View a markdown version of this page

Resource-based kebijakan untuk AWS Kriptografi Pembayaran - AWS Kriptografi Pembayaran
Pertimbangan-pertimbanganMengelola kebijakan berbasis sumber dayaResource-based contoh kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Resource-based kebijakan untuk AWS Kriptografi Pembayaran

Resource-based kebijakan adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya, seperti kunci Kriptografi AWS Pembayaran. Dalam kebijakan berbasis sumber daya, Anda menentukan siapa yang dapat mengakses kunci dan tindakan yang dapat mereka lakukan. Anda dapat menggunakan kebijakan berbasis sumber daya untuk:

  • Berikan akses ke satu kunci ke beberapa pengguna dan peran.

  • Berikan akses ke pengguna atau peran di AWS akun lain.

Ketika Anda melampirkan kebijakan berbasis sumber daya ke kunci Kriptografi AWS Pembayaran, Kriptografi AWS Pembayaran menggunakan logika evaluasi kebijakan IAM untuk menentukan apakah prinsipal tertentu berwenang untuk melakukan tindakan yang diminta. Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau entitas IAM di akun lain sebagai prinsipal dalam kebijakan berbasis sumber daya. Cross-account Akses memerlukan dua kebijakan:

  1. Resource-based kebijakan (akun pemilik kunci) — Pemilik kunci menggunakan PutResourcePolicy untuk memberikan akses ke akun pemanggil atau prinsipal IAM.

  2. Identity-based kebijakan (akun penelepon) — Administrator IAM pemanggil juga harus mengizinkan tindakan Kriptografi AWS Pembayaran (misalnya,payment-cryptography:EncryptData) dalam kebijakan IAM pemanggil.

Kedua kebijakan harus memungkinkan tindakan. Jika salah satu tidak ada, permintaan lintas akun ditolak. AccessDeniedException

Jika kebijakan berbasis sumber daya memberikan akses ke prinsipal di akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan. Untuk informasi selengkapnya, lihat Perbedaan Peran IAM dari Resource-based Kebijakan di Panduan Pengguna IAM.

Operasi bidang kontrol kebijakan sumber daya

Resource-based kebijakan tidak berlaku untuk operasi bidang kontrol kebijakan sumber daya seperti PutResourcePolicy, GetResourcePolicy, dan DeleteResourcePolicy. Ini mencegah skenario penguncian potensial di mana kebijakan sumber daya dapat menolak kemampuan untuk memodifikasi atau menghapus kebijakan itu sendiri. Akses ke operasi pesawat kontrol ini hanya diatur oleh kebijakan berbasis identitas IAM.

Pertimbangan-pertimbangan

Ingatlah hal berikut saat menggunakan kebijakan berbasis sumber daya dengan Kriptografi Pembayaran. AWS

  • AWS Kriptografi Pembayaran secara otomatis tidak memberlakukan akses publik ke kunci. Anda tidak dapat membuat kebijakan berbasis sumber daya yang memberikan akses ke kepala sekolah anonim atau publik. Semua akses ke kunci Kriptografi AWS Pembayaran memerlukan AWS prinsip yang diautentikasi, dan akses publik selalu diblokir.

  • Resource-based kebijakan diterapkan per kunci. Setiap kunci Kriptografi AWS Pembayaran dapat memiliki paling banyak satu kebijakan berbasis sumber daya yang melekat padanya.

  • Resource-based kebijakan tidak berlaku untuk alias. Saat Anda mereferensikan kunci dengan aliasnya, kebijakan sumber daya yang dilampirkan ke kunci yang mendasarinya dievaluasi.

  • Resource-based kebijakan tidak berlaku untuk kunci Replica Region hanya-baca yang dibuat menggunakan replikasi Multi-Region kunci saat ini. Kebijakan sumber daya hanya dapat dilampirkan ke kunci Wilayah Utama.

  • ResourceElemen dalam kebijakan berbasis sumber daya harus "*" atau sama persis dengan ARN kunci yang dilampirkan kebijakan tersebut. Penggunaan "*" disarankan karena memungkinkan dokumen kebijakan yang sama untuk digunakan kembali di beberapa kunci.

  • API manajemen kebijakan sumber daya (PutResourcePolicyGetResourcePolicy,, danDeleteResourcePolicy) dibatasi untuk Akun AWS yang memiliki kunci. Hanya prinsipal dalam akun pemilik kunci yang dapat mengelola kebijakan sumber daya.

Mengelola kebijakan berbasis sumber daya

Anda dapat mengelola kebijakan berbasis sumber daya untuk kunci Kriptografi AWS Pembayaran menggunakan atau API. AWS CLI AWS Untuk menggunakan perintah ini, ganti perintah italicized placeholder text in the example dengan informasi Anda sendiri.

Lampirkan kebijakan berbasis sumber daya

Gunakan tindakan PutResourcePolicyAPI atau perintah put-resource-policyCLI untuk melampirkan kebijakan berbasis sumber daya ke kunci. Jika kebijakan sudah ada, perintah menggantikannya.

Contoh berikut melampirkan kebijakan berbasis sumber daya dari file JSON ke kunci.

aws payment-cryptography put-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --policy file://policy.json
Mengambil kebijakan berbasis sumber daya

Gunakan tindakan GetResourcePolicyAPI atau perintah get-resource-policyCLI untuk mengambil kebijakan berbasis sumber daya yang dilampirkan pada kunci.

Contoh berikut mengambil kebijakan berbasis sumber daya yang dilampirkan ke kunci.

aws payment-cryptography get-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Respons mengembalikan dokumen kebijakan:

{
    "Policy": {
        "Version": "2012-10-17", 
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
                },
                "Action": [
                    "payment-cryptography:EncryptData",
                    "payment-cryptography:DecryptData"
                ],
                "Resource": "*"
            }
        ]
    }
}
Menghapus kebijakan berbasis sumber daya

Gunakan tindakan DeleteResourcePolicyAPI atau perintah delete-resource-policyCLI untuk menghapus kebijakan berbasis sumber daya dari kunci.

Contoh berikut menghapus kebijakan berbasis sumber daya yang dilampirkan pada kunci.

aws payment-cryptography delete-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Resource-based contoh kebijakan

Berikan akses lintas akun ke kunci

Kebijakan berbasis sumber daya berikut memberikan peran dalam izin AWS akun lain untuk menggunakan kunci Kriptografi AWS Pembayaran untuk operasi kriptografi.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData",
                "payment-cryptography:VerifyCardValidationData"
            ],
            "Resource": "*"
        }
    ]
}

Berikan izin berbeda ke akun yang berbeda

Kebijakan berbasis sumber daya berikut menunjukkan cara memberikan izin yang berbeda kepada prinsipal di akun terpisah. Dalam contoh ini, 3DS Access Control Server (ACS) dalam satu akun dapat menghasilkan data validasi kartu, sedangkan layanan Otorisasi Pembayaran di akun yang berbeda hanya dapat memvalidasi Cryptogram 3DS.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "Allow3DSACSToGenerate",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/3dsAcsRole"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowPaymentAuthToVerify",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::444455556666:role/PaymentAuthRole"
            },
            "Action": [
                "payment-cryptography:VerifyAuthRequestCryptogram"
            ],
            "Resource": "*"
        }
    ]
}