Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2
Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan di Anda. Akun AWS Pengguna yang membuat toko AWS CloudHSM kunci harus memiliki iam:CreateServiceLinkedRole izin yang memungkinkan mereka membuat peran terkait layanan.
Untuk melihat detail tentang pembaruan kebijakan AWSKeyManagementServiceCustomKeyStoresServiceRolePolicyterkelola, lihatAWS KMS pembaruan kebijakan AWS terkelola.
Topik
Tentang peran AWS KMS terkait layanan
Peran terkait layanan adalah peran IAM yang memberikan satu izin AWS layanan untuk memanggil AWS layanan lain atas nama Anda. Ini dirancang untuk memudahkan Anda menggunakan fitur dari beberapa AWS layanan terintegrasi tanpa harus membuat dan memelihara kebijakan IAM yang kompleks. Untuk informasi selengkapnya, lihat Menggunakan peran tertaut layanan untuk AWS KMS.
Untuk penyimpanan AWS CloudHSM utama, AWS KMS buat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan dengan kebijakan AWSKeyManagementServiceCustomKeyStoresServiceRolePolicyterkelola. Kebijakan ini memberi peran izin berikut:
-
Cloudhsm:describe* — mendeteksi perubahan dalam AWS CloudHSM cluster yang dilampirkan ke toko kunci kustom Anda.
-
ec2: CreateSecurityGroup — digunakan saat Anda menghubungkan toko AWS CloudHSM kunci untuk membuat grup keamanan yang memungkinkan arus lalu lintas jaringan antara AWS KMS dan AWS CloudHSM cluster Anda.
-
ec2: AuthorizeSecurityGroupIngress — digunakan saat Anda menghubungkan toko AWS CloudHSM kunci untuk memungkinkan akses jaringan dari AWS KMS ke VPC yang berisi AWS CloudHSM cluster Anda.
-
ec2: CreateNetworkInterface — digunakan ketika Anda menghubungkan toko AWS CloudHSM kunci untuk membuat antarmuka jaringan yang digunakan untuk komunikasi antara AWS KMS dan AWS CloudHSM cluster.
-
ec2: RevokeSecurityGroupEgress — digunakan saat Anda menghubungkan toko AWS CloudHSM kunci untuk menghapus semua aturan keluar dari grup keamanan yang AWS KMS dibuat.
-
ec2: DeleteSecurityGroup — digunakan saat Anda memutuskan penyimpanan AWS CloudHSM kunci untuk menghapus grup keamanan yang dibuat saat Anda menghubungkan toko AWS CloudHSM kunci.
-
ec2: DescribeSecurityGroups — digunakan untuk memantau perubahan dalam grup keamanan yang AWS KMS dibuat di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
-
ec2: DescribeVpcs — digunakan untuk memantau perubahan dalam VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
-
ec2: DescribeNetworkAcls — digunakan untuk memantau perubahan dalam jaringan ACLs untuk VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
-
ec2: DescribeNetworkInterfaces — digunakan untuk memantau perubahan pada antarmuka jaringan yang AWS KMS dibuat di VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }
Karena peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan hanya mempercayaicks.kms.amazonaws.com, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang AWS KMS perlu melihat AWS CloudHSM kluster Anda dan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkait. Itu tidak memberikan AWS KMS izin tambahan. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mengelola, atau menghapus AWS CloudHSM cluster, HSMs, atau backup Anda.
Daerah
Seperti fitur toko AWS CloudHSM utama, AWSServiceRoleForKeyManagementServiceCustomKeyStoresperan ini didukung di semua Wilayah AWS tempat AWS KMS dan AWS CloudHSM tersedia. Untuk daftar yang didukung Wilayah AWS oleh setiap layanan, lihat AWS Key Management Service Titik Akhir dan Kuota dan AWS CloudHSM titik akhir dan kuota di. Referensi Umum Amazon Web Services
Untuk informasi selengkapnya tentang cara AWS layanan menggunakan peran terkait layanan, lihat Menggunakan peran terkait layanan di Panduan Pengguna IAM.
Membuat peran terkait layanan
AWS KMS secara otomatis membuat peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan di Akun AWS saat Anda membuat penyimpanan AWS CloudHSM kunci, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung.
Mengedit deskripsi peran tertaut layanan
Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk petunjuknya, lihat Mengedit peran terkait layanan di Panduan Pengguna IAM.
Menghapus peran tertaut layanan
AWS KMS tidak menghapus peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan dari Anda Akun AWS bahkan jika Anda telah menghapus semua toko AWS CloudHSM utama Anda. Meskipun saat ini tidak ada prosedur untuk menghapus peran AWSServiceRoleForKeyManagementServiceCustomKeyStoresterkait layanan, AWS KMS tidak mengambil peran ini atau menggunakan izinnya kecuali Anda memiliki penyimpanan kunci aktif. AWS CloudHSM
