Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración AWS KMS claves para AWS Support autorización
Requisitos de la clave
Se requiere una AWS KMS clave gestionada por el cliente para la firma criptográfica de los permisos de soporte. La clave debe cumplir los siguientes requisitos:
-
Especificaciones clave:
ECC_NIST_P384 -
Uso clave:
SIGN_VERIFY -
La clave debe estar en la misma AWS región que el permiso de soporte.
El material de su clave privada nunca sale AWS KMS. Usted crea una subvención en su clave que le permite solicitarDescribeKey,GetPublicKey, ySign. La subvención se limita al permiso de manutención y se retira cuando el permiso de manutención se elimina o desactiva.
Cómo AWS Support la autorización utiliza su AWS KMS clave
Al crear un permiso de soporte, la AWS KMS clave se utiliza de la siguiente manera:
Utiliza sesiones de acceso directo para llamar
DescribeKeyen tu nombre y verifica que la clave cumpla con las especificaciones (ECC_NIST_P384) y el uso (SIGN_VERIFY) requeridos.Crea una subvención en la clave al llamar
CreateGranten tu nombre. La subvención permiteDescribeKeyGetPublicKeyySignfunciona.Verifica la autorización cuando una AWS Support solicitud coincide con un permiso de apoyo existente utilizando la subvención para solicitar
Signla clave. La firma resultante verifica que AWS Support está autorizado a realizar la acción.
Declaraciones políticas clave obligatorias
Añada las siguientes declaraciones de política a su política AWS KMS clave. Estos son los permisos mínimos necesarios para AWS Support autorizar el uso de la clave.
{ "Sid": "Allows access to CreateGrant through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:CreateGrant"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"] }, "ArnLike": { "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*" } } }, { "Sid": "Allows access to DescribeKey through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:DescribeKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }
Estas declaraciones otorgan los siguientes permisos:
- CreateGrant
-
Permite la creación de subvenciones para
DescribeKeyGetPublicKeyySignoperaciones. Las condiciones restringen la creación de subvenciones a las solicitudes que se realicen a través del servicio de AWS Support autorización y estén destinadas a respaldar los recursos de permisos de su cuenta. AWS Support la autorización utiliza sesiones de acceso directo para realizar llamadasCreateGrantcomo parte de la creación de un permiso de asistencia. - DescribeKey
-
Permite comprobar que la clave cumple con las especificaciones y el tipo de uso requeridos al crear un permiso de soporte mediante sesiones de acceso directo.
nota
111122223333Sustitúyala por tu ID de AWS cuenta y us-east-1 por la AWS región en la que creaste tus permisos de soporte.
Revocando AWS Support autorización de acceso
La forma recomendada de revocar los permisos de firma de tu clave es revocar la concesión. Esto impide que se realicen más operaciones de firma sin que ello afecte a otros usos de la clave.
Para enumerar y revocar las concesiones de AWS Support autorización:
-
Enumere las subvenciones en la clave para encontrar el identificador de la concesión:
aws kms list-grants \ --key-id 1234abcd-12ab-34cd-56ef-1234567890abIdentifique la subvención por su nombre o por el ARN de
GrantConstraintsorigen que hace referencia a su permiso de manutención. -
Revocar la subvención:
aws kms revoke-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grant-id grant-id-from-list-grants
Tras revocar la subvención, ya no se podrán emitir nuevas autorizaciones firmadas para ningún permiso de manutención que utilice esta clave. Como la AWS KMS API sigue un modelo de coherencia eventual, es posible que se produzca un breve retraso antes de que el cambio esté disponible de forma definitiva. AWS KMS
nota
La revocación de una subvención no elimina el permiso de soporte asociado. El permiso de manutención permanece en estado ACTIVO, pero no se pueden firmar las autorizaciones para obtenerlo. Las subvenciones son específicas para cada permiso de apoyo. La creación de un nuevo permiso de asistencia con la misma AWS KMS clave no restablece la capacidad de la AWS Support autorización de utilizar la clave del permiso de asistencia original.
Desactivar o eliminar la clave
También puede deshabilitar o programar la eliminación de la AWS KMS clave para evitar que la AWS Support autorización emita autorizaciones firmadas. Sin embargo, esto afecta a todos los usos de la clave, no solo a la AWS Support autorización.
importante
En última instancia, ambos AWS KMS y la AWS Support autorización son consistentes. Después de deshabilitar o programar la eliminación de una clave, el cambio puede tardar varios minutos en surtir efecto por completo. Durante este período, es posible que las autorizaciones firmadas se sigan emitiendo con la clave. En última instancia, la revocación de la subvención también es coherente.
Si inhabilitas una clave, puedes volver a habilitarla en la AWS KMS consola o llamando. EnableKey Si eliminas una clave, no se podrá recuperar.
Supervisar el uso de claves
Cuando la AWS KMS clave se usa para firmar una autorización, AWS CloudTrail registra la operación de firma en el historial de eventos de la clave. Puedes usar estos eventos para auditar cuándo y con qué frecuencia se firman las autorizaciones en tu nombre.