Controlar o acesso ao seu repositório de chaves do AWS CloudHSM - AWS Key Management Service

Controlar o acesso ao seu repositório de chaves do AWS CloudHSM

Você pode usar políticas do IAM para controlar o acesso ao seu armazenamento de chaves do AWS CloudHSM e ao cluster do AWS CloudHSM. Você pode usar políticas de chaves, políticas do IAM e concessões para controlar o acesso às AWS KMS keys no seu armazenamento de chaves do AWS CloudHSM. Recomendamos que você forneça aos usuários, grupos e funções apenas as permissões que precisam para as tarefas que possivelmente executarão.

Para oferecer suporte aos armazenamentos de chaves do AWS CloudHSM, o AWS KMS precisa de permissão para obter informações sobre seus clusters do AWS CloudHSM. Ele também precisa de permissão para criar a infraestrutura de rede que conecta seu armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM. Para obter essas permissões, o AWS KMS cria a função vinculada ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores na sua função vinculada ao serviço na sua Conta da AWS. Para obter mais informações, consulte Autorizar o AWS KMS a gerenciar recursos do AWS CloudHSM e do Amazon EC2.

Ao criar seu armazenamento de chaves do AWS CloudHSM, verifique se as entidades principais que usam e gerenciam têm apenas as permissões necessárias. A lista a seguir descreve as permissões mínimas necessárias para gerenciadores e usuários de armazenamento de chaves do AWS CloudHSM.

  • As entidades principais que criam e gerenciam o armazenamento de chaves do AWS CloudHSM precisam das seguintes permissões para usar as operações de API do armazenamento de chaves do AWS CloudHSM.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • As entidades principais que criam e gerenciam o cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM precisam de permissão para criar e inicializar um cluster do AWS CloudHSM. Isso inclui permissão para criar ou usar uma Amazon Virtual Private Cloud (VPC), criar sub-redes e criar uma instância do Amazon EC2. Também pode ser necessário criar e excluir HSMs, além de gerenciar backups. Para obter as listas das permissões necessárias, consulte Identity and access management for AWS CloudHSM (Gerenciamento de identidade e acesso para o ) no Guia do usuário do AWS CloudHSM.

  • As entidades principais que criam e gerenciam AWS KMS keys em seu armazenamento de chaves do AWS CloudHSM exigem as mesmas permissões que as que criam e gerenciam qualquer chave do KMS no AWS KMS. A política de chaves padrão para a chave do KMS em um armazenamento de chaves do AWS CloudHSM é idêntica à política de chaves padrão para chaves do KMS no AWS KMS. O controle de acesso por atributo (ABAC), que usa etiquetas e aliases para controlar o acesso a chaves do KMS, também é eficaz em chaves do KMS em armazenamentos de chaves do AWS CloudHSM.

  • As entidades principais que usam as chaves do KMS no seu armazenamento de chaves do AWS CloudHSM para operações de criptografia precisam de permissão para executar a operação de criptografia com as chaves do KMS, como kms:Decrypt. Você pode fornecer essas permissões em uma política de chaves, política do IAM. No entanto, elas não precisam de permissões adicionais para usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM.