Control del acceso al almacén de claves de AWS CloudHSM - AWS Key Management Service

Control del acceso al almacén de claves de AWS CloudHSM

Utilice las políticas de IAM para controlar el acceso al almacén de claves de AWS CloudHSM y al clúster de AWS CloudHSM. Puede usar las políticas de claves y las políticas de IAM y concesiones para controlar el acceso a las AWS KMS keys en su almacén de claves de AWS CloudHSM. Le recomendamos que únicamente otorgue a los usuarios, grupos y roles los permisos necesarios para las tareas que es probable que se vayan a realizar.

Para dar soporte a los almacenes de claves de AWS CloudHSM, AWS KMS necesita permiso para obtener información de los clústeres de AWS CloudHSM. También necesita permiso para crear la infraestructura de red que conecta el almacén de claves de AWS CloudHSM con su clúster de AWS CloudHSM. Para obtener estos permisos,AWS KMS crea el rol vinculado al servicio AWSServiceRoleforKeyManagementServiceCustomKeyStores en la Cuenta de AWS. Para obtener más información, consulte Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2.

Al diseñar el almacén de claves de AWS CloudHSM, asegúrese de que las entidades principales que usan y administran el almacén dispongan únicamente de los permisos que necesitan. En la siguiente lista se describen los permisos mínimos necesarios para los administradores y usuarios del almacén de claves de AWS CloudHSM.

  • Las entidades principales que crean y administran el almacén de claves de AWS CloudHSM requieren el siguiente permiso para utilizar las operaciones de API del almacén de claves de AWS CloudHSM.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • Las entidades principales que crean y administran el clúster de AWS CloudHSM asociado al almacén de claves de AWS CloudHSM requieren permiso para crear e inicializar un clúster de AWS CloudHSM. Este permiso también les permite crear o utilizar una nube privada virtual (VPC), crear subredes y crear una instancia de Amazon EC2. También es posible que deban crear y eliminar HSM, y administrar copias de seguridad. Para obtener una lista de los permisos necesarios, consulte Administración de identidades y accesos para AWS CloudHSM en la Guía del usuario de AWS CloudHSM.

  • Las entidades principales que crean y administran AWS KMS keys del almacén de claves de AWS CloudHSM necesitan los mismos permisos que aquellas que crean y administran las claves de KMS en AWS KMS. La política de claves predeterminada para claves de KMS en un almacén de claves de AWS CloudHSM es idéntica a la política de claves predeterminada para claves de KMS en AWS KMS. El control de acceso basado en atributos (ABAC), que utiliza etiquetas y alias para controlar el acceso a las claves de KMS, también es efectivo en claves de KMS de almacenes de claves de AWS CloudHSM.

  • Las entidades principales que usan las claves de KMS en el almacén de claves de AWS CloudHSM para operaciones criptográficas requieren permiso para realizar la operación criptográfica con la clave de KMS, por ejemplo, kms:Decrypt. Puede proporcionar estos permisos en una política de claves o una política de IAM. Sin embargo, no necesitan más permisos para utilizar una clave de KMS en un almacén de claves de AWS CloudHSM.