本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用标签控制对密钥的访问 您可以根据密钥上的标签控制对 AWS 支付密码的访问权限。例如,您可以编写 IAM policy,以允许主体仅启用和禁用具有特定标签的密钥。或者,您可以使用 IAM policy 防止主体在加密操作中使用密钥,除非密钥具有特定标签。 此功能是基于属性的访问控制 (ABAC) 的 AWS 支付密码学支持的一部分。有关使用标签控制 AWS 资源访问的信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 以及[使用 *IAM 用户指南*中的资源标签控制对资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)权限。 AWS AWS Payment Crypto [graph *y 支持 aws: ResourceTag /tag-*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) key 全局条件上下文密钥,它允许您根据密钥上的标签控制对密钥的访问权限。由于多个密钥可以具有相同的标签,此功能可使您将权限应用于一组选定的密钥。您还可以通过更改密钥的标签轻松更改集合中的 KMS 密钥。 在 AWS 支付密码学中,`aws:ResourceTag/tag-key`条件密钥仅在 IAM 策略中受支持。密钥策略(仅适用于一个密钥)或不使用特定密钥的操作(例如[ListKeys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListKeys.html)或[ListAliases](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListAliases.html)操作)不支持它。 使用标签控制访问提供了一种简单、可扩展且灵活的方式来管理权限。但是,如果设计和管理不当,它可能会无意中允许或拒绝对您的密钥的访问。如果您使用标签来控制访问,请考虑以下做法。 + 使用标签来强化[最低权限访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)的最佳实践。仅为 IAM 主体授予他们对必须使用或管理的密钥的所需权限。例如,使用标签来标记用于项目的密钥。然后授予项目团队仅使用带有项目标签的密钥的权限。 + 谨慎为主体提供 `payment-cryptography:TagResource` 和 `payment-cryptography:UntagResource` 权限,以允许他们添加、编辑和删除标签。当您使用标签控制对密钥的访问时,更改标签可以授予主体使用他们没有权限使用的密钥的权限。它还可以拒绝对其他主体执行其工作所需的密钥的访问。不具有更改密钥策略或创建授权权限的密钥管理员可以控制对密钥的访问,前提是他们有权管理标签。 如有可能,请使用策略条件,例如 `aws:RequestTag/tag-key` 或 `aws:TagKeys`,以[将主体的标记权限限制](tag-permissions.md#tag-permissions-conditions)为特定 密钥上的特定标签或标签模式。 + 查看您中当前拥有标记和取消标记权限 AWS 账户 的委托人,并在必要时对其进行调整。IAM policy 可能允许对所有密钥的标记和取消标记权限。例如,*管理员*托管策略允许主体标记、取消标记和列出所有密钥上的标签。 + 在设置依赖于标签的策略之前,请查看您的密钥上的标签 AWS 账户。请确保您的策略仅适用于您要包含的标签。使用[CloudTrail 日志](monitoring-cloudtrail.md)和 CloudWatch 警报提醒您注意可能影响密钥访问权限的标记更改。 + 基于标签的策略条件使用模式匹配;它们不绑定到标签的特定实例。使用基于标签的条件键的策略会影响与模式匹配的所有新标签和现有标签。如果删除并重新创建与策略条件匹配的标签,则该条件将应用于新标签,就像对旧标签一样。 例如,请考虑以下 IAM policy。它允许主体仅对您账户中位于美国东部(弗吉尼亚州北部)地区且带有 `"Project"="Alpha"` 标签的密钥调用 [Decrypt](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Decrypt.html) 操作。您可以将此策略附加到示例 Alpha 项目中的角色。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IAMPolicyWithResourceTag", "Effect": "Allow", "Action": [ "payment-cryptography:DecryptData" ], "Resource": "arn:aws:payment-cryptography:us-east-1:{{111122223333}}:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/Project": "Alpha" } } } ] } ``` ------ 以下示例 IAM policy 允许主体使用账户中的密钥执行特定加密操作。但它禁止主体对具有 `"Type"="Reserved"` 标签或不包含 `"Type"` 标签的密钥使用这些加密操作。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IAMAllowCryptographicOperations", "Effect": "Allow", "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData", "payment-cryptography:ReEncrypt*" ], "Resource": "arn:aws:payment-cryptography:*:{{111122223333}}:key/*" }, { "Sid": "IAMDenyOnTag", "Effect": "Deny", "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData", "payment-cryptography:ReEncrypt*" ], "Resource": "arn:aws:payment-cryptography:*:{{111122223333}}:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/Type": "Reserved" } } }, { "Sid": "IAMDenyNoTag", "Effect": "Deny", "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData", "payment-cryptography:ReEncrypt*" ], "Resource": "arn:aws:kms:*:{{111122223333}}:key/*", "Condition": { "Null": { "aws:ResourceTag/Type": "true" } } } ] } ``` ------