本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在加密的 EBS 卷中使用必需的 KMS 密钥策略 AWS 个
AWS PCS 使用与服务相关的角色将权限委托给其他 AWS 服务人。 AWS PCS 服务相关角色是预定义的,包括 AWS PCS 代表您呼叫他人所需的权限。 AWS 服务 预定义的权限还包括对您的客户托管密钥的访问权限 AWS 托管式密钥 ,但不包括对您的客户托管密钥的访问权限。
本主题介绍在您为 Amazon EBS 加密指定客户托管密钥时,如何设置启动实例所需的密钥策略。
注意
AWS PCS 不需要额外的授权即可使用默认权限 AWS 托管式密钥 来保护您账户中的加密卷。
概述
当 AWS PCS 启动实例时,您可以使用以下 AWS KMS keys 方法进行 Amazon EBS 加密:
在创建加密快照或指定加密卷的启动模板时,或者选择默认启用加密时,您可以配置客户托管密钥。
配置密钥策略
您的 KMS 密钥必须具有密钥策略,允许 AWS PCS 启动使用客户托管密钥加密的 Amazon EBS 卷的实例。
使用本页上的示例配置密钥策略,让 AWS PCS 可以访问您的客户托管密钥。您可以在创建密钥时或以后修改客户托管密钥的密钥策略。
密钥策略必须包含以下声明:
-
一种声明,允许
Principal元素中指定的 IAM 身份直接使用客户托管密钥。它包括对密钥执行 AWS KMSEncryptDecrypt、ReEncrypt*、GenerateDataKey*、和DescribeKey操作的权限。 -
一种语句,允许
Principal元素中指定的 IAM 身份使用该CreateGrant操作生成授权,这些授权将自己的一部分权限委托给与另一委托人 AWS KMS 或其他委托人集成的权限。 AWS 服务 这样,他们可以使用密钥代表您创建加密的资源。
在向密钥策略中添加新的政策声明时,请勿更改策略中的任何现有声明。
有关更多信息,请参阅:
-
命令参考中的 create-keyAWS CLI
-
命令参考中的 put-key-polic y AWS CLI
-
《AWS Key Management Service 开发人员指南》中的AWS Key Management Service
示例 1:允许访问客户托管密钥的关键策略部分
将以下政策声明添加到客户托管密钥的密钥策略中。将示例 ARN 替换为服务相关角色的 ARN。AWSServiceRoleForPCS此示例策略授予 AWS PCS 服务相关角色 (AWSServiceRoleForPCS) 使用客户托管密钥的权限。
{ "Sid": "Allow service-linked role use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }
示例 2:允许跨账户访问客户托管密钥的关键策略部分
如果您在与 AWS PCS 集群不同的账户中创建客户托管密钥,则必须将授权与密钥策略结合使用,以允许跨账户访问该密钥。
授予对密钥的访问权限
-
将以下政策声明添加到客户托管密钥的密钥策略中。将示例 ARN 替换为其他账户的 ARN。
111122223333替换为要在中 AWS 账户 创建 AWS PCS 集群的的实际账户 ID。这将允许您向指定账户中的 IAM 用户或角色授予使用下面的 CLI 命令为密钥创建授权的权限。默认情况下,用户无权访问密钥。{. "Sid": "Allow external account111122223333use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }{ "Sid": "Allow attachment of persistent resources in external account111122223333", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*" } -
使用您要在其中创建 AWS PCS 集群的账户创建授权,将相关权限委托给 AWS PCS 服务相关角色。的值
grantee-principal是服务相关角色的 ARN。的值key-id是密钥的 ARN。以下示例 create-grant CLI 命令为账户
AWSServiceRoleForPCS中指定的服务相关角色提供了在账户中使用客户托管密钥的111122223333权限。444455556666aws kms create-grant \ --regionus-west-2\ --key-idarn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d\ --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"注意
发出请求的用户必须拥有使用该
kms:CreateGrant操作的权限。以下示例 IAM 策略允许账户中的 IAM 身份(用户或角色)
111122223333为账户中的客户托管密钥创建授权444455556666。有关为不同 AWS 账户中的 KMS 密钥创建授权的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的 AWS KMS中的授权。
重要
指定为被授权者委托人的服务相关角色名称必须是现有角色的名称。创建授权后,为确保该授权允许 AWS PCS 使用指定的 KMS 密钥,请勿删除和重新创建服务相关角色。
在中编辑密钥策略 AWS KMS 控制台
之前部分中的示例仅显示如何向密钥策略添加语句,这只是更改密钥策略的一种方法。更改密钥策略的最简单方法是使用 AWS KMS 控制台的默认密钥策略视图,并将 IAM 身份(用户或角色)设为相应密钥策略的关键用户之一。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的使用 AWS 管理控制台 默认视图。
警告
控制台的默认视图策略声明包括对客户托管密钥执行 AWS KMS Revoke操作的权限。如果您撤销授予您账户中客户托管密钥 AWS 账户 访问权限的授权,则该用户将 AWS 账户 失去对加密数据和密钥的访问权限。
