本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 VPC 端點控制對 AWS KMS 資源的存取
當請求來自 VPC 或使用 VPC 端點時,您可以控制對 AWS KMS 資源和操作的存取。為此,請使用金鑰政策或 IAM 政策的下列其中一個全域條件索引鍵。
-
使用
aws:sourceVpce條件索引鍵,以根據 VPC 端點來授予或限制存取。 -
使用
aws:sourceVpc條件索引鍵,以根據託管私有端點的 VPC 來授予或限制存取。
注意
根據 VPC 端點建立金鑰政策和 IAM 政策時,請務必謹慎執行。如果政策陳述式要求請求來自特定 VPC 或 VPC 端點,則來自代表您使用 AWS KMS 資源之整合 AWS 服務的請求可能會失敗。如需協助,請參閱 在政策中使用 VPC 端點條件搭配 AWS KMS 許可。
此外,當請求來自 Amazon VPC 端點時,aws:sourceIP 條件索引鍵無效。若要限制對 VPC 端點的請求,請使用 aws:sourceVpce 或 aws:sourceVpc 條件金鑰。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的VPC 端點和 VPC 端點服務的身分與存取管理
您可以使用這些全域條件金鑰來控制對 AWS KMS keys (KMS 金鑰)、別名和 操作的存取,例如不依賴任何特定資源的 CreateKey。
例如,以下範例金鑰政策只在請求使用指定 VPC 端點時,才允許使用者執行某些密碼編譯操作。當使用者向 提出請求時 AWS KMS,請求中的 VPC 端點 ID 會與政策中的aws:sourceVpce條件索引鍵值進行比較。如果不相符,則會拒絕請求。
若要使用這類政策,請將預留位置 AWS 帳戶 ID 和 VPC 端點 IDs 取代為帳戶的有效值。
您也可以使用 aws:sourceVpc 條件索引鍵,以根據 VPC 端點所在的 VPC 來限制對 KMS 金鑰的存取權。
以下範例金鑰政策只在命令來自 vpc-12345678 時,才允許這些命令管理 KMS 金鑰。此外,它只在命令來自 vpc-2b2b2b2b 時,才允許命令將 KMS 金鑰用於密碼編譯操作。如果應用程式在一個 VPC 中執行,但您使用第二個隔離的 VPC 來執行管理功能,您可能會使用如下的政策。
若要使用這類政策,請將預留位置 AWS 帳戶 ID 和 VPC 端點 IDs 取代為帳戶的有效值。
