Usar endpoints da VPC para controlar o acesso aos recursos do AWS KMS - AWS Key Management Service

Usar endpoints da VPC para controlar o acesso aos recursos do AWS KMS

É possível controlar o acesso a recursos e operações do AWS KMS quando a solicitação vem da VPC ou usa um endpoint da VPC. Para fazer isso, use uma das chaves de condição global a seguir em uma política de chave ou política do IAM.

  • Use a chave de condição aws:sourceVpce para conceder ou restringir o acesso com base no endpoint da VPC.

  • Use a chave de condição aws:sourceVpc para conceder ou restringir o acesso a uma VPC que hospedar o endpoint privado.

nota

Tome cuidado ao criar políticas de chaves e políticas do IAM com base no seu endpoint da VPC. Se uma declaração de política exigir que as solicitações sejam provenientes de uma VPC ou endpoint da VPC específico, as solicitações de serviços integrados da AWS que usam o AWS KMS em seu nome poderão falhar. Para obter ajuda, consulte Usar condições do endpoint da VPC em políticas com permissões do AWS KMS.

Além disso, a chave de condição aws:sourceIP não será efetiva se a solicitação vier de um endpoint da Amazon VPC. Para restringir solicitações a um endpoint da VPC, use as chaves de condições aws:sourceVpce ou aws:sourceVpc. Para obter mais informações, consulte Gerenciamento de identidade e acesso para VPC endpoints e serviços de VPC endpoint no Guia do AWS PrivateLink.

Você pode usar essas chaves de condição globais para controlar o acesso a AWS KMS keys (chaves do KMS), aliases e operações como CreateKey que não dependem de nenhum recurso específico.

Por exemplo, o exemplo de política de chave a seguir permite que um usuário execute algumas operações de criptografia com uma chave do KMS somente quando a solicitação usa o endpoint da VPC especificado. Quando um usuário faz uma solicitação para AWS KMS, o ID do endpoint da VPC na solicitação está comparado com a chave-valor de condição aws:sourceVpce na política. Se não coincidirem, a solicitação será negada.

Para usar uma política como essa, substitua o ID Conta da AWS de espaço reservado e os IDs de endpoint da VPC por valores válidos para a sua conta.

JSON
{
    "Id": "example-key-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableIAMpolicies",
            "Effect": "Allow",
            "Principal": {"AWS":["111122223333"]},
            "Action": ["kms:*"],
            "Resource": "*"
        },
        {
            "Sid": "Restrict usage to my VPC endpoint",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                "aws:sourceVpce": "vpce-1234abcdf5678c90a"
                }
            }
        }

    ]
}

Você também pode usar a chave de condição aws:sourceVpc para restringir o acesso às suas chaves do KMS com base na VPC no qual o endpoint da VPC reside.

O exemplo de política de chave a seguir permite comandos que gerenciam a chave do KMS somente quando eles são provenientes do vpc-12345678. Além disso, ele permite comandos que usam a chave do KMS para operações de criptografia somente quando eles são provenientes de vpc-2b2b2b2b. Você pode usar uma política como essa se uma aplicação é executada em uma VPC, mas você usa uma segunda VPC isolada para funções de gerenciamento.

Para usar uma política como essa, substitua o ID Conta da AWS de espaço reservado e os IDs de endpoint da VPC por valores válidos para a sua conta.

JSON
{
    "Id": "example-key-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAdministrativeActionsFromVPC",
            "Effect": "Allow",
            "Principal": {
                "AWS": "111122223333"
            },
            "Action": [
                "kms:Create*",
                "kms:Enable*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        },
        {
            "Sid": "AllowKeyUsageFromVPC2b2b2b2b",
            "Effect": "Allow",
            "Principal": {
                "AWS": "111122223333"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-2b2b2b2b"
                }
            }
        },
        {
            "Sid": "AllowReadActionsEverywhere",
            "Effect": "Allow",
            "Principal": {
                "AWS": "111122223333"
            },
            "Action": [
                "kms:Describe*",
                "kms:List*",
                "kms:Get*"
            ],
            "Resource": "*"
        }
    ]
}