本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
控制對 AWS CloudHSM 金鑰存放區的存取
您可以使用 IAM 政策來控制對 AWS CloudHSM 金鑰存放區和 AWS CloudHSM 叢集的存取。您可以使用金鑰政策、IAM政策和授予來控制對 AWS CloudHSM 金鑰存放區 AWS KMS keys 中 的存取。建議您只提供使用者、群組和角色可能執行的任務所需的許可給他們。
為了支援您的 AWS CloudHSM 金鑰存放區, AWS KMS 需要取得叢集 AWS CloudHSM 相關資訊的許可。它還需要許可,才能建立將金鑰存放區連接到 AWS CloudHSM 其 AWS CloudHSM 叢集的網路基礎設施。若要取得這些許可, 會在您的 中 AWS KMS 建立AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色 AWS 帳戶。如需詳細資訊,請參閱授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源。
設計 AWS CloudHSM 金鑰存放區時,請確定使用和管理金鑰存放區的主體只有他們所需的許可。下列清單說明 AWS CloudHSM 金鑰存放區管理員和使用者所需的最低許可。
-
建立和管理 AWS CloudHSM 金鑰存放區的主體需要下列許可才能使用 AWS CloudHSM 金鑰存放區API操作。
-
cloudhsm:DescribeClusters -
kms:CreateCustomKeyStore -
kms:ConnectCustomKeyStore -
kms:DeleteCustomKeyStore -
kms:DescribeCustomKeyStores -
kms:DisconnectCustomKeyStore -
kms:UpdateCustomKeyStore -
iam:CreateServiceLinkedRole
-
-
建立和管理與您 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集的主體需要建立和初始化 AWS CloudHSM 叢集的許可。這包括建立或使用 Amazon Virtual Private Cloud (VPC)、建立子網路和建立 Amazon EC2執行個體的許可。他們也可能需要建立和刪除 HSMs,以及管理備份。如需必要許可的清單,請參閱《AWS CloudHSM 使用指南》中 AWS CloudHSM的身分與存取管理。
-
在您的 AWS CloudHSM 金鑰存放區 AWS KMS keys 中建立和管理的主體,需要與建立和管理任何KMS金鑰的主體相同的許可 AWS KMS。金鑰 AWS CloudHSM 存放區中KMS金鑰的預設金鑰政策與金鑰的預設KMS金鑰政策相同 AWS KMS。屬性型存取控制 (ABAC) 使用標籤和別名來控制對KMS金鑰的存取,也對 AWS CloudHSM 金鑰存放區中的KMS金鑰有效。
-
使用 AWS CloudHSM 金鑰存放區中KMS金鑰進行密碼編譯操作的主體需要許可,才能使用KMS金鑰執行密碼編譯操作,例如 kms:Decrypt。您可以在金鑰政策、IAM政策中提供這些許可。但是,它們不需要任何額外的許可,即可在KMS金鑰存放區中使用 AWS CloudHSM 金鑰。
