本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源
為了支援您的 AWS CloudHSM 金鑰存放區, AWS KMS 需要取得 AWS CloudHSM 叢集相關資訊的許可。它還需要許可,才能建立將 AWS CloudHSM 金鑰存放區連接到其 AWS CloudHSM 叢集的網路基礎設施。若要取得這些許可, 會在您的 中 AWS KMS 建立AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色 AWS 帳戶。建立 AWS CloudHSM 金鑰存放區的使用者必須具有iam:CreateServiceLinkedRole許可,允許他們建立服務連結角色。
若要檢視 AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy受管政策更新的詳細資訊,請參閱 AWS KMS 受 AWS 管政策的更新。
關於 AWS KMS 服務連結角色
服務連結角色是一種IAM角色,提供一個 AWS 服務代表您呼叫其他服務的許可 AWS 。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能,而無需建立和維護複雜的IAM政策。如需詳細資訊,請參閱使用 AWS KMS的服務連結角色。
對於 AWS CloudHSM 金鑰存放區, 會使用 AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy受管政策 AWS KMS 建立AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色。此政策將下列許可授予此角色:
-
cloudhsm:Describe* – 偵測連接到自訂金鑰存放區的 AWS CloudHSM 叢集變更。
-
ec2:CreateSecurityGroup – 當您連接 AWS CloudHSM 金鑰存放區以建立安全群組,以啟用 AWS KMS 與 AWS CloudHSM 叢集之間的網路流量流程時,會使用 。
-
ec2:AuthorizeSecurityGroupIngress – 當您連接 AWS CloudHSM 金鑰存放區,以允許網路從 存取包含 AWS CloudHSM 叢集VPC的 AWS KMS 時使用。
-
ec2:CreateNetworkInterface – 當您連接 AWS CloudHSM 金鑰存放區以建立用於 AWS KMS 與 AWS CloudHSM 叢集之間通訊的網路介面時使用。
-
ec2:RevokeSecurityGroupEgress – 當您連接 AWS CloudHSM 金鑰存放區,從 AWS KMS 建立的安全群組中移除所有傳出規則時使用。
-
ec2:DeleteSecurityGroup – 用於中斷連接 AWS CloudHSM 金鑰存放區,以刪除連線 AWS CloudHSM 金鑰存放區時建立的安全群組。
-
ec2:DescribeSecurityGroups – 用於監控在 中 AWS KMS 建立VPC且包含 AWS CloudHSM 叢集之安全群組的變更,以便在發生故障時 AWS KMS 提供明確的錯誤訊息。
-
ec2:DescribeVpcs – 用於監控包含 AWS CloudHSM 叢集VPC的 中的變更,以便在發生故障時 AWS KMS 提供明確的錯誤訊息。
-
ec2:DescribeNetworkAcls – 用於監控VPC包含 AWS CloudHSM 叢集ACLs之 的網路中的變更,以便 AWS KMS 可以在失敗時提供明確的錯誤訊息。
-
ec2:DescribeNetworkInterfaces – 用於監控在 中 AWS KMS 建立的網路介面變更VPC,其中包含您的 AWS CloudHSM 叢集,以便 AWS KMS 可以在發生故障時提供明確的錯誤訊息。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }
由於AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色僅信任 cks.kms.amazonaws.com,因此只能 AWS KMS 擔任此服務連結角色。此角色僅限於 AWS KMS 需要檢視 AWS CloudHSM 叢集和將 AWS CloudHSM 金鑰存放區連接到其相關聯 AWS CloudHSM 叢集的操作。它不會給予 AWS KMS 任何其他許可。例如, AWS KMS 沒有建立、管理或刪除 AWS CloudHSM 叢集HSMs、 或 備份的許可。
區域
與 AWS CloudHSM 金鑰存放區功能一樣, AWSServiceRoleForKeyManagementServiceCustomKeyStores角色支援在 AWS KMS 和 AWS CloudHSM 提供的所有 AWS 區域 位置。如需 AWS 區域 每個服務支援的清單,請參閱 中的AWS Key Management Service 端點和配額,以及AWS CloudHSM 端點和配額Amazon Web Services 一般參考。
如需 AWS 服務如何使用服務連結角色的詳細資訊,請參閱IAM《 使用者指南》中的使用服務連結角色。
建立服務連結角色
AWS KMS 會在您建立 AWS CloudHSM 金鑰存放區時,自動在 AWS 帳戶 中建立AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色,如果角色尚未存在。您無法直接建立或重新建立此服務連結角色。
編輯服務連結角色描述
您無法編輯 AWSServiceRoleForKeyManagementServiceCustomKeyStores 服務連結角色中的角色名稱或政策陳述式,但可以編輯角色描述。如需說明,請參閱IAM《 使用者指南》中的編輯服務連結角色。
刪除服務連結角色
AWS KMS 不會從 AWS 帳戶 刪除AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色,即使您已刪除所有 AWS CloudHSM 金鑰存放區。雖然目前沒有刪除AWSServiceRoleForKeyManagementServiceCustomKeyStores服務連結角色的程序,但除非您有作用中的 AWS CloudHSM 金鑰存放區,否則 AWS KMS 不會擔任此角色或使用其許可。
