控制對 AWS CloudHSM 金鑰存放區的存取 - AWS Key Management Service
授權 AWS CloudHSM 金鑰存放區管理員和使用者授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制對 AWS CloudHSM 金鑰存放區的存取

您可以使用IAM政策來控制對 AWS CloudHSM 金鑰存放區和 AWS CloudHSM 叢集的存取。您可以使用金鑰政策、IAM政策和授予來控制對 AWS CloudHSM 金鑰存放區 AWS KMS keys 中 的存取。建議您只提供使用者、群組和角色可能執行的任務所需的許可給他們。

授權 AWS CloudHSM 金鑰存放區管理員和使用者

設計 AWS CloudHSM 金鑰存放區時,請確定使用和管理金鑰存放區的主體只有他們所需的許可。下列清單說明 AWS CloudHSM 金鑰存放區管理員和使用者所需的最低許可。

  • 建立和管理 AWS CloudHSM 金鑰存放區的主體需要下列許可才能使用 AWS CloudHSM 金鑰存放區API操作。

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • 建立和管理與您 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集的主體需要建立和初始化 AWS CloudHSM 叢集的許可。這包括建立或使用 Amazon Virtual Private Cloud (VPC)、建立子網路和建立 Amazon EC2執行個體的許可。他們也可能需要建立和刪除 HSMs,以及管理備份。如需必要許可的清單,請參閱《AWS CloudHSM 使用指南》中 AWS CloudHSM的身分與存取管理

  • 在 AWS CloudHSM 金鑰存放 AWS KMS keys 區中建立和管理的主體,需要與在 中建立和管理任何KMS金鑰的主體相同的許可 AWS KMS。金鑰存放區中KMS金鑰的預設金鑰政策與 中金鑰的預設KMS金鑰政策相同 AWS KMS。 AWS CloudHSM 屬性型存取控制 (ABAC) 使用標籤和別名來控制對KMS金鑰的存取,也對 AWS CloudHSM 金鑰存放區中的KMS金鑰有效。

  • 使用 AWS CloudHSM 金鑰存放區中KMS金鑰進行密碼編譯操作的主體需要許可,才能使用KMS金鑰執行密碼編譯操作,例如 kms:Decrypt 。您可以在金鑰政策中提供這些許可IAM。但是,它們不需要任何額外的許可,即可在KMS金鑰存放區中使用 AWS CloudHSM 金鑰。

授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源

若要支援您的 AWS CloudHSM 金鑰存放區, AWS KMS 需要取得 AWS CloudHSM 叢集相關資訊的許可。它還需要許可才能建立將 AWS CloudHSM 金鑰存放區連接到其 AWS CloudHSM 叢集的網路基礎設施。若要取得這些許可,請在 中 AWS KMS 建立AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色 AWS 帳戶。建立 AWS CloudHSM 金鑰存放區的使用者必須具有iam:CreateServiceLinkedRole許可,允許他們建立服務連結角色。

關於 AWS KMS 服務連結角色

服務連結角色是授予一個 AWS 服務許可,以 AWS 代表您呼叫其他服務IAM的角色。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能,而不必建立和維護複雜的IAM政策。如需詳細資訊,請參閱使用 AWS KMS 的服務連結角色

對於 AWS CloudHSM 金鑰存放區, 會使用 AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy政策 AWS KMS 建立AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色。此政策將下列許可授予此角色:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

由於AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色僅信任 cks.kms.amazonaws.com, AWS KMS 因此只能擔任此服務連結角色。此角色僅限於 AWS KMS 需要檢視 AWS CloudHSM 叢集以及將 AWS CloudHSM 金鑰存放區連接至其相關聯 AWS CloudHSM 叢集的操作。它不會給予 AWS KMS 任何其他許可。例如, AWS KMS 沒有建立、管理或刪除 AWS CloudHSM 叢集、 HSMs或 備份的許可。

區域

與 AWS CloudHSM 金鑰存放區功能一樣, AWS KMS 和 AWS CloudHSM 提供的所有 AWS 區域 都支援該AWSServiceRoleForKeyManagementServiceCustomKeyStores角色。如需 AWS 區域 每個服務支援的清單,請參閱中的AWS Key Management Service 端點和配額,以及AWS CloudHSM 端點和配額Amazon Web Services 一般參考

如需 AWS 服務如何使用服務連結角色的詳細資訊,請參閱 IAM 使用者指南中的使用服務連結角色

建立服務連結角色

AWS KMS 如果角色不存在,當您建立 AWS CloudHSM 金鑰存放區時, 會自動在 AWS 帳戶 中建立AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色。您無法直接建立或重新建立此服務連結角色。

編輯服務連結角色描述

您無法在AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色中編輯角色名稱或政策陳述式,但可以編輯角色描述。如需指示,請參閱 IAM 使用者指南 中的編輯服務連結角色

刪除服務連結角色

AWS KMS 不會從 AWS 帳戶 中刪除AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色,即使您已刪除所有 AWS CloudHSM 金鑰存放區 。雖然目前沒有刪除AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色的程序,但除非您有作用中的 AWS CloudHSM 金鑰存放區,否則 AWS KMS 不會擔任此角色或使用其許可。