本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授权 Amazon KMS 管理 Amazon CloudHSM 和 Amazon 资源 EC2
要支持您的 Amazon CloudHSM 密钥存储, Amazon KMS 需要获得有关您的 Amazon CloudHSM 集群信息的权限。它还需要权限才能创建将您的 Amazon CloudHSM 密钥库连接到其 Amazon CloudHSM 集群的网络基础架构。要获得这些权限, Amazon KMS 请在 Amazon Web Services 账户中创建AWSServiceRoleForKeyManagementServiceCustomKeyStores服务相关角色。创建 Amazon CloudHSM 密钥存储库的用户必须拥有允许他们创建服务相关角色的iam:CreateServiceLinkedRole权限。
要查看有关AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy托管策略更新的详细信息,请参阅Amazon KMSAmazon 托管策略的更新。
关于 Amazon KMS 服务相关角色
服务相关角色是一个 IAM 角色,它授予一项 Amazon 服务代表您调用其他 Amazon 服务的权限。它旨在让您更轻松地使用多种集成 Amazon 服务的功能,而无需创建和维护复杂的 IAM 策略。有关更多信息,请参阅 将服务相关角色用于 Amazon KMS。
对于 Amazon CloudHSM 密钥存储,使用AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy托管策略 Amazon KMS 创建AWSServiceRoleForKeyManagementServiceCustomKeyStores服务相关角色。此策略向该角色授予以下权限:
-
cloudhsm: describe* — 检测连接到您的自定义密钥存储 Amazon CloudHSM 库的集群中的更改。
-
ec2: CreateSecurityGroup — 在连接 Amazon CloudHSM 密钥存储库以创建安全组时使用,该组允许 Amazon CloudHSM 集群 Amazon KMS 之间的网络流量流动。
-
ec2: AuthorizeSecurityGroupIngress — 当您连接 Amazon CloudHSM 密钥存储以允许网络访问包含您的 Amazon CloudHSM 集群的 VPC 时使用。 Amazon KMS
-
ec2: CreateNetworkInterface — 在连接 Amazon CloudHSM 密钥库以创建用于 Amazon CloudHSM 集群 Amazon KMS 之间通信的网络接口时使用。
-
ec2: RevokeSecurityGroupEgress — 当您连接 Amazon CloudHSM 密钥存储库以从 Amazon KMS 创建的安全组中删除所有出站规则时使用。
-
ec2: DeleteSecurityGroup — 用于断开 Amazon CloudHSM 密钥存储的连接,以删除连接 Amazon CloudHSM 密钥库时创建的安全组。
-
ec2: DescribeSecurityGroups — 用于监控在包含您的 Amazon CloudHSM 集群的 VPC 中 Amazon KMS 创建的安全组中的更改,以便在出现故障时 Amazon KMS 可以提供清晰的错误消息。
-
ec2: DescribeVpcs — 用于监控包含您的 Amazon CloudHSM 集群的 VPC 中的更改, Amazon KMS 以便在出现故障时提供清晰的错误消息。
-
ec2: DescribeNetworkAcls — 用于监控包含您的 Amazon CloudHSM 集群的 VPC 的网络 ACLs变化, Amazon KMS 以便在出现故障时提供清晰的错误消息。
-
ec2: DescribeNetworkInterfaces — 用于监控在包含您的 Amazon CloudHSM 集群的 VPC 中 Amazon KMS 创建的网络接口的变化,以便在出现故障时 Amazon KMS 可以提供清晰的错误消息。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }
由于AWSServiceRoleForKeyManagementServiceCustomKeyStores服务相关角色仅受信任cks.kms.amazonaws.com,因此 Amazon KMS 只能担任此服务相关角色。此角色仅限于查看您的 Amazon CloudHSM 集群以及将 Amazon CloudHSM 密钥库连接到其关联 Amazon CloudHSM 集群 Amazon KMS 所需的操作。它不提供 Amazon KMS 任何其他权限。例如, Amazon KMS 无权创建、管理或删除您的 Amazon CloudHSM 集群或备份。 HSMs
区域
与 Amazon CloudHSM 密钥库功能一样,该AWSServiceRoleForKeyManagementServiceCustomKeyStores角色在所有可用 Amazon Web Services 区域 的地方 Amazon KMS Amazon CloudHSM 都受支持。有关每项服务支持的列表 Amazon Web Services 区域 ,请参阅中的Amazon Key Management Service 终端节点和配额以及Amazon CloudHSM 终端节点和配额Amazon Web Services 一般参考。
有关服务如何使用 Amazon 服务相关角色的更多信息,请参阅 IAM 用户指南中的使用服务相关角色。
创建服务相关角色
Amazon KMS 如果该角色AWSServiceRoleForKeyManagementServiceCustomKeyStores尚不存在,则在您创建 Amazon CloudHSM 密钥库 Amazon Web Services 账户 时会自动在中创建该角色。您无法直接创建或重新创建此服务相关角色。
编辑服务相关角色描述
您无法在AWSServiceRoleForKeyManagementServiceCustomKeyStores 服务相关角色中编辑角色名称或策略语句,但可以编辑角色描述。有关说明,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除服务相关角色
Amazon KMS Amazon Web Services 账户 即使您已经删除了所有 Amazon CloudHSM 密钥库,也不会从中删除AWSServiceRoleForKeyManagementServiceCustomKeyStores服务相关角色。尽管目前没有删除AWSServiceRoleForKeyManagementServiceCustomKeyStores服务相关角色的程序, Amazon KMS 但除非您有有效的 Amazon CloudHSM 密钥存储,否则不要代入该角色或使用其权限。