指定多個動作,請將它們括在方括號中,並以逗號分隔,如下列範例所示。

"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

您也可以使用 * 萬用字元指定多個動作。下列範例會指定開頭為 AWS CloudHSM 的所有 API 動作名稱List

"Action": "cloudhsm:List*"

若要指定的所有 API 動作 AWS CloudHSM,請使用 * 萬用字元,如下列範例所示。

"Action": "cloudhsm:*"

如需的 API 動作清單 AWS CloudHSM,請參閱AWS CloudHSM 動作

條件鍵 AWS CloudHSM

在建立政策時,您可以指定控制政策生效時機的條件。每個條件都包含一或多個索引鍵/值對。有全球條件金鑰和服務特定的條件金鑰。

AWS CloudHSM 沒有服務特定的內容金鑰。

如需有關全域條件金鑰的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 全域條件上下文金鑰

預先定義的 AWS 受管政策 AWS CloudHSM

AWS 建立的受管政策會針對常用案例授予必要的許可。您可以根據 IAM 使用者對於 AWS CloudHSM 需要的存取權,將這些政策連接到 IAM 使用者:

  • AWSCloudHSMFullAccess— 授予使用 AWS CloudHSM 功能所需的完整訪問權限。

  • AWSCloudHSMReadOnlyAccess— 授予 AWS CloudHSM 功能的唯讀存取權限。

客戶管理的政策 AWS CloudHSM

我們建議您為 AWS CloudHSM 其建立僅包含執行所需權限的 IAM 管理員群組 AWS CloudHSM。將具有適當許可的政策連接至此群組。視需要將 IAM 使用者新增至群組。您新增的每個使用者都會繼承系統管理員群組的政策。

此外,我們建議您根據使用者需要的許可來建立其他使用者群組。這可確保只有受信任的使用者才能存取重要的 API 動作。例如,您可以建立一個使用者群組,用來授予叢集和 HSM 的唯讀存取權。由於此群組不允許使用者刪除叢集或 HSM,因此不受信任的使用者無法影響生產工作負載的可用性。

隨著新的 AWS CloudHSM 管理功能隨著時間的推移而增加,您可以確保只有受信任的使用者能夠立即獲得存取權。透過在建立時指派有限的許可給政策,您可以稍後手動為其指派新的功能許可。

以下是的範例政策 AWS CloudHSM。如需有關如何建立政策並將其附于 IAM 使用者群組的資訊,請參閱《IAM 使用者指南》中在 JSON 標籤上建立政策

範例
範例
範例:唯讀許可

此政策允許存取 DescribeClustersDescribeBackups API 動作。它也包含特定 Amazon EC2 API 動作的其他許可。不過,此政策不允許使用者刪除叢集或 HSM。

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}
範例
範例:進階使用者許可

此原則允許存取 AWS CloudHSM API 動作的子集。其中也包含特定 Amazon EC2 動作的其他許可。不過,此政策不允許使用者刪除叢集或 HSM。您必須包含iam:CreateServiceLinkedRole動作,才能 AWS CloudHSM 在您的帳戶中自動建立AWSServiceRoleForCloudHSM服務連結角色。此角色可 AWS CloudHSM 記錄事件。如需詳細資訊,請參閱 服務連結角色 AWS CloudHSM

注意

如需查看每個 API 的特定許可,請參閱《服務授權參考》中的適用於 AWS CloudHSM的操作、資源和條件金鑰

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}
範例
範例:管理許可

此原則允許存取所有 AWS CloudHSM API 動作,包括刪除 HSM 和叢集的動作。其中也包含特定 Amazon EC2 動作的其他許可。您必須包含iam:CreateServiceLinkedRole動作,才能 AWS CloudHSM 在您的帳戶中自動建立AWSServiceRoleForCloudHSM服務連結角色。此角色可 AWS CloudHSM 記錄事件。如需詳細資訊,請參閱 服務連結角色 AWS CloudHSM

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}