View a markdown version of this page

Configuración AWS KMS claves para AWS Support autorización - AWS Support

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración AWS KMS claves para AWS Support autorización

Requisitos de la clave

Se requiere una AWS KMS clave gestionada por el cliente para la firma criptográfica de los permisos de soporte. La clave debe cumplir los siguientes requisitos:

  • Especificaciones clave: ECC_NIST_P384

  • Uso clave: SIGN_VERIFY

  • La clave debe estar en la misma AWS región que el permiso de soporte.

El material de su clave privada nunca sale AWS KMS. Usted crea una subvención en su clave que le permite solicitarDescribeKey,GetPublicKey, ySign. La subvención se limita al permiso de manutención y se retira cuando el permiso de manutención se elimina o desactiva.

Cómo AWS Support la autorización utiliza su AWS KMS clave

Al crear un permiso de soporte, la AWS KMS clave se utiliza de la siguiente manera:

  1. Utiliza sesiones de acceso directo para llamar DescribeKey en tu nombre y verifica que la clave cumpla con las especificaciones (ECC_NIST_P384) y el uso (SIGN_VERIFY) requeridos.

  2. Crea una subvención en la clave al llamar CreateGrant en tu nombre. La subvención permite DescribeKey GetPublicKey y Sign funciona.

  3. Verifica la autorización cuando una AWS Support solicitud coincide con un permiso de apoyo existente utilizando la subvención para solicitar Sign la clave. La firma resultante verifica que AWS Support está autorizado a realizar la acción.

Declaraciones políticas clave obligatorias

Añada las siguientes declaraciones de política a su política AWS KMS clave. Estos son los permisos mínimos necesarios para AWS Support autorizar el uso de la clave.

{ "Sid": "Allows access to CreateGrant through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:CreateGrant"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"] }, "ArnLike": { "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*" } } }, { "Sid": "Allows access to DescribeKey through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:DescribeKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }

Estas declaraciones otorgan los siguientes permisos:

CreateGrant

Permite la creación de subvenciones para DescribeKey GetPublicKey y Sign operaciones. Las condiciones restringen la creación de subvenciones a las solicitudes que se realicen a través del servicio de AWS Support autorización y estén destinadas a respaldar los recursos de permisos de su cuenta. AWS Support la autorización utiliza sesiones de acceso directo para realizar llamadas CreateGrant como parte de la creación de un permiso de asistencia.

DescribeKey

Permite comprobar que la clave cumple con las especificaciones y el tipo de uso requeridos al crear un permiso de soporte mediante sesiones de acceso directo.

nota

111122223333Sustitúyala por tu ID de AWS cuenta y us-east-1 por la AWS región en la que creaste tus permisos de soporte.

Revocando AWS Support autorización de acceso

La forma recomendada de revocar los permisos de firma de tu clave es revocar la concesión. Esto impide que se realicen más operaciones de firma sin que ello afecte a otros usos de la clave.

Para enumerar y revocar las concesiones de AWS Support autorización:

  1. Enumere las subvenciones en la clave para encontrar el identificador de la concesión:

    aws kms list-grants \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

    Identifique la subvención por su nombre o por el ARN de GrantConstraints origen que hace referencia a su permiso de manutención.

  2. Revocar la subvención:

    aws kms revoke-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grant-id grant-id-from-list-grants

Tras revocar la subvención, ya no se podrán emitir nuevas autorizaciones firmadas para ningún permiso de manutención que utilice esta clave. Como la AWS KMS API sigue un modelo de coherencia eventual, es posible que se produzca un breve retraso antes de que el cambio esté disponible de forma definitiva. AWS KMS

nota

La revocación de una subvención no elimina el permiso de soporte asociado. El permiso de manutención permanece en estado ACTIVO, pero no se pueden firmar las autorizaciones para obtenerlo. Las subvenciones son específicas para cada permiso de apoyo. La creación de un nuevo permiso de asistencia con la misma AWS KMS clave no restablece la capacidad de la AWS Support autorización de utilizar la clave del permiso de asistencia original.

Desactivar o eliminar la clave

También puede deshabilitar o programar la eliminación de la AWS KMS clave para evitar que la AWS Support autorización emita autorizaciones firmadas. Sin embargo, esto afecta a todos los usos de la clave, no solo a la AWS Support autorización.

importante

En última instancia, ambos AWS KMS y la AWS Support autorización son consistentes. Después de deshabilitar o programar la eliminación de una clave, el cambio puede tardar varios minutos en surtir efecto por completo. Durante este período, es posible que las autorizaciones firmadas se sigan emitiendo con la clave. En última instancia, la revocación de la subvención también es coherente.

Si inhabilitas una clave, puedes volver a habilitarla en la AWS KMS consola o llamando. EnableKey Si eliminas una clave, no se podrá recuperar.

Supervisar el uso de claves

Cuando la AWS KMS clave se usa para firmar una autorización, AWS CloudTrail registra la operación de firma en el historial de eventos de la clave. Puedes usar estos eventos para auditar cuándo y con qué frecuencia se firman las autorizaciones en tu nombre.