Usar la condición de dirección IP Usar condiciones de la VPC y del punto de conexión de VPC Uso de IPv6 direcciones en las políticas clave de IAM y KMS

AWS claves de condición globales

AWS define las claves de condición globales, un conjunto de claves de condiciones de política para todos los AWS servicios que utilizan IAM para el control de acceso. AWS KMS admite todas las claves de condición globales. Puede utilizarlos en políticas AWS KMS clave y políticas de IAM.

Por ejemplo, puede usar la clave de condición PrincipalArn global aws: para permitir el acceso a una AWS KMS key (clave KMS) solo cuando el principal de la solicitud esté representado por el nombre de recurso de Amazon (ARN) en el valor de la clave de condición. Para respaldar el control de acceso basado en atributos (ABAC) AWS KMS, puede utilizar la clave de condición global aws:ResourceTag/tag-key en una política de IAM para permitir el acceso a las claves de KMS con una etiqueta determinada.

Para evitar que un AWS servicio se utilice de forma confusa en una política en la que el director es el director del AWS servicio, puede utilizar las claves de condición o globales. aws:SourceArn aws:SourceAccount Para obtener más información, consulte Uso de claves de condición aws:SourceArn o aws:SourceAccount.

Para obtener información sobre las claves de condición AWS globales, incluidos los tipos de solicitudes en las que están disponibles, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM. Para obtener ejemplos del uso de claves de condición globales en las políticas de IAM, consulte Control del acceso a las solicitudes y Control de claves de etiqueta en la Guía del usuario de IAM.

En los temas siguientes se proporcionan instrucciones especiales para el uso de claves de condición basadas en direcciones IP y puntos de conexión de VPC.

Temas

Usar la condición de dirección IP en políticas con permisos de AWS KMS
Usar condiciones de punto de conexión de VPC en políticas con permisos de AWS KMS
Uso de IPv6 direcciones en las políticas clave de IAM y KMS

Usar la condición de dirección IP en políticas con permisos de AWS KMS

Puede utilizarlas AWS KMS para proteger sus datos en un AWS servicio integrado. Sin embargo, tenga cuidado al especificar la dirección IP, la condición, los operadores o la clave de aws:SourceIp condición en la misma declaración de política a la que se permite o deniega el acceso AWS KMS. Por ejemplo, la política de Denega el acceso en AWSAWS función de la IP de origen restringe AWS las acciones a las solicitudes del rango de IP especificado.

Considere esta situación:

Adjunta a una identidad de IAM una política como la que se muestra en AWS: Denega el acceso a una identidad de IAM en AWS función de la IP de origen. A continuación, establece el valor de la clave de condición aws:SourceIp en el rango de direcciones IP de la empresa del usuario. Esta identidad de IAM tiene otras políticas adjuntas que le permiten usar Amazon EBS EC2, Amazon y. AWS KMS
La identidad intenta adjuntar un volumen de EBS cifrado a una instancia. EC2 Esta acción falla con un error de autorización a pesar de que el usuario tiene permiso para utilizar todos los servicios pertinentes.

El paso 2 falla porque la solicitud AWS KMS para descifrar la clave de datos cifrados del volumen proviene de una dirección IP asociada a la EC2 infraestructura de Amazon. Para que la solicitud se realice correctamente, debe provenir de la dirección IP del usuario que la origina. Como la política del paso 1 deniega explícitamente todas las solicitudes de direcciones IP distintas de las especificadas, EC2 se deniega a Amazon el permiso para descifrar la clave de datos cifrados del volumen de EBS.

Además, la clave de condición aws:SourceIP no es efectiva si la solicitud procede de un punto de conexión de Amazon VPC. Para restringir las solicitudes a un punto de conexión de VPC, incluido un punto de conexión de VPC de AWS KMS, utilice las claves de condición aws:SourceVpce o aws:SourceVpc. Para obtener más información, consulte Puntos de conexión de VPC - Control del uso de los puntos de conexión en la Guía del usuario de Amazon VPC.

Usar condiciones de punto de conexión de VPC en políticas con permisos de AWS KMS

AWS KMS es compatible con los puntos de conexión de Amazon Virtual Private Cloud (Amazon VPC) que funcionan con la tecnología de. AWS PrivateLink Puede usar las siguientes claves de condición globales en las políticas clave y en las políticas de IAM para controlar el acceso a AWS KMS los recursos cuando la solicitud proviene de una VPC o utiliza un punto de enlace de la VPC. Para obtener más información, consulte Utilice los puntos finales de VPC para controlar el acceso a los recursos AWS KMS.

aws:SourceVpc limita el acceso a las solicitudes procedentes de la VPC especificada.
aws:SourceVpce limita el acceso a las solicitudes procedentes del punto de conexión de VPC especificado.

Si utilizas estas claves de condición para controlar el acceso a las claves de KMS, podrías denegar inadvertidamente el acceso a los AWS servicios que se utilizan en tu nombre. AWS KMS

Procure evitar una situación como la del ejemplo de claves de condición de dirección IP. Si restringes las solicitudes de una clave de KMS a una VPC o un punto final de VPC, es posible que se produzcan errores en las llamadas AWS KMS desde un servicio integrado, como Amazon S3 o Amazon EBS. Esto puede ocurrir incluso si la solicitud de origen procede en última instancia de la VPC o del punto de conexión de VPC.

Uso de IPv6 direcciones en las políticas clave de IAM y KMS

Antes de intentar acceder a KMS IPv6, asegúrese de que todas las políticas clave y de IAM que contengan restricciones de direcciones IP estén actualizadas para incluir los intervalos de IPv6 direcciones. Las políticas basadas en IP que no se actualizan para gestionar IPv6 las direcciones pueden provocar que los clientes pierdan o obtengan el acceso de forma incorrecta al empezar a IPv6 utilizarlas. Para obtener información general sobre los controles de acceso a KMS, consultePermisos y acceso a claves KMS. Para obtener más información sobre la compatibilidad con KMS y doble pila, consulteCompatibilidad con puntos de conexión de doble pila.

importante

Estas declaraciones no permiten ninguna acción. Use estas declaraciones en combinación con otras que permitan acciones específicas.

La siguiente declaración deniega explícitamente el acceso a todos los permisos de KMS a las solicitudes que se originen en el 192.0.2.* rango de IPv4 direcciones. A las direcciones IP que se encuentren fuera de este rango no se les deniegan explícitamente los permisos de KMS. Como todas IPv6 las direcciones están fuera del rango denegado, esta declaración no deniega explícitamente los permisos de KMS para ninguna IPv6 dirección.


{
     "Sid": "DenyKMSPermissions",
     "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24"
            ]
        }
    }
}

Puede modificar el Condition elemento para denegar los rangos de direcciones IPv4 (192.0.2.0/24) y IPv6 (2001:db8:1234::/32), como se muestra en el siguiente ejemplo.


{
    "Sid": "DenyKMSPermissions",
    "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24",
                "2001:db8:1234::/32"
            ]
        }
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves de condición

AWS KMS claves de condición