控制对 AWS CloudHSM 密钥存储的访问
您可以使用 IAM policy 控制对 AWS CloudHSM 密钥存储和 AWS CloudHSM 集群的访问。您可以使用密钥策略、IAM policy 和授权来控制对 AWS CloudHSM 密钥存储中的 AWS KMS keys 的访问。我们建议您仅向用户、组和角色提供他们可能执行的任务所需的权限。
为了支持您的 AWS CloudHSM 密钥存储,AWS KMS 需要获取有关您的 AWS CloudHSM 集群的信息的权限。它还需要创建将您的 AWS CloudHSM 密钥存储连接到其 AWS CloudHSM 集群的网络基础设施的权限。要获得这些权限,AWS KMS 会在您的 AWS 账户 中创建 AWSServiceRoleForKeyManagementServiceCustomKeyStores 服务相关角色。有关更多信息,请参阅 授权 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 资源。
在设计您的 AWS CloudHSM 密钥存储时,请确保使用和管理它的主体仅具有其所需的权限。以下列表描述了 AWS CloudHSM 密钥存储管理员和用户所需的最低权限。
-
创建和管理 AWS CloudHSM 密钥存储的主体需要以下权限才能使用 AWS CloudHSM 密钥存储 API 操作。
-
cloudhsm:DescribeClusters -
kms:CreateCustomKeyStore -
kms:ConnectCustomKeyStore -
kms:DeleteCustomKeyStore -
kms:DescribeCustomKeyStores -
kms:DisconnectCustomKeyStore -
kms:UpdateCustomKeyStore -
iam:CreateServiceLinkedRole
-
-
创建和管理与您的 AWS CloudHSM 密钥存储关联的 AWS CloudHSM 集群的主体需要创建和初始化 AWS CloudHSM 集群的权限。这包括创建或使用 Amazon 虚拟私有云(VPC)、创建子网和创建 Amazon EC2 实例所需的权限。他们可能还需要创建和删除 HSM 以及管理备份。有关所需权限的列表,请参阅《AWS CloudHSM User Guide》中的 Identity and access management for AWS CloudHSM。
-
在您的 AWS CloudHSM 密钥存储中创建和管理 AWS KMS keys 的主体需要具有与在 AWS KMS 中创建和管理任何 KMS 密钥的人员相同的权限。AWS CloudHSM 密钥存储中的 KMS 密钥的默认密钥策略与 AWS KMS 中的 KMS 密钥的默认密钥策略相同。基于属性的访问权限控制(ABAC)使用标签和别名来控制对 KMS 密钥的访问,对 AWS CloudHSM 密钥存储中的 KMS 密钥也有效。
-
使用 AWS CloudHSM 密钥存储中的 KMS 密钥进行加密操作的主体需要使用 KMS 密钥执行加密操作的权限,如 kms:Decrypt。您可以在密钥策略或 IAM policy 中提供这些权限。但是,他们无需任何额外权限即可在 AWS CloudHSM 密钥存储中使用 KMS 密钥。
