Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren AWS KMS Schlüssel für AWS Support Autorisierung
Schlüsselanforderungen
Für die kryptografische Unterzeichnung von Support-Genehmigungen ist ein vom Kunden verwalteter AWS KMS Schlüssel erforderlich. Ihr Schlüssel muss die folgenden Anforderungen erfüllen:
-
Schlüsselspezifikation:
ECC_NIST_P384 -
Verwendung der Schlüssel:
SIGN_VERIFY -
Der Schlüssel muss sich in derselben AWS Region befinden wie die Unterstützungserlaubnis.
Das Material Ihres privaten Schlüssels wird Sie nie verlassen AWS KMS. Sie erstellen einen Grant für Ihren Schlüssel, der es ihm ermöglichtDescribeKey,GetPublicKey, und aufzurufenSign. Der Zuschuss ist auf die Unterstützungserlaubnis beschränkt und verfällt, wenn die Unterstützungserlaubnis gelöscht oder deaktiviert wird.
Wie AWS Support Die Autorisierung verwendet Ihre AWS KMS Schlüssel
Wenn Sie eine Support-Genehmigung erstellen, wird Ihr AWS KMS Schlüssel auf folgende Weise verwendet:
Verwendet Forward-Access-Sitzungen, um in
DescribeKeyIhrem Namen anzurufen und zu überprüfen, ob der Schlüssel die erforderlichen Spezifikationen (ECC_NIST_P384) und Verwendungszwecke () erfüllt.SIGN_VERIFYErzeugt einen Zuschuss für den Schlüssel, indem es in
CreateGrantIhrem Namen anruft. Der Zuschuss ermöglichtDescribeKeyGetPublicKey, undSignOperationen.Überprüft die Autorisierung, wenn eine AWS Support Anfrage mit einer bestehenden Support-Genehmigung übereinstimmt, indem der Grant verwendet wird, um
Signden Schlüssel abzurufen. Die resultierende Signatur bestätigt, ob zur Ausführung der Aktion berechtigt AWS Support ist.
Erforderliche wichtige Grundsatzerklärungen
Fügen Sie Ihrer AWS KMS wichtigsten Richtlinie die folgenden Grundsatzerklärungen hinzu. Dies sind die Mindestberechtigungen, die für die AWS Support Autorisierung zur Verwendung Ihres Schlüssels erforderlich sind.
{ "Sid": "Allows access to CreateGrant through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:CreateGrant"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"] }, "ArnLike": { "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*" } } }, { "Sid": "Allows access to DescribeKey through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:DescribeKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }
Diese Anweisungen gewähren die folgenden Berechtigungen:
- CreateGrant
-
Ermöglicht die Erstellung von Zuschüssen für
DescribeKeyGetPublicKey, undSignOperationen. Die Bedingungen beschränken die Erstellung von Zuschüssen auf Anfragen, die über den AWS Support Autorisierungsservice gestellt werden und für die Unterstützung von Genehmigungsressourcen in Ihrem Konto gelten. AWS Support Bei der Autorisierung werden imCreateGrantRahmen der Erstellung einer Support-Genehmigung Telefonanrufe über Forward-Access-Sitzungen abgewickelt. - DescribeKey
-
Ermöglicht die Überprüfung, ob der Schlüssel die erforderlichen Spezifikationen und Verwendungsarten erfüllt, wenn Sie eine Support-Genehmigung mithilfe von Forward-Access-Sitzungen erstellen.
Anmerkung
111122223333Ersetzen Sie es durch Ihre AWS Konto-ID und us-east-1 durch die AWS Region, in der Sie Ihre Support-Genehmigungen erstellen.
Widerrufen AWS Support Autorisierungszugriff
Die empfohlene Methode, um die Signaturberechtigungen für Ihren Schlüssel zu widerrufen, besteht darin, die Gewährung zu widerrufen. Dadurch werden weitere Signaturvorgänge verhindert, ohne dass sich dies auf andere Verwendungszwecke des Schlüssels auswirkt.
Gehen Sie wie folgt vor, um AWS Support Genehmigungen aufzulisten und zu widerrufen:
-
Führt Zuschüsse anhand des Schlüssels auf, um die Grant-ID zu finden:
aws kms list-grants \ --key-id 1234abcd-12ab-34cd-56ef-1234567890abIdentifizieren Sie den Zuschuss anhand seines Namens oder der
GrantConstraintsQuell-ARN, die auf Ihre Unterstützungserlaubnis verweist. -
Widerrufen Sie den Zuschuss:
aws kms revoke-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grant-id grant-id-from-list-grants
Nachdem Sie den Zuschuss widerrufen haben, können keine neuen unterschriebenen Autorisierungen mehr für Unterstützungserlaubnisse ausgestellt werden, die diesen Schlüssel verwenden. Da die AWS KMS API einem Konsistenzmodell folgt, kann es zu einer kurzen Verzögerung kommen, bis die Änderung vollständig verfügbar ist. AWS KMS
Anmerkung
Durch den Widerruf eines Zuschusses wird die zugehörige Unterstützungserlaubnis nicht gelöscht. Die Unterstützungserlaubnis verbleibt im Status AKTIV, es können jedoch keine Genehmigungen dafür unterzeichnet werden. Zuschüsse sind für jede Unterstützungserlaubnis spezifisch. Durch das Erstellen einer neuen Unterstützungserlaubnis mit demselben AWS KMS Schlüssel wird die Fähigkeit der AWS Support Autorisierung, den Schlüssel für die ursprüngliche Unterstützungserlaubnis zu verwenden, nicht wiederhergestellt.
Deaktivierung oder Löschung des Schlüssels
Sie können das Löschen des AWS KMS Schlüssels auch deaktivieren oder planen, um zu verhindern, dass die Autorisierung signierte AWS Support Autorisierungen ausstellt. Dies wirkt sich jedoch auf alle Verwendungen des Schlüssels aus, nicht nur auf die AWS Support Autorisierung.
Wichtig
Beides AWS KMS und die AWS Support Autorisierung sind letztlich konsistent. Nachdem Sie einen Schlüssel deaktiviert oder das Löschen eines Schlüssels geplant haben, kann es mehrere Minuten dauern, bis die Änderung vollständig wirksam wird. Während dieses Zeitraums können signierte Autorisierungen weiterhin mithilfe des Schlüssels ausgestellt werden. Auch der Widerruf von Zuschüssen ist irgendwann einheitlich.
Wenn Sie einen Schlüssel deaktivieren, können Sie ihn in der AWS KMS Konsole oder per Anruf EnableKey wieder aktivieren. Wenn Sie einen Schlüssel löschen, kann er nicht wiederhergestellt werden.
Überwachung der Schlüsselnutzung
Wenn Ihr AWS KMS Schlüssel zum Signieren einer Autorisierung verwendet wird, wird der Signaturvorgang im Ereignisverlauf des Schlüssels AWS CloudTrail protokolliert. Anhand dieser Ereignisse können Sie überprüfen, wann und wie oft Autorisierungen in Ihrem Namen signiert werden.