Conceder permissões usando políticas do IAM;Ações da API para o AWS CloudHSM Chaves de condição do AWS CloudHSM Políticas predefinidas gerenciadas pela AWS para o AWS CloudHSM Políticas gerenciadas pelo cliente para o AWS CloudHSM

Gerenciamento de identidade e acesso para o AWS CloudHSM

A AWS usa credenciais de segurança para identificar você e conceder acesso aos recursos da AWS. É possível usar atributos do AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicações usem os recursos da AWS totalmente ou de forma limitada. É possível fazer isso sem compartilhar as credenciais de segurança.

Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar os recursos da AWS. Para permitir que um usuário do IAM acesse recursos, como um load balancer, e execute tarefas, você:

Criar uma política do IAM que conceda permissão ao usuário do IAM para usar os recursos específicos e ações de API de que ele precisa.
Anexar a política ao usuário do IAM ou ao grupo ao qual o usuário do IAM pertence.

Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.

Por exemplo, é possível usar o IAM para criar usuários e grupos na conta da AWS. Um usuário do IAM pode ser uma pessoa, um sistema ou um aplicativo. Em seguida, você concede permissões aos usuários e grupos para executar ações específicas nos recursos especificados usando uma política do IAM;.

Conceder permissões usando políticas do IAM;

Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.

A política do IAM é um documento JSON que consiste em uma ou mais instruções.

O exemplo da política do IAM a seguir permite que os usuários descrevam os backups do AWS CloudHSM no Leste dos EUA (Norte da Virgínia). Somente as solicitações descritas provenientes do Leste dos EUA (Norte da Virgínia) são permitidas.

Efeito: o efeito pode ser Allow ou Deny. Por padrão, os usuários do IAM não têm permissão para usar recursos e ações da API. Por isso, todas as solicitações são negadas. Uma permissão explícita substitui o padrão. Uma negação explícita substitui todas as permissões.
Ação: a ação é a ação de API específica para a qual você está concedendo ou negando permissão. Para obter mais informações sobre como especificar a ação, consulte Ações da API para o AWS CloudHSM.
Recurso: o recurso afetado pela ação. O AWS CloudHSM não oferece suporte a permissões no nível do recurso. É necessário usar o curinga * para especificar todos os recursos do AWS CloudHSM.
Condição: fica a seu critério usar as condições para controlar quando a política estará em vigor. Para obter mais informações, consulte Chaves de condição do AWS CloudHSM.

Para obter mais informações, consulte o Guia do usuário do IAM.

Ações da API para o AWS CloudHSM

No elemento Ação da instrução de política do IAM, é possível especificar qualquer ação da API oferecida pelo AWS CloudHSM. É necessário prefixar o nome da ação com a string em minúsculas cloudhsm:, conforme mostrado no exemplo a seguir.


"Action": "cloudhsm:DescribeClusters"

Para especificar várias ações em uma única instrução, coloque-as entre colchetes e separe-as com vírgula, como mostrado no exemplo a seguir.


"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

Você também pode especificar várias ações usando o caractere curinga *. O exemplo a seguir especifica todos os nomes de ação da API para AWS CloudHSM que começam com List.


"Action": "cloudhsm:List*"

Para especificar todas as ações da API para o AWS CloudHSM, use o curinga * conforme mostrado no exemplo a seguir.


"Action": "cloudhsm:*"

Para obter a lista de ações da API para o AWS CloudHSM, consulte Ações do AWS CloudHSM.

Chaves de condição do AWS CloudHSM

Ao criar uma política, você pode especificar as condições que controlam quando a política está em vigor. Cada condição contém um ou mais pares de chave-valor. Há chaves de condição global e chaves de condição específicas do serviço.

O AWS CloudHSM não tem chaves de contexto específicas do serviço.

Para obter mais informações sobre chaves de condição global, consulte Chaves de contexto de condição global da AWS no Guia de usuário da IAM.

Políticas predefinidas gerenciadas pela AWS para o AWS CloudHSM

As políticas gerenciadas criadas pela AWS concedem as permissões necessárias para casos de uso comuns. É possível anexar essas políticas aos usuários do IAM de acordo com o acesso de que eles precisam no AWS CloudHSM:

AWSCloudHSMFullAccess: concede o acesso total necessário para usar atributos do AWS CloudHSM.
AWSCloudHSMReadOnlyAccess: concede o acesso somente leitura a atributos do AWS CloudHSM.

Políticas gerenciadas pelo cliente para o AWS CloudHSM

Recomendamos que você crie um grupo de administradores do IAM AWS CloudHSM para o que contenha apenas as permissões necessárias para executar o AWS CloudHSM. Anexe a política com as permissões apropriadas a este grupo. Adicione usuários do IAM; ao grupo, conforme necessário. Cada usuário que você adicionar herda a política do grupo de administradores.

Além disso, recomendamos criar grupos de usuários adicionais de acordo com as permissões que seus usuários precisam. Isso garante que somente usuários confiáveis tenham acesso a ações críticas da API. Por exemplo, é possível criar um grupo de usuários que você usa para conceder acesso somente leitura a clusters e HSMs. Como esse grupo não permite que um usuário exclua clusters ou HSMs, um usuário não confiável não pode afetar a disponibilidade de uma workload de produção.

À medida que novos atributos de gerenciamento do AWS CloudHSM são adicionados ao longo do tempo, você pode garantir que apenas usuários confiáveis recebam acesso imediato. Ao atribuir permissões limitadas a políticas na criação, você poderá atribuir manualmente novas permissões de atributo posteriormente.

Os seguintes são exemplos de políticas para o AWS CloudHSM. Para obter informações sobre como criar uma política e anexá-la a um grupo de usuários do IAM, consulte Criar políticas na guia JSON no Guia usuário do IAM.

exemplo
Exemplo: permissões somente leitura

Esta política permite o acesso às ações da API DescribeClusters e DescribeBackups. Ela também inclui permissões adicionais para ações da API específicas do Amazon EC2 API. Ela não permite que o usuário exclua clusters ou HSMs.

exemplo
Exemplo: permissões de usuário avançado

Esta política permite o acesso a um subconjunto das ações da API do AWS CloudHSM. Ela também inclui permissões adicionais para ações específicas do Amazon EC2. Ela não permite que o usuário exclua clusters ou HSMs. É necessário incluir a ação iam:CreateServiceLinkedRole para permitir que o AWS CloudHSM crie automaticamente a função vinculada ao serviço AWSServiceRoleForCloudHSM na sua conta. Essa função permite que o AWS CloudHSM registre eventos. Para obter mais informações, consulte Funções vinculadas ao serviço para o AWS CloudHSM.

nota

Para permissões específicas por API, consulte a tabela de Ações, recursos e chaves de condição do AWS CloudHSM na Referência de autorização do serviço.

exemplo
Exemplo: permissões de administrador

Esta política permite o acesso a todas as ações da API do AWS CloudHSM, incluindo as ações para excluir HSMs e clusters. Ela também inclui permissões adicionais para ações específicas do Amazon EC2. É necessário incluir a ação iam:CreateServiceLinkedRole para permitir que o AWS CloudHSM crie automaticamente a função vinculada ao serviço AWSServiceRoleForCloudHSM na sua conta. Essa função permite que o AWS CloudHSM registre eventos. Para obter mais informações, consulte Funções vinculadas ao serviço para o AWS CloudHSM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Backups do cluster

Perfis vinculados a serviço