Utilizzo della condizione con indirizzo IP Utilizzo di VPC e delle condizioni di endpoint VPC Utilizzo degli IPv6 indirizzi nelle politiche chiave di IAM e KMS

AWS chiavi di condizione globali

AWS definisce le chiavi di condizione globali, un insieme di chiavi di condizioni politiche per tutti i AWS servizi che utilizzano IAM per il controllo degli accessi. AWS KMS supporta tutte le chiavi di condizione globali. È possibile utilizzarli nelle politiche AWS KMS chiave e nelle politiche IAM.

Ad esempio, puoi utilizzare la chiave aws: PrincipalArn global condition per consentire l'accesso a una AWS KMS key (chiave KMS) solo quando il principale nella richiesta è rappresentato dall'Amazon Resource Name (ARN) nel valore della chiave di condizione. Per supportare il controllo degli accessi basato sugli attributi (ABAC) in AWS KMS, puoi utilizzare la chiave di condizione globale aws:ResourceTag/tag-key in una policy IAM per consentire l'accesso alle chiavi KMS con un tag particolare.

Per evitare che un AWS servizio venga utilizzato come sostituto confuso in una policy in cui il principale è un responsabile del AWS servizio, puoi utilizzare le chiavi di condizione o global condition. aws:SourceArn aws:SourceAccount Per informazioni dettagliate, consultare Utilizzo delle chiavi di condizione aws:SourceArn o aws:SourceAccount.

Per informazioni sulle chiavi di condizione AWS globali, inclusi i tipi di richieste in cui sono disponibili, consulta AWS Global Condition Context Keys nella IAM User Guide. Per esempi di utilizzo delle chiavi di condizione globali nelle policy IAM, consulta Controllo dell'accesso alle richieste e Controllo delle chiavi di tag nella Guida per l'utente di IAM.

Negli argomenti seguenti vengono fornite linee guida speciali per l'utilizzo delle chiavi di condizione basate su indirizzi IP e endpoint VPC.

Argomenti

Utilizzo della condizione con indirizzo IP nelle policy con autorizzazioni AWS KMS
Utilizzo delle condizioni di endpoint VPC nelle policy con autorizzazioni AWS KMS
Utilizzo degli IPv6 indirizzi nelle politiche chiave di IAM e KMS

Utilizzo della condizione con indirizzo IP nelle policy con autorizzazioni AWS KMS

Puoi utilizzarli AWS KMS per proteggere i tuoi dati in un AWS servizio integrato. Tuttavia, fai attenzione quando specifichi gli operatori di condizione dell'indirizzo IP o la chiave di aws:SourceIp condizione nella stessa dichiarazione di politica che consente o nega l'accesso. AWS KMS Ad esempio, la politica in AWS: Denies Access to AWS Based on the Source IP limita AWS le azioni alle richieste provenienti dall'intervallo IP specificato.

Considera questo scenario:

Alleghi una policy come quella mostrata in AWS: Denies Access to AWS Based on the Source IP a un'identità IAM. Imposti il valore della chiave di condizione aws:SourceIp sull'intervallo di indirizzi IP per l'azienda dell'utente. A questa identità IAM sono associate altre policy che le consentono di utilizzare Amazon EBS EC2, Amazon e AWS KMS.
L'identità tenta di collegare un volume EBS crittografato a un' EC2 istanza. Questa operazione ha esito negativo con un errore di autorizzazione anche se l'utente ha l'autorizzazione a utilizzare tutti i servizi rilevanti.

La fase 2 non riesce perché la richiesta AWS KMS di decrittografia della chiave dati crittografata del volume proviene da un indirizzo IP associato all'infrastruttura Amazon EC2 . Per avere successo, la richiesta deve provenire dall'indirizzo IP dell'utente di origine. Poiché la politica della fase 1 nega esplicitamente tutte le richieste provenienti da indirizzi IP diversi da quelli specificati, ad Amazon EC2 viene negata l'autorizzazione a decrittografare la chiave dati crittografata del volume EBS.

Inoltre, la chiave di condizione aws:SourceIP non è efficace quando la richiesta proviene da un endpoint Amazon VPC. Per limitare le richieste a un endpoint VPC, incluso un endpoint VPC AWS KMS, utilizza aws:SourceVpce o le chiavi di condizione aws:SourceVpc. Per maggiori informazioni, consulta Endpoint VPC - Controllo dell'uso degli endpoint nella Guida per l'utente di Amazon VPC.

Utilizzo delle condizioni di endpoint VPC nelle policy con autorizzazioni AWS KMS

AWS KMS supporta gli endpoint Amazon Virtual Private Cloud (Amazon VPC) alimentati da. AWS PrivateLink Puoi utilizzare le seguenti chiavi di condizione globale nelle policy chiave e nelle policy IAM per controllare l'accesso alle AWS KMS risorse quando la richiesta proviene da un VPC o utilizza un endpoint VPC. Per informazioni dettagliate, consultare Usa gli endpoint VPC per controllare l'accesso alle risorse AWS KMS.

aws:SourceVpc limita l'accesso alle richieste dal VPC specificato.
aws:SourceVpce limita l'accesso alle richieste dall'endpoint VPC specificato.

Se utilizzi queste chiavi condizionali per controllare l'accesso alle chiavi KMS, potresti inavvertitamente negare l'accesso ai servizi che utilizzi per AWS tuo conto. AWS KMS

Fai attenzione a evitare una situazione come quella illustrata nell'esempio delle chiavi di condizione con indirizzo IP. Se limiti le richieste di una chiave KMS a un endpoint VPC o VPC, le chiamate AWS KMS da un servizio integrato, come Amazon S3 o Amazon EBS, potrebbero non riuscire. Questo può accadere anche se la richiesta dell'origine sostanzialmente proviene dal VPC o dall'endpoint VPC.

Utilizzo degli IPv6 indirizzi nelle politiche chiave di IAM e KMS

Prima di provare ad accedere a KMS tramite KMS IPv6, assicurati che tutte le chiavi e le politiche IAM contenenti restrizioni sugli indirizzi IP siano aggiornate per includere gli intervalli di IPv6 indirizzi. Le policy basate sugli IP che non vengono aggiornate per gestire IPv6 gli indirizzi possono far sì che i client perdano o ottengano erroneamente l'accesso quando iniziano a utilizzarli. IPv6 Per indicazioni generali sui controlli di accesso KMS, consulta. Accesso e autorizzazioni alle chiavi KMS Per maggiori informazioni su KMS e il supporto dual stack, consulta. Supporto per endpoint dual-stack

Importante

Queste dichiarazioni non consentono alcuna azione. Utilizza queste istruzioni in combinazione con altre istruzioni che consentono azioni specifiche.

La seguente dichiarazione nega esplicitamente l'accesso a tutte le autorizzazioni KMS per le richieste provenienti dall'intervallo di indirizzi. 192.0.2.* IPv4 A tutti gli indirizzi IP al di fuori di questo intervallo non vengono negate esplicitamente le autorizzazioni KMS. Poiché tutti IPv6 gli indirizzi non rientrano nell'intervallo negato, questa dichiarazione non nega esplicitamente le autorizzazioni KMS per alcun indirizzo. IPv6


{
     "Sid": "DenyKMSPermissions",
     "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24"
            ]
        }
    }
}

È possibile modificare l'Conditionelemento per negare sia gli intervalli di indirizzi IPv4 (192.0.2.0/24) che IPv6 (2001:db8:1234::/32), come mostrato nell'esempio seguente.


{
    "Sid": "DenyKMSPermissions",
    "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24",
                "2001:db8:1234::/32"
            ]
        }
    }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Chiavi di condizione

AWS KMS tasti di condizione