Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2
Para dar soporte a los almacenes de claves de AWS CloudHSM, AWS KMS necesita permiso para obtener información de los clústeres de AWS CloudHSM. También necesita permiso para crear la infraestructura de red que conecta el almacén de claves de AWS CloudHSM con su clúster de AWS CloudHSM. Para obtener estos permisos,AWS KMS crea el rol vinculado al servicio AWSServiceRoleforKeyManagementServiceCustomKeyStores en la Cuenta de AWS. Los usuarios que crean almacenes de claves de AWS CloudHSM deben tener el permiso iam:CreateServiceLinkedRole que les permite crear roles vinculados a un servicio.
Para ver detalles sobre las actualizaciones de la política administrada AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy, consulte Actualizaciones de AWS KMS a las políticas administradas de AWS.
Temas
Acerca del rol vinculado a un servicio de AWS KMS
Un rol vinculado a un servicio es un rol de IAM que otorga permiso a un servicio de AWS para llamar a otros servicios de AWS en su nombre. Se ha diseñado para facilitar el uso de las características de múltiples servicios de AWS integrados sin tener que crear ni actualizar políticas de IAM complejas. Para obtener más información, consulte Cómo utilizar roles vinculados a servicios de AWS KMS.
Para los almacenes de claves de AWS CloudHSM, AWS KMS crea el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores con la política administrada AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy. Esta política concede los siguientes permisos al rol:
-
cloudhsm:Describe*: detecta los cambios en el clúster de AWS CloudHSM vinculado a su almacén de claves personalizado.
-
ec2:CreateSecurityGroup: se utiliza cuando conecta un almacén de claves de AWS CloudHSM para crear el grupo de seguridad que permite el flujo de tráfico de red entre AWS KMS y el clúster de AWS CloudHSM.
-
ec2:AuthorizeSecurityGroupIngress: se utiliza cuando conecta un almacén de claves de AWS CloudHSM para permitir el acceso a la red desde AWS KMS a la VPC que contiene el clúster de AWS CloudHSM.
-
ec2:CreateNetworkInterface: se utiliza cuando conecta un almacén de claves de AWS CloudHSM para crear la interfaz de red utilizada para la comunicación entre AWS KMS y el clúster de AWS CloudHSM.
-
ec2:RevokeSecurityGroupEgress: se utiliza cuando conecta un almacén de claves de AWS CloudHSM para eliminar todas las reglas de salida del grupo de seguridad que creó AWS KMS.
-
ec2:DeleteSecurityGroup: se utiliza cuando desconecta un almacén de claves de AWS CloudHSM para eliminar los grupos de seguridad que se crearon cuando conectó el almacén de claves de AWS CloudHSM.
-
ec2:DescribeSecurityGroups: se utiliza para supervisar los cambios en el grupo de seguridad que creó AWS KMS en la VPC que contiene el clúster de AWS CloudHSM, de modo que AWS KMS pueda proporcionar mensajes de error claros en caso de que se produzcan errores.
-
ec2:DescribeVpcs: se utiliza para supervisar los cambios en la VPC que contiene el clúster de AWS CloudHSM, de modo que AWS KMS pueda proporcionar mensajes de error claros en caso de que se produzcan errores.
-
ec2:DescribeNetworkAcls: se utiliza para supervisar los cambios en las ACL de red para la VPC que contiene el clúster de AWS CloudHSM, de modo que AWS KMS pueda proporcionar mensajes de error claros en caso de que se produzcan errores.
-
ec2:DescribeNetworkInterfaces: se utiliza para supervisar los cambios en las interfaces de red que creó AWS KMS en la VPC que contiene el clúster de AWS CloudHSM, de modo que AWS KMS pueda proporcionar mensajes de error claros en caso de que se produzcan errores.
Debido a que el rol vinculado a servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores solo confía en cks.kms.amazonaws.com, AWS KMS únicamente puede asumir este rol vinculado a servicio. Este rol está limitado a las operaciones que necesita AWS KMS para ver los clústeres de AWS CloudHSM y para conectar un almacén de claves de AWS CloudHSM con su clúster de AWS CloudHSM asociado. No concede permisos adicionales a AWS KMS. Por ejemplo, AWS KMS no dispone de permiso para crear, administrar o eliminar los clústeres de AWS CloudHSM, los HSM o las copias de seguridad.
Regiones
De igual modo que la característica de los almacenes de claves de AWS CloudHSM, el rol AWSServiceRoleForKeyManagementServiceCustomKeyStores es compatible en todas las Regiones de AWS en las que estén disponibles AWS KMS y AWS CloudHSM. Para obtener una lista de las Regiones de AWS que admiten cada servicio, consulte AWS Key Management Service Endpoints and Quotas y AWS CloudHSM endpoints and quotas en la Referencia general de Amazon Web Services.
Para obtener más información acerca de cómo los servicios de AWS utilizan los roles vinculados con el servicio, consulte Uso de roles vinculados a servicios en la Guía del usuario de IAM.
Creación del rol vinculado a servicios
AWS KMS crea el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores de forma automática en la cuenta de Cuenta de AWS al crear un almacén de claves de AWS CloudHSM, si el rol no existe aún. No puede crear o volver a crear este rol vinculado a un servicio directamente.
Editar la descripción del rol vinculado a un servicio
No puede editar el nombre del rol o las declaraciones de la política en el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores, aunque sí puede editar la descripción del rol. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminar el rol vinculado a servicios
AWS KMS no elimina el rol vinculado al servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores de su Cuenta de AWS, incluso si ha eliminado todos sus almacenes de claves de AWS CloudHSM. Si bien actualmente no existe ningún procedimiento para eliminar el rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores, AWS KMS no asume este rol ni utiliza sus permisos a menos que tenga almacenes de claves de AWS CloudHSM activos.
