本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用標籤控制對金鑰的存取 您可以根據金鑰上的標籤來控制對 AWS 付款密碼編譯的存取。例如,您可以撰寫 IAM 政策,允許主體僅啟用和停用具有特定標籤的金鑰。或者,您可以使用 IAM 政策來防止主體在密碼編譯操作中使用金鑰,除非金鑰具有特定標籤。 此功能是屬性型存取控制 (ABAC) AWS 付款密碼編譯支援的一部分。如需有關使用標籤控制資源 AWS 存取的資訊,請參閱 [ABAC 的用途是什麼 AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 和 *IAM 使用者指南*中的[使用資源標籤控制 AWS 對 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。 AWS Payment Cryptography 支援 [aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) 全域條件內容金鑰,可讓您根據金鑰上的標籤來控制對金鑰的存取。由於多個金鑰可以有相同的標籤,此功能可讓您將許可套用至一組選取的金鑰。您也可以透過變更金鑰的標籤,輕鬆變更集合中的金鑰。 在 AWS 付款密碼編譯中,僅在 IAM 政策中支援 `aws:ResourceTag/tag-key`條件金鑰。金鑰政策不支援此功能,僅適用於一個金鑰,或是不使用特定金鑰的操作,例如 [ListKeys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListKeys.html) 或 [ListAliases](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListAliases.html) 操作。 使用標籤控制存取可提供一種簡單、可擴展且靈活的方式來管理許可。不過,如果未正確設計和管理,可能會不小心允許或拒絕存取您的金鑰。如果您使用標籤來控制存取,請考慮下列實務。 + 使用標籤來強化[最低權限存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)的最佳實務。只為 IAM 主體提供他們必須使用或管理的金鑰所需的許可。例如,使用標籤來標記用於專案的金鑰。然後,授予專案團隊僅搭配專案標籤使用金鑰的許可。 + 要謹慎地授予主體 `payment-cryptography:TagResource` 和 `payment-cryptography:UntagResource` 許可,讓其新增、編輯和刪除別名。當您使用標籤來控制對金鑰的存取時,變更標籤可以授予主體許可,以使用他們原本沒有使用許可的金鑰。它也可以拒絕存取其他委託人執行其任務所需的金鑰。如果金鑰管理員沒有變更金鑰政策或建立授予的許可,則可以控制對金鑰的存取,如果他們具有管理標籤的許可。 盡可能使用政策條件,例如 `aws:RequestTag/tag-key`或 `aws:TagKeys`,將[委託人的標記許可限制](tag-permissions.md#tag-permissions-conditions)在特定索引鍵上的特定標籤或標籤模式。 + 檢閱 中目前具有標記和取消標記許可 AWS 帳戶 的主體,並視需要進行調整。IAM 政策可能允許在所有金鑰上標記和取消標記許可。例如,*管理員*受管政策允許主體在所有金鑰上標記、取消標記和列出標籤。 + 在設定取決於標籤的政策之前,請檢閱 中金鑰上的標籤 AWS 帳戶。請確定您的政策僅適用於您想要包含的標籤。使用 [CloudTrail 日誌](monitoring-cloudtrail.md)和 CloudWatch 警示來提醒您標記可能影響金鑰存取的變更。 + 標籤型政策條件使用模式比對;其不會繫結至標籤的特定執行個體。使用標籤型條件索引鍵的政策會影響所有符合模式的新標籤和現有標籤。如果您刪除並重新建立符合政策條件的標籤,則條件會套用至新標籤,就像舊標籤一樣。 例如,請考慮以下 IAM 政策。它允許委託人僅在您帳戶中屬於美國東部 (維吉尼亞北部) 區域的金鑰上呼叫[解密](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Decrypt.html)操作,並具有`"Project"="Alpha"`標籤。您可以將此政策連接至 Alpha 專案範例中的角色。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IAMPolicyWithResourceTag", "Effect": "Allow", "Action": [ "payment-cryptography:DecryptData" ], "Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/Project": "Alpha" } } } ] } ``` ------ 下列範例 IAM 政策允許主體使用帳戶中的任何金鑰進行特定密碼編譯操作。但是,它禁止主體在具有`"Type"="Reserved"`標籤或沒有`"Type"`標籤的金鑰上使用這些密碼編譯操作。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IAMAllowCryptographicOperations", "Effect": "Allow", "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData", "payment-cryptography:ReEncrypt*" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" }, { "Sid": "IAMDenyOnTag", "Effect": "Deny", "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData", "payment-cryptography:ReEncrypt*" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/Type": "Reserved" } } }, { "Sid": "IAMDenyNoTag", "Effect": "Deny", "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData", "payment-cryptography:ReEncrypt*" ], "Resource": "arn:aws:kms:*:111122223333:key/*", "Condition": { "Null": { "aws:ResourceTag/Type": "true" } } } ] } ``` ------