Autorizar o AWS KMS a gerenciar recursos do AWS CloudHSM e do Amazon EC2
Para oferecer suporte aos armazenamentos de chaves do AWS CloudHSM, o AWS KMS precisa de permissão para obter informações sobre seus clusters do AWS CloudHSM. Ele também precisa de permissão para criar a infraestrutura de rede que conecta seu armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM. Para obter essas permissões, o AWS KMS cria a função vinculada ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores na sua função vinculada ao serviço na sua Conta da AWS. Os usuários que criam armazenamentos de chaves do AWS CloudHSM devem ter a permissão iam:CreateServiceLinkedRole que permite criar perfis vinculados ao serviço.
Para ver detalhes sobre as atualizações da política gerenciada AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy, consulte Atualizações do AWS KMS para políticas gerenciadas pela AWS.
Tópicos
Sobre a função vinculada ao serviço do AWS KMS
Uma função vinculada ao serviço é uma função do IAM que oferece permissão a um serviço da AWS para chamar outros serviços da AWS em seu nome. Ela foi projetada para facilitar o uso dos recursos de vários serviços integrados da AWS sem a necessidade de criar e manter políticas complexas do IAM. Para obter mais informações, consulte Usar perfis vinculados ao serviço do AWS KMS.
Para repositórios de chaves do AWS CloudHSM, o AWS KMS cria o perfil vinculado ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores com a política AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy. Essa política concede as seguintes permissões à função:
-
cloudhsm:Describe*: detecta alterações no cluster do AWS CloudHSM que está anexado ao seu repositório de chaves personalizado.
-
ec2:CreateSecurityGroup: usado quando você conecta um repositório de chaves do AWS CloudHSM para criar o grupo de segurança que viabiliza o fluxo de tráfego de rede entre o AWS KMS e seu cluster do AWS CloudHSM.
-
ec2:AuthorizeSecurityGroupIngress: usado quando você conecta um repositório de chaves do AWS CloudHSM para permitir o acesso à rede diretamente do AWS KMS para a VPC que contém seu cluster do AWS CloudHSM.
-
ec2:CreateNetworkInterface: usado quando você conecta um repositório de chaves do AWS CloudHSM para criar a interface de rede usada para comunicação entre o AWS KMS e o cluster do AWS CloudHSM.
-
ec2:RevokeSecurityGroupEgress: usado quando você conecta um repositório de chaves do AWS CloudHSM para remover todas as regras de saída do grupo de segurança criado pelo AWS KMS.
-
ec2:DeleteSecurityGroup: usado quando você desconecta um repositório de chaves do AWS CloudHSM para excluir grupos de segurança que foram criados quando você conectou o repositório de chaves do AWS CloudHSM.
-
ec2:DescribeSecurityGroups: usado para monitorar alterações no grupo de segurança que o AWS KMS criou na VPC que contém seu cluster do AWS CloudHSM para que o AWS KMS possa fornecer mensagens de erro claras em caso de falhas.
-
ec2:DescribeVpcs: usado para monitorar alterações na VPC que contém seu cluster do AWS CloudHSM para que o AWS KMS possa fornecer mensagens de erro claras em caso de falhas.
-
ec2:DescribeNetworkAcls: usado para monitorar alterações nas ACLs de rede para a VPC que contém seu cluster do AWS CloudHSM, de modo que o AWS KMS possa fornecer mensagens de erro claras em caso de falhas.
-
ec2:DescribeNetworkInterfaces: usado para monitorar alterações nas interfaces de rede que o AWS KMS criou na VPC que contém seu cluster do AWS CloudHSM para que o AWS KMS possa fornecer mensagens de erro claras em caso de falhas.
Como a função vinculada ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores confia apenas em cks.kms.amazonaws.com, somente o AWS KMS pode assumir essa função vinculada ao serviço. Essa função está limitada às operações de que o AWS KMS precisa para visualizar seus clusters do AWS CloudHSM e conectar um armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM associado. Ele não concede permissões adicionais ao AWS KMS. Por exemplo, o AWS KMS não tem permissão para criar, gerenciar ou excluir clusters, HSMs ou backups do AWS CloudHSM.
Regiões
Como o recurso de armazenamento de chaves do AWS CloudHSM, o perfil AWSServiceRoleForKeyManagementServiceCustomKeyStores é compatível com todas as Regiões da AWS onde tanto o AWS KMS como o AWS CloudHSM estão disponíveis. Para obter uma lista das Regiões da AWS com suporte por cada serviço, consulte Endpoints e cotas do AWS Key Management Service e Endpoints e cotas do AWS CloudHSM em Referência geral da Amazon Web Services.
Para obter mais informações sobre como os serviços da AWS usam perfis vinculados a serviços, consulte Uso de perfis vinculados a serviço, no Guia do usuário do IAM.
Criar a função vinculada ao serviço
O AWS KMS cria automaticamente o perfil vinculado ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores em sua conta da Conta da AWS quando você cria um armazenamento de chaves do AWS CloudHSM, se o perfil ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente.
Editar a descrição de uma função vinculada ao serviço
Você não pode editar o nome da função ou as instruções da política na função vinculada ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores, mas pode editar a descrição da função. Para obter mais informações, consulte Editar um perfil vinculado ao serviço, no Guia do usuário do IAM.
Excluir a função vinculada ao serviço
O AWS KMS não exclui o perfil vinculado ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores de sua Conta da AWS, mesmo que você tenha excluído todos os seus armazenamentos de chaves do AWS CloudHSM. Embora não haja atualmente um procedimento para excluir o perfil vinculado ao serviço AWSServiceRoleForKeyManagementServiceCustomKeyStores, o AWS KMS não assume o perfil nem usa suas permissões, a menos que você tenha armazenamentos de chaves do AWS CloudHSM ativos.
