本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 控制對 AWS CloudHSM 金鑰存放區的存取 您可以使用 IAM 政策來控制對 AWS CloudHSM 金鑰存放區和 AWS CloudHSM 叢集的存取。您可以使用金鑰政策、IAM 政策和授權來控制對 AWS CloudHSM 金鑰存放區 AWS KMS keys 中 的存取。建議您只提供使用者、群組和角色可能執行的任務所需的許可給他們。 為了支援您的 AWS CloudHSM 金鑰存放區, AWS KMS 需要取得叢集相關資訊 AWS CloudHSM 的許可。它還需要許可,才能建立將金鑰存放區連接到其 AWS CloudHSM 叢集的網路基礎設施 AWS CloudHSM 。若要取得這些許可, 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色 AWS 帳戶。如需詳細資訊,請參閱[授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源](authorize-kms.md)。 設計您的 AWS CloudHSM 金鑰存放區時,請確定使用和管理金鑰存放區的委託人只有他們所需的許可。下列清單說明 AWS CloudHSM 金鑰存放區管理員和使用者所需的最低許可。 + 建立和管理 AWS CloudHSM 金鑰存放區的委託人需要下列許可才能使用 AWS CloudHSM 金鑰存放區 API 操作。 + `cloudhsm:DescribeClusters` + `kms:CreateCustomKeyStore` + `kms:ConnectCustomKeyStore` + `kms:DeleteCustomKeyStore` + `kms:DescribeCustomKeyStores` + `kms:DisconnectCustomKeyStore` + `kms:UpdateCustomKeyStore` + `iam:CreateServiceLinkedRole` + 建立和管理與您 AWS CloudHSM 金鑰存放區相關聯 AWS CloudHSM 叢集的委託人需要建立和初始化 AWS CloudHSM 叢集的許可。這包括要有許可來建立或使用 Amazon Virtual Private Cloud (VPC)、建立子網路,以及建立 Amazon EC2 執行個體。他們可能還需要建立和刪除 HSM,以及管理備份。如需必要許可的清單,請參閱《AWS CloudHSM 使用指南》中 [AWS CloudHSM的身分與存取管理](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html)**。 + 在 AWS CloudHSM 金鑰存放區 AWS KMS keys 中建立和管理的委託人需要與建立和管理任何 KMS 金鑰的委託人[相同的許可](create-keys.md#create-key-permissions) AWS KMS。金鑰存放區中 KMS [金鑰的預設金鑰政策](key-policy-default.md)與 中 KMS 金鑰的預設金鑰政策相同 AWS KMS。 AWS CloudHSM [屬性型存取控制](abac.md) (ABAC) 使用標籤和別名來控制對 KMS 金鑰的存取,也適用於 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。 + 在您的 AWS CloudHSM 金鑰存放區中使用 KMS 金鑰進行[密碼編譯操作](manage-cmk-keystore.md#use-cmk-keystore)的委託人需要許可,才能使用 KMS 金鑰執行密碼編譯操作,例如 [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)。您可以在金鑰政策或 IAM 政策中提供這些許可。但是,它們不需要任何額外的許可,即可在 金鑰存放區中使用 KMS AWS CloudHSM 金鑰。