控制对 Amazon CloudHSM 密钥库的访问权限 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

控制对 Amazon CloudHSM 密钥库的访问权限

您可以使用 IAM 策略来控制对 Amazon CloudHSM 密钥库和 Amazon CloudHSM 集群的访问权限。您可以使用密钥策略、IAM 策略和授权来控制对 Amazon CloudHSM 密钥库 Amazon KMS keys 中的的访问权限。我们建议您仅向用户、组和角色提供他们可能执行的任务所需的权限。

要支持您的 Amazon CloudHSM 密钥存储, Amazon KMS 需要获得有关您的 Amazon CloudHSM 集群信息的权限。它还需要权限才能创建将您的 Amazon CloudHSM 密钥库连接到其 Amazon CloudHSM 集群的网络基础架构。要获得这些权限, Amazon KMS 请在 Amazon Web Services 账户中创建AWSServiceRoleForKeyManagementServiceCustomKeyStores服务相关角色。有关更多信息,请参阅 授权 Amazon KMS 管理 Amazon CloudHSM 和 Amazon 资源 EC2

在设计 Amazon CloudHSM 密钥库时,请确保使用和管理密钥库的委托人仅拥有他们所需的权限。以下列表描述了 Amazon CloudHSM 密钥库管理员和用户所需的最低权限。

  • 创建和管理您的 Amazon CloudHSM 密钥库的委托人需要以下权限才能使用 Amazon CloudHSM 密钥存储库 API 操作。

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • 创建和管理与您的 Amazon CloudHSM 密钥库关联的 Amazon CloudHSM 集群的委托人需要获得创建和初始化 Amazon CloudHSM 集群的权限。这包括创建或使用亚马逊虚拟私有云 (VPC)、创建子网和创建亚马逊实例的权限。 EC2他们可能还需要创建 HSMs、删除和管理备份。有关所需权限的列表,请参阅《Amazon CloudHSM User Guide》中的 Identity and access management for Amazon CloudHSM

  • Amazon KMS keys 在您的 Amazon CloudHSM 密钥存储中创建和管理的委托人需要与在中创建和管理任何 KMS 密钥的 Amazon KMS用户相同的权限密钥存储中 KMS 密钥的默认 Amazon CloudHSM 密钥策略与中 KMS 密钥的默认密钥策略相同 Amazon KMS。基于属性的访问控制 (ABAC) 使用标签和别名来控制对 KMS 密钥的访问,也对密钥存储中的 KMS 密钥有效。 Amazon CloudHSM

  • 使用密钥库中的 KMS 密钥进行加密操作的委托人需要获得权限才能使用 KMS 密钥执行加密操作,例如 KMS: decrypt。 Amazon CloudHSM您可以在密钥策略或 IAM policy 中提供这些权限。但是,他们不需要任何其他权限即可在密钥库中使用 KMS Amazon CloudHSM 密钥。