Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione AWS KMS chiavi per Supporto AWS authorization
Requisiti della chiave
È necessaria una AWS KMS chiave gestita dal cliente per la firma crittografica dei permessi di supporto. La chiave deve soddisfare i seguenti requisiti:
-
Specifiche chiave:
ECC_NIST_P384 -
Utilizzo delle chiavi:
SIGN_VERIFY -
La chiave deve trovarsi nella stessa AWS regione del permesso di supporto.
Il materiale della tua chiave privata non esce mai AWS KMS. Crei una concessione sulla tua chiave che le consente di chiamare DescribeKeyGetPublicKey, eSign. La concessione rientra nell'ambito del permesso di supporto e decade quando il permesso di supporto viene eliminato o disattivato.
In che modo Supporto AWS l'autorizzazione utilizza il tuo AWS KMS Chiave
Quando si crea un permesso di supporto, la AWS KMS chiave viene utilizzata nel modo seguente:
Utilizza le sessioni di accesso diretto per effettuare chiamate
DescribeKeyper conto dell'utente, verificando che la chiave soddisfi le specifiche (ECC_NIST_P384) e l'utilizzo (SIGN_VERIFY) richiesti.Crea una concessione sulla chiave chiamando per tuo
CreateGrantconto. La concessione consenteDescribeKeyGetPublicKeyeSignoperazioni.Verifica l'autorizzazione quando una Supporto AWS richiesta corrisponde a un permesso di supporto esistente utilizzando la concessione per richiamare
Signla chiave. La firma risultante verifica che Supporto AWS sia autorizzato a eseguire l'azione.
Dichiarazioni politiche chiave obbligatorie
Aggiungi le seguenti dichiarazioni politiche alla tua politica AWS KMS chiave. Queste sono le autorizzazioni minime richieste per Supporto AWS l'autorizzazione all'uso della chiave.
{ "Sid": "Allows access to CreateGrant through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:CreateGrant"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"] }, "ArnLike": { "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*" } } }, { "Sid": "Allows access to DescribeKey through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:DescribeKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }
Queste istruzioni concedono le seguenti autorizzazioni:
- CreateGrant
-
Consente la creazione di sovvenzioni per
DescribeKeyeGetPublicKeySignoperazioni. Le condizioni limitano la creazione di concessioni alle richieste effettuate tramite il servizio di Supporto AWS autorizzazione e finalizzate al supporto delle risorse autorizzative presenti nell'account. Supporto AWS l'autorizzazione utilizza sessioni di accesso inoltrato per chiamareCreateGrantcome parte della creazione di un permesso di supporto. - DescribeKey
-
Consente di verificare che la chiave soddisfi le specifiche e il tipo di utilizzo richiesti quando si crea un permesso di supporto utilizzando sessioni di accesso diretto.
Nota
111122223333Sostituiscilo con l'ID del tuo AWS account e us-east-1 con la AWS regione in cui crei i permessi di assistenza.
Revoca Supporto AWS accesso tramite autorizzazione
Il modo consigliato per revocare le autorizzazioni di firma sulla chiave è revocare la concessione. Ciò impedisce ulteriori operazioni di firma senza influire sugli altri usi della chiave.
Per elencare e revocare le concessioni di autorizzazione: Supporto AWS
-
Elenca le sovvenzioni sulla chiave per trovare l'ID della sovvenzione:
aws kms list-grants \ --key-id 1234abcd-12ab-34cd-56ef-1234567890abIdentifica la sovvenzione in base al nome o all'ARN di
GrantConstraintsorigine che fa riferimento al tuo permesso di assistenza. -
Revoca la sovvenzione:
aws kms revoke-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grant-id grant-id-from-list-grants
Dopo la revoca della concessione, non è più possibile rilasciare nuove autorizzazioni firmate per nessun permesso di supporto che utilizza questa chiave. Poiché l' AWS KMS API segue un eventuale modello di coerenza, potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile per intero. AWS KMS
Nota
La revoca di una sovvenzione non elimina il permesso di supporto associato. Il permesso di assistenza rimane attivo, ma non è possibile firmare le relative autorizzazioni. Le sovvenzioni sono specifiche per ogni permesso di supporto. La creazione di un nuovo permesso di supporto con la stessa AWS KMS chiave non ripristina la capacità dell' Supporto AWS autorizzazione di utilizzare la chiave per il permesso di supporto originale.
Disabilitazione o eliminazione della chiave
È inoltre possibile disabilitare o pianificare l'eliminazione della AWS KMS chiave per impedire all' Supporto AWS autorizzazione di emettere autorizzazioni firmate. Tuttavia, ciò influisce su tutti gli usi della chiave, non solo Supporto AWS sull'autorizzazione.
Importante
Entrambe le cose AWS KMS e Supporto AWS l'autorizzazione alla fine sono coerenti. Dopo aver disabilitato o pianificato l'eliminazione di una chiave, possono essere necessari alcuni minuti prima che la modifica abbia effetto completo. Durante questo periodo, le autorizzazioni firmate potrebbero continuare a essere rilasciate utilizzando la chiave. Alla fine anche la revoca della sovvenzione è coerente.
Se disabiliti una chiave, puoi riattivarla nella AWS KMS console o chiamando. EnableKey Se elimini una chiave, non può essere recuperata.
Monitoraggio dell'utilizzo delle chiavi
Quando la AWS KMS chiave viene utilizzata per firmare un'autorizzazione, AWS CloudTrail registra l'operazione di firma nella cronologia degli eventi della chiave. È possibile utilizzare questi eventi per verificare quando e con quale frequenza le autorizzazioni vengono firmate per conto dell'utente.