View a markdown version of this page

Konfigurieren AWS KMS Schlüssel für AWS Support Autorisierung - AWS Support

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren AWS KMS Schlüssel für AWS Support Autorisierung

Schlüsselanforderungen

Für die kryptografische Unterzeichnung von Support-Genehmigungen ist ein vom Kunden verwalteter AWS KMS Schlüssel erforderlich. Ihr Schlüssel muss die folgenden Anforderungen erfüllen:

  • Schlüsselspezifikation: ECC_NIST_P384

  • Verwendung der Schlüssel: SIGN_VERIFY

  • Der Schlüssel muss sich in derselben AWS Region befinden wie die Unterstützungserlaubnis.

Das Material Ihres privaten Schlüssels wird Sie nie verlassen AWS KMS. Sie erstellen einen Grant für Ihren Schlüssel, der es ihm ermöglichtDescribeKey,GetPublicKey, und aufzurufenSign. Der Zuschuss ist auf die Unterstützungserlaubnis beschränkt und verfällt, wenn die Unterstützungserlaubnis gelöscht oder deaktiviert wird.

Wie AWS Support Die Autorisierung verwendet Ihre AWS KMS Schlüssel

Wenn Sie eine Support-Genehmigung erstellen, wird Ihr AWS KMS Schlüssel auf folgende Weise verwendet:

  1. Verwendet Forward-Access-Sitzungen, um in DescribeKey Ihrem Namen anzurufen und zu überprüfen, ob der Schlüssel die erforderlichen Spezifikationen (ECC_NIST_P384) und Verwendungszwecke () erfüllt. SIGN_VERIFY

  2. Erzeugt einen Zuschuss für den Schlüssel, indem es in CreateGrant Ihrem Namen anruft. Der Zuschuss ermöglicht DescribeKeyGetPublicKey, und Sign Operationen.

  3. Überprüft die Autorisierung, wenn eine AWS Support Anfrage mit einer bestehenden Support-Genehmigung übereinstimmt, indem der Grant verwendet wird, um Sign den Schlüssel abzurufen. Die resultierende Signatur bestätigt, ob zur Ausführung der Aktion berechtigt AWS Support ist.

Erforderliche wichtige Grundsatzerklärungen

Fügen Sie Ihrer AWS KMS wichtigsten Richtlinie die folgenden Grundsatzerklärungen hinzu. Dies sind die Mindestberechtigungen, die für die AWS Support Autorisierung zur Verwendung Ihres Schlüssels erforderlich sind.

{ "Sid": "Allows access to CreateGrant through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:CreateGrant"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"] }, "ArnLike": { "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*" } } }, { "Sid": "Allows access to DescribeKey through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:DescribeKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }

Diese Anweisungen gewähren die folgenden Berechtigungen:

CreateGrant

Ermöglicht die Erstellung von Zuschüssen für DescribeKeyGetPublicKey, und Sign Operationen. Die Bedingungen beschränken die Erstellung von Zuschüssen auf Anfragen, die über den AWS Support Autorisierungsservice gestellt werden und für die Unterstützung von Genehmigungsressourcen in Ihrem Konto gelten. AWS Support Bei der Autorisierung werden im CreateGrant Rahmen der Erstellung einer Support-Genehmigung Telefonanrufe über Forward-Access-Sitzungen abgewickelt.

DescribeKey

Ermöglicht die Überprüfung, ob der Schlüssel die erforderlichen Spezifikationen und Verwendungsarten erfüllt, wenn Sie eine Support-Genehmigung mithilfe von Forward-Access-Sitzungen erstellen.

Anmerkung

111122223333Ersetzen Sie es durch Ihre AWS Konto-ID und us-east-1 durch die AWS Region, in der Sie Ihre Support-Genehmigungen erstellen.

Widerrufen AWS Support Autorisierungszugriff

Die empfohlene Methode, um die Signaturberechtigungen für Ihren Schlüssel zu widerrufen, besteht darin, die Gewährung zu widerrufen. Dadurch werden weitere Signaturvorgänge verhindert, ohne dass sich dies auf andere Verwendungszwecke des Schlüssels auswirkt.

Gehen Sie wie folgt vor, um AWS Support Genehmigungen aufzulisten und zu widerrufen:

  1. Führt Zuschüsse anhand des Schlüssels auf, um die Grant-ID zu finden:

    aws kms list-grants \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

    Identifizieren Sie den Zuschuss anhand seines Namens oder der GrantConstraints Quell-ARN, die auf Ihre Unterstützungserlaubnis verweist.

  2. Widerrufen Sie den Zuschuss:

    aws kms revoke-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grant-id grant-id-from-list-grants

Nachdem Sie den Zuschuss widerrufen haben, können keine neuen unterschriebenen Autorisierungen mehr für Unterstützungserlaubnisse ausgestellt werden, die diesen Schlüssel verwenden. Da die AWS KMS API einem Konsistenzmodell folgt, kann es zu einer kurzen Verzögerung kommen, bis die Änderung vollständig verfügbar ist. AWS KMS

Anmerkung

Durch den Widerruf eines Zuschusses wird die zugehörige Unterstützungserlaubnis nicht gelöscht. Die Unterstützungserlaubnis verbleibt im Status AKTIV, es können jedoch keine Genehmigungen dafür unterzeichnet werden. Zuschüsse sind für jede Unterstützungserlaubnis spezifisch. Durch das Erstellen einer neuen Unterstützungserlaubnis mit demselben AWS KMS Schlüssel wird die Fähigkeit der AWS Support Autorisierung, den Schlüssel für die ursprüngliche Unterstützungserlaubnis zu verwenden, nicht wiederhergestellt.

Deaktivierung oder Löschung des Schlüssels

Sie können das Löschen des AWS KMS Schlüssels auch deaktivieren oder planen, um zu verhindern, dass die Autorisierung signierte AWS Support Autorisierungen ausstellt. Dies wirkt sich jedoch auf alle Verwendungen des Schlüssels aus, nicht nur auf die AWS Support Autorisierung.

Wichtig

Beides AWS KMS und die AWS Support Autorisierung sind letztlich konsistent. Nachdem Sie einen Schlüssel deaktiviert oder das Löschen eines Schlüssels geplant haben, kann es mehrere Minuten dauern, bis die Änderung vollständig wirksam wird. Während dieses Zeitraums können signierte Autorisierungen weiterhin mithilfe des Schlüssels ausgestellt werden. Auch der Widerruf von Zuschüssen ist irgendwann einheitlich.

Wenn Sie einen Schlüssel deaktivieren, können Sie ihn in der AWS KMS Konsole oder per Anruf EnableKey wieder aktivieren. Wenn Sie einen Schlüssel löschen, kann er nicht wiederhergestellt werden.

Überwachung der Schlüsselnutzung

Wenn Ihr AWS KMS Schlüssel zum Signieren einer Autorisierung verwendet wird, wird der Signaturvorgang im Ereignisverlauf des Schlüssels AWS CloudTrail protokolliert. Anhand dieser Ereignisse können Sie überprüfen, wann und wie oft Autorisierungen in Ihrem Namen signiert werden.