Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risorse di crittografia in Amazon Verified Permissions
Amazon Verified Permissions fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando chiavi AWS di crittografia proprietarie. Come ulteriore livello di protezione, Amazon Verified Permissions ti consente di crittografare i tuoi archivi di polizze utilizzando AWS Key Management Service (AWS KMS) chiave gestita dal cliente s (CMK). Questa funzionalità garantisce la protezione dei dati sensibili tramite la crittografia inattiva, che ti aiuta a:
-
Riduci l'onere operativo sull'applicazione per proteggere i dati sensibili
-
Mantieni il controllo su chi può vedere i dettagli delle tue politiche di autorizzazione tramite AWS KMS chiave gestita dal cliente i tuoi
-
Creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia
Le sezioni seguenti spiegano come configurare la crittografia per i nuovi archivi di policy e come gestire le chiavi di crittografia.
AWS KMS Tipi di chiave per le autorizzazioni Amazon Verified
Amazon Verified Permissions si integra con la gestione delle chiavi AWS KMS di crittografia utilizzate per i dati encrypting/decrypting dei clienti. Per maggiori informazioni sui tipi e gli stati delle chiavi, consulta Concetti di AWS Key Management Service nella Guida per gli sviluppatori di AWS KMS . Quando crei un nuovo archivio di politiche, puoi scegliere tra i seguenti tipi di AWS KMS chiave per crittografare i tuoi dati:
AWS Chiave di proprietà
Il tipo di crittografia predefinito. Amazon Verified Permissions possiede la chiave senza costi aggiuntivi e crittografa i dati delle risorse inattivi al momento della creazione. Non è richiesta alcuna configurazione aggiuntiva nel codice o nelle applicazioni dei dati utilizzando encrypt/decrypt la chiave di proprietà di Verified Permissions.
Chiave gestita dal cliente
Crei, possiedi e gestisci la chiave nel tuo AWS account. Hai il pieno controllo della AWS KMS chiave. AWS KMS si applicano costi per chiave gestita dal cliente s. Per maggiori informazioni, consulta la pagina Prezzi di AWS KMS
Quando si specifica un crittografiaggio chiave gestita dal cliente per risorse di primo livello (ad esempio, Policy Store), Verified Permissions crittografa la risorsa, così come le relative risorse secondarie, con quella chiave. Per crittografare un archivio di politiche utilizzando un chiave gestita dal cliente, è necessario concedere l'accesso alle autorizzazioni verificate nella politica chiave. Una politica chiave è una politica basata sulle risorse che alleghi alla tua per controllarne l' chiave gestita dal cliente accesso. Per ulteriori dettagli, consulta Autorizzazione all'uso della tua AWS KMS chiave per Amazon Verified Permissions.
Inoltre, per creare un policy store crittografato con a o per effettuare chiamate API a un policy store crittografato da a chiave gestita dal cliente, anche l'utente o il ruolo IAM che effettua la chiamata deve avere accesso alla chiave. chiave gestita dal cliente Se Verified Permissions non è in grado di accedere alla chiave, qualsiasi decisione di autorizzazione che coinvolge risorse crittografate da tale chiave potrebbe essere obsoleta o imprecisa. Se non hai accesso alla chiave, non sarai in grado di crittografare read/update/delete le risorse con quella chiave e qualsiasi chiamata di creazione per utilizzare la chiave per la crittografia avrà esito negativo.
Nota
La crittografia inattiva delle autorizzazioni verificate è disponibile in tutte le AWS regioni in cui sono disponibili le autorizzazioni verificate.
Importante
Una volta utilizzato chiave gestita dal cliente un Policy Store per crittografare un Policy Store, NON è POSSIBILE aggiornare la risorsa per utilizzare una chiave di crittografia diversa o rimuovere la chiave da tale Policy Store.
Utilizzo AWS KMS e chiavi dati con Amazon Verified Permissions
La funzionalità di crittografia a riposo di Amazon Verified Permissions utilizza una AWS KMS chiave e una gerarchia di chiavi dati per proteggere i dati delle risorse.
Nota
Amazon Verified Permissions supporta solo chiavi simmetriche AWS KMS . Non puoi utilizzare una AWS KMS chiave asimmetrica per crittografare le tue risorse Amazon Verified Permissions.
Utilizzo di chiavi possedute AWS
Amazon Verified Permissions crittografa tutte le risorse per impostazione predefinita con chiavi AWS di proprietà. Queste chiavi possono essere utilizzate gratuitamente e ruotano ogni anno per proteggere le risorse degli account. Non è necessario visualizzare, gestire, utilizzare o controllare queste chiavi, quindi non è necessaria alcuna azione per la protezione dei dati. Per ulteriori informazioni sulle chiavi di AWS proprietà, consulta le chiavi AWS possedute nella Guida per gli AWS KMS sviluppatori.
Utilizzo delle chiavi gestite dal cliente
La scelta di un chiave gestita dal cliente metodo per la crittografia offre i seguenti vantaggi:
-
È possibile creare e gestire la AWS KMS chiave, inclusa l'impostazione delle politiche e delle IAM politiche chiave per controllare l'accesso alla AWS KMS chiave. È possibile abilitare e disabilitare la AWS KMS chiave, abilitare e disabilitare la rotazione automatica dei tasti ed eliminare la AWS KMS chiave quando non è più in uso.
-
Puoi utilizzarne una chiave gestita dal cliente con materiale chiave importato o una chiave gestita dal cliente in un archivio chiavi personalizzato di tua proprietà e gestione.
-
Puoi controllare la crittografia e la decrittografia delle tue risorse Verified Permissions esaminando le chiamate dell'API Amazon Verified Permissions ai log. AWS KMS AWS CloudTrail
Affinché Amazon Verified Permissions utilizzi chiave gestita dal cliente i tuoi messaggi per encryption/decryption, you will need to add specific key policies to allow Amazon Verified Permissions to encrypt/decrypt risorse per tuo conto.
Autorizzazione all'uso della tua AWS KMS chiave per Amazon Verified Permissions
Amazon Verified Permissions richiede almeno le seguenti autorizzazioni su un: chiave gestita dal cliente
kms:Encryptkms:GenerateDataKeyWithoutPlaintextkms:DescribeKeykms:ReEncryptTokms:ReEncryptFromkms:Decrypt
Di seguito è riportato un esempio di politica chiave:
{ "Sid": "Enable AVP to use the KMS key for encrypting project J.A.K. policy resources", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*" }
Comprensione del contesto di origine
Il contesto di origine fornisce informazioni sul tentativo del chiamante di origine di eseguire AWS KMS azioni su una determinata chiave. Ciò impedisce la confusione o l'uso improprio dei dati crittografati associando il contesto alla fonte dei dati.
I clienti possono utilizzare il contesto di origine come condizioni aggiuntive per la loro politica chiave, ad esempio le seguenti dichiarazioni politiche chiave:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } } ] }
Questa politica chiave consente a Verified Permissions di effettuare AWS KMS chiamate per conto dell'utente, se l'account di origine è lo stesso dell'account in cui risiede la AWS KMS chiave. Questi valori devono essere verificabili quando si controllano i registri di AWS CloudTrail controllo per la chiave CMK. Per ulteriori informazioni sulle chiavi di AWS condizione globali, consulta Utilizzo aws:SourceArn delle chiavi di condizione o di condizione. aws:SourceAccount
Comprensione del contesto di crittografia
Il contesto di crittografia è un insieme di coppie chiave-valore che contengono dati autenticati aggiuntivi per i controlli di integrità della crittografia. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. Per decrittografare i dati, è necessario passare lo stesso contesto di crittografia.
Amazon Verified Permissions utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche e può essere verificato all'interno dei AWS CloudTrail log quando Verified Permissions effettua AWS KMS chiamate per tuo conto per i processi. encryption/decryption Per impostazione predefinita, Verified Permissions utilizza le seguenti coppie chiave-valore del contesto di crittografia per crittografare le risorse:
{ "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }
Amazon Verified Permissions ti consente anche di aggiungere un contesto di crittografia personalizzato come parte dei metadati aggiuntivi che desideri includere durante i processi. encryption/decryption Ciò significa che la tua politica chiave può essere più dettagliata nella concessione delle autorizzazioni, come nell'esempio seguente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
Questa politica chiave consente a Verified Permissions di effettuare AWS KMS chiamate per conto dell'utente, se la mappa del contesto di crittografia contiene una chiave aws:verifiedpermissions:policy-store-arn il cui valore segue il formato arn:aws:verifiedpermissions::111122223333:policy-store/* e contiene anche una coppia chiave-valore. "policy_owner": "Tim" Scopri come impostare Creazione di un archivio di policy crittografato un contesto di crittografia personalizzato.
Nota
È consigliabile che le politiche chiave con condizioni basate sul contesto di crittografia si riferiscano a un sottoinsieme della mappa del contesto di crittografia, anziché verificare ogni coppia chiave-valore. Il servizio e le sue dipendenze a monte possono aggiungere ulteriori coppie chiave-valore che non sono visibili all'utente e possono influire sull'accesso alle chiavi di Verified Permissions se la politica delle chiavi lo consente in base all'aspetto esatto della mappa del contesto di crittografia.
Comprensione kms: ViaService
La chiave kms:ViaService condizionale limita l'uso di una AWS KMS chiave alle richieste provenienti da AWS servizi specifici. Questa chiave condizionale si applica solo alle sessioni di accesso diretto (FAS). Per ulteriori informazioni sukms:ViaService, consulta kms: ViaService nella AWS KMS Developer Guide.
Ad esempio, la seguente dichiarazione politica chiave utilizza la chiave kms:ViaService condition per consentire l'utilizzo di chiave gestita dal clientea per le azioni specificate solo quando la richiesta proviene da Amazon Verified Permissions nella regione Stati Uniti orientali (Virginia settentrionale) per conto di. BrentRole
{ "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] } } }
Ciò è necessario affinché Verified Permissions sia in grado di trasmettere la tua identità, le tue autorizzazioni e gli attributi di sessione quando Verified Permissions invia una richiesta di crittografia/decrittografia per tuo AWS KMS conto. Per ulteriori informazioni sulle richieste FAS, consulta Forward Access Sessions nella Guida per l'utente.IAM
Politica AWS KMS chiave completa
Sulla base dei concetti delle sezioni precedenti, questo è un esempio di policy chiave che consentirà ad Amazon Verified Permissions di utilizzare una CMK per la crittografia/decrittografia:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim", "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] }, "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
avvertimento
Fai attenzione quando modifichi le politiche AWS KMS chiave per le chiavi già utilizzate da Amazon Verified Permissions. Sebbene Verified Permissions convalidi le autorizzazioni di crittografia e decrittografia quando configuri inizialmente una AWS KMS chiave durante la creazione di risorse di primo livello, non può verificare le successive modifiche alle politiche su richiesta. La rimozione inavvertitamente delle autorizzazioni necessarie potrebbe interrompere le decisioni di autorizzazione e i regolari flussi del servizio Verified Permissions. Per indicazioni sulla risoluzione degli errori comuni relativi a chiave gestita dal cliente s in Amazon Verified Permissions, consulta. Risolvi i problemi relativi alle chiavi gestite dai clienti in Amazon Verified Permissions
IAM Politiche necessarie per le risorse crittografate
I clienti che richiamano le autorizzazioni verificate tramite un IAM ruolo all'interno del proprio account dovranno assicurarsi che la IAM politica corrispondente disponga delle autorizzazioni appropriate per utilizzarle chiave gestita dal cliente per la crittografia e la decrittografia delle risorse.
Per creare archivi di policy crittografati da a chiave gestita dal cliente, la seguente IAM politica illustra le azioni minime necessarie e con Autorizzazioni verificate a tale scopo: AWS KMS
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:CreatePolicyStore", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
Nota
Per il recupero (operazioni Get* e List*) e l'eliminazione degli archivi di policy crittografati da a, non sono necessarie autorizzazioni aggiuntive. chiave gestita dal cliente
Per aggiornare un policy store crittografato da a chiave gestita dal cliente, recuperare (operazioni Get* e List*), aggiornare ed eliminare le risorse secondarie di un policy store crittografato da a, il seguente criterio illustra le azioni minime necessarie e con Autorizzazioni chiave gestita dal cliente verificate a IAM tal fine: AWS KMS
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt" ], "Resource": "*", "Effect": "Allow" } ] }
Come singola IAM policy, i clienti possono semplicemente aggiungere quanto segue alla propria policy relativa ai ruoli: IAM
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
Gestione degli archivi di policy crittografati
Gli archivi delle politiche sono il contenitore base che conterrà tutte le risorse relative alle politiche. Per ulteriori informazioni sugli archivi delle politiche e sulla gerarchia delle risorse per bambini, consulta gli archivi di policy di Amazon Verified Permissions nella Amazon Verified Permissions User Guide.
Quando crei un archivio di policy in Verified Permissions, puoi abilitare la crittografia inattiva utilizzando le chiavi. AWS KMS Ciò garantisce che:
-
Tutte le operazioni di lettura, aggiornamento ed eliminazione sugli archivi di policy e sulle relative risorse secondarie utilizzeranno i processi chiave gestita dal cliente di decrittografia forniti
-
Qualsiasi richiesta di decisione di autorizzazione (ad esempio IsAuthorized BatchIsAuthorized IsAuthorizedWithToken, ecc.) utilizzerà i processi di decrittografia forniti per la decrittografia chiave gestita dal cliente
Creazione di un archivio di policy crittografato
Prima di creare un archivio di policy crittografato, assicurati che su quello che chiave gestita dal cliente stai utilizzando siano impostate le istruzioni chiave appropriate per Amazon Verified Permissions per utilizzare la chiave per la crittografia/decrittografia. Scopri per quali autorizzazioni sono necessarie. Autorizzazione all'uso della tua AWS KMS chiave per Amazon Verified Permissions
Utilizzando AWS CLI:
aws verifiedpermissions create-policy-store --region us-east-1 --encryption-settings file://encrypted.json --validation-settings "{\"mode\": \"OFF\"}"
Dove encrypted.json assomiglia a:
{ "kmsEncryptionSettings": { "key": "arn:aws:kms:us-east-1:111122223333:key/12345678-90ab-cdef-ghij-klmnopqrstuv", "encryptionContext": { "<ENCRYPTION_CONTEXT_KEY_1>": "<ENCRYPTION_CONTEXT_VALUE_1>", "<ENCRYPTION_CONTEXT_KEY_2>": "<ENCRYPTION_CONTEXT_VALUE_2>", ... } } }
Assicurati di sostituire key con il tuo chiave gestita dal cliente ARN e di sostituire <ENCRYPTION_CONTEXT_KEY> e <ENCRYPTION_CONTEXT_VALUE> abbinare le coppie encryptionContext chiave-valore desiderate. encryptionContextpuò essere omesso completamente se non si desidera aggiungere coppie chiave-valore.
Importante
Non includere la coppia aws:verifiedpermissions:policy-store-arn chiave-valore nel contesto di crittografia personalizzato. Questa viene aggiunta automaticamente e causerà errori di convalida se fa parte delle coppie chiave-valore del contesto di crittografia personalizzato passate.
Per ulteriori informazioni sulla disponibilità di risorse secondarie APIs di un policy store, consulta Actions nella Amazon Verified Permissions API Reference Guide.
Nota
Se le risorse Amazon Verified Permissions AWS KMS chiave gestita dal cliente in uso vengono eliminate, disabilitate o inaccessibili a causa di una politica di AWS KMS chiave errata, la decrittografia delle risorse avrà esito negativo e quindi le decisioni di autorizzazione non saranno più valide. La perdita di accesso può essere temporanea (una politica chiave può essere corretta) o permanente (una chiave eliminata non può essere ripristinata) a seconda delle circostanze. Ti consigliamo di limitare l'accesso a operazioni critiche, come l'eliminazione o la disabilitazione della chiave. AWS KMS Inoltre, consigliamo alla tua organizzazione di impostare procedure di accesso AWS trasparenti per garantire che gli utenti privilegiati possano accedere AWS nell'improbabile eventualità che Amazon Verified Permissions non sia accessibile.
Monitoraggio dell'interazione delle autorizzazioni verificate da Amazon con AWS KMS
Puoi monitorare l'utilizzo del tuo chiave gestita dal cliente account da parte di Amazon Verified Permissions. AWS CloudTrail Ogni richiesta AWS KMS tramite Verified Permissions include il contesto di crittografia e l'ARN della chiave utilizzata ( chiave gestita dal cliente il tuo) nei parametri della richiesta:
Esempio di AWS CloudTrail registrazione per: GenerateDataKeyWithoutPlaintext
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKeyWithoutPlaintext", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_editor": "Janus" }, ... }, ... }
Esempio di voce di AWS CloudTrail registro perDecrypt:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:53:21Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_owner": "Elias" } }, ... }
Esempio di voce di AWS CloudTrail registro perReEncrypt:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "ReEncrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "sourceKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "destinationEncryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT", "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "sourceEncryptionContext": { "aws:verifiedpermissions:policy_store_arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT", ... }, ... }
Tieni presente che le voci di registro includono il invokedBy riferimento al principale di Amazon Verified Permissions e encryptionContext/sourceEncryptionContext/destinationEncryptionContext l'inclusione nella mappa. requestParameters
Esempio di immissione di AWS CloudTrail log per: DescribeKey
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx" }, ... }
Tieni presente che la voce di registro include il invokedBy riferimento al principale di Amazon Verified Permissions.
Per ulteriori informazioni sulle voci di AWS CloudTrail registro, consulta Understanding AWS CloudTrail events nella Guida per l'AWS CloudTrail utente.
Limitazioni
Questo argomento descrive le attuali limitazioni delle autorizzazioni verificate e l'utilizzo di chiave gestita dal cliente s per la crittografia delle risorse.
Una volta abilitata, non è possibile disabilitare la crittografia per un archivio di politiche
Dopo aver creato un policy store senza crittografia, non è possibile aggiornare il policy store in modo che venga crittografato da un chiave gestita dal cliente
Dopo aver revocato l'accesso tramite Autorizzazioni verificate a un archivio chiave gestita dal cliente di criteri crittografato esistente, è possibile che vengano prese decisioni di autorizzazione obsolete
Dopo aver creato un policy store con a chiave gestita dal cliente, non è possibile modificare i valori del contesto di crittografia personalizzato; si tratta di valori statici impostati durante la creazione dell'archivio delle politiche crittografato
Risolvi i problemi relativi alle chiavi gestite dai clienti in Amazon Verified Permissions
Questo argomento descrive gli errori chiave gestita dal cliente correlati più comuni che potresti riscontrare durante l'utilizzo di Amazon Verified Permissions e fornisce le procedure di risoluzione dei problemi per risolverli.
Accesso negato: problema di AWS KMS autorizzazione
Errore: «Il servizio o il chiamante non è autorizzato a utilizzare la AWS KMS chiave fornita, poiché la risorsa non esiste in questa regione, nessuna politica basata sulle risorse consente l'accesso o una politica basata sulle risorse nega esplicitamente l'accesso»
Ciò potrebbe significare che il servizio o il chiamante non dispongono delle autorizzazioni di kms:* azione richieste nella policy o nella IAM policy chiave oppure che la AWS KMS chiave a cui si fa riferimento non esiste o non esiste più.
Risoluzione dei problemi con: AWS CloudTrail
Cerca
kms.amazonaws.com.rproxy.govskope.caeventi in AWS CloudTrailCerca il nome dell'evento dell' AWS KMS operazione che è stata identificata come non consentita (ad esempio
DecryptReEncryptGenerateDataKeyWithoutPlaintext,DescribeKey,, ecc.)Controlla i
errorMessagecampierrorCodeeControlla
userIdentityper confermare quale preside ha tentato l'operazione
Per risolvere il problema, concedi all'utente o al IAM principale i permessi di accesso appropriati per l' AWS KMS operazione nella IAM policy e nella policy AWS KMS chiave. Per ulteriori informazioni, consulta Politica AWS KMS chiave completa.
Eccezione di convalida: configurazione chiave AWS KMS
Errore: «La AWS KMS chiave configurata non ha una configurazione valida»
Ciò significa che la chiave a cui si fa riferimento non può essere utilizzata dal servizio per la chiave gestita dal cliente crittografia a causa della sua configurazione corrente. I motivi possono includere che la chiave è disabilitata, la chiave ha un tipo non supportato EncryptionAlgorithm o la chiave ha un tipo non KeyUsage supportato.
Eccezione di limitazione: limiti di velocità AWS KMS
Errore: «Hai superato la velocità alla quale puoi chiamare» AWS KMS
Informazioni correlate
