Amazon KMS 授权的最佳实践 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon KMS 授权的最佳实践

Amazon KMS 建议在创建、使用和管理授权时使用以下最佳实践。

  • 将授权中的权限限制为被授权者委托人所需的权限。使用最小特权访问权限的原则。

  • 使用特定的被授权者委托人(如 IAM 角色),并授予被授权委托人仅使用他们所需的 API 操作的权限。

  • 使用加密上下文授权约束以确保调用方正在将 KMS 密钥用于预期目的。有关如何在请求中使用加密上下文以保护数据的详细信息,请参阅 Amazon 安全博客中的如何使用 Amazon Key Management Service 和 EncryptionContext 保护您的加密数据完整性

    提示

    尽可能使用 EncryptionContextEqual 授权约束。EncryptionContextSubset 授权约束更难以正确使用。如果您需要使用它,请仔细阅读文档并测试授权约束以确保它按预期工作。

  • 删除重复的授权。重复授权具有相同的密钥 ARN、API 操作、被授权者委托人、加密上下文和名称。如果您停用或撤销原始授予,但保留重复项授权,则剩余的重复授权将构成意外的权限提升。为了在重试 CreateGrant 请求时避免重复授权,请使用 Name 参数。要检测重复的授权,请使用 ListGrants 操作。如果您意外创建了重复授权,请尽快停用或撤销该授权。

    注意

    Amazon 托管密钥的授权可能看起来像重复授权,但具有不同的被授权者委托人。

    GranteePrincipal 响应中的 ListGrants 字段通常包含授权的被授权者委托人。但是,当授权中的被授权者委托人是 Amazon 服务时,GranteePrincipal 字段包含服务委托人,该委托人可能表示多个不同的被授权者委托人。

  • 请记住,授权不会自动过期。当权限不再需要时,立即停用或撤销授权。未删除的授权可能会对加密资源造成安全风险。