Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Resource-based Richtlinien für AWS Zahlungskryptografie
Resource-based Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anhängen, z. B. einen AWS Payment Cryptography Key. In einer ressourcenbasierten Richtlinie geben Sie an, wer auf den Schlüssel zugreifen kann und welche Aktionen mit ihm ausgeführt werden können. Sie können ressourcenbasierte Richtlinien für Folgendes verwenden:
-
Gewähren Sie mehreren Benutzern und Rollen Zugriff auf einen einzelnen Schlüssel.
-
Gewähren Sie Benutzern oder Rollen in anderen AWS Konten Zugriff.
Themen
Wenn Sie einem AWS Payment Cryptography Key eine ressourcenbasierte Richtlinie zuordnen, AWS verwendet Payment Cryptography die Bewertungslogik der IAM-Richtlinie, um zu ermitteln, ob ein bestimmter Principal berechtigt ist, die angeforderte Aktion auszuführen. Um den kontoübergreifenden Zugriff zu ermöglichen, können Sie in einer ressourcenbasierten Richtlinie ein ganzes Konto oder IAM-Entitäten in einem anderen Konto als Principal angeben. Cross-account Für den Zugriff sind zwei Richtlinien erforderlich:
-
Resource-based Richtlinie (Konto des Schlüsselbesitzers) — Der Schlüsselinhaber gewährt
PutResourcePolicydamit Zugriff auf das Konto oder den IAM-Principal des Anrufers. -
Identity-based Richtlinie (Konto des Anrufers) — Der IAM-Administrator des Anrufers muss in der IAM-Richtlinie des Anrufers auch die Aktion „ AWS Zahlungskryptografie“ zulassen (z. B.
payment-cryptography:EncryptData).
Beide Richtlinien müssen die Aktion zulassen. Fehlt eine der beiden Optionen, wird die kontoübergreifende Anfrage mit AccessDeniedException abgelehnt.
Wenn eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Unterschiede zwischen IAM-Rollen und Resource-based Richtlinien.
Betrieb der Kontrollebene für Ressourcenrichtlinien
Resource-based Richtlinien gelten nicht für Operationen auf der Kontrollebene für Ressourcenrichtlinien wie PutResourcePolicyGetResourcePolicy, und DeleteResourcePolicy. Dadurch werden mögliche Aussperrungsszenarien vermieden, in denen eine Ressourcenrichtlinie die Möglichkeit verweigern könnte, die Richtlinie selbst zu ändern oder zu entfernen. Der Zugriff auf diese Vorgänge auf der Kontrollebene wird ausschließlich durch identitätsbasierte IAM-Richtlinien geregelt.
Überlegungen
Beachten Sie Folgendes, wenn Sie ressourcenbasierte Richtlinien mit Payment Cryptography verwenden. AWS
-
AWS Zahlungskryptografie erzwingt automatisch, dass kein öffentlicher Zugriff auf Schlüssel möglich ist. Sie können keine ressourcenbasierte Richtlinie erstellen, die anonymen oder öffentlichen Prinzipalen Zugriff gewährt. Jeglicher Zugriff auf AWS Payment Cryptography Keys erfordert authentifizierte AWS Principals, und der öffentliche Zugriff ist immer gesperrt.
-
Resource-based Richtlinien werden pro Schlüssel angewendet. Jedem AWS Payment Cryptography Key kann maximal eine ressourcenbasierte Richtlinie zugeordnet werden.
-
Resource-based Richtlinien gelten nicht für Aliase. Wenn Sie anhand seines Alias auf einen Schlüssel verweisen, wird die dem zugrunde liegenden Schlüssel zugeordnete Ressourcenrichtlinie ausgewertet.
-
Resource-based Richtlinien gelten derzeit nicht für schreibgeschützte Replica-Regionsschlüssel, die mithilfe der Multi-Region Schlüsselreplikation erstellt wurden. Ressourcenrichtlinien können nur an den Schlüssel für die primäre Region angehängt werden.
-
Das
ResourceElement in einer ressourcenbasierten Richtlinie muss dem ARN des Schlüssels entsprechen, an den die Richtlinie angehängt ist,"*"oder genau diesem entsprechen. Die Verwendung"*"wird empfohlen, da damit dasselbe Richtliniendokument für mehrere Schlüssel wiederverwendet werden kann. -
Die APIs (
PutResourcePolicyGetResourcePolicy, undDeleteResourcePolicy) zur Verwaltung von Ressourcenrichtlinien sind auf die Person beschränkt AWS-Konto , die den Schlüssel besitzt. Nur Prinzipale innerhalb des Kontos des Schlüsselbesitzers können Ressourcenrichtlinien verwalten.
Verwaltung ressourcenbasierter Richtlinien
Sie können ressourcenbasierte Richtlinien für AWS Payment Cryptography Keys mithilfe der API oder verwalten. AWS CLI AWS
Um diesen Befehl zu verwenden, ersetzen Sie den Befehl italicized placeholder text im Beispiel durch Ihre eigenen Informationen.
Hängen Sie eine ressourcenbasierte Richtlinie an
Verwenden Sie die PutResourcePolicyAPI-Aktion oder den put-resource-policyCLI-Befehl, um eine ressourcenbasierte Richtlinie an einen Schlüssel anzuhängen. Wenn eine Richtlinie bereits vorhanden ist, wird sie durch den Befehl ersetzt.
Im folgenden Beispiel wird eine ressourcenbasierte Richtlinie aus einer JSON-Datei an einen Schlüssel angehängt.
aws payment-cryptography put-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h\ --policy file://policy.json
Rufen Sie eine ressourcenbasierte Richtlinie ab
Verwenden Sie die GetResourcePolicyAPI-Aktion oder den get-resource-policyCLI-Befehl, um die ressourcenbasierte Richtlinie abzurufen, die einem Schlüssel zugeordnet ist.
Im folgenden Beispiel wird die ressourcenbasierte Richtlinie abgerufen, die einem Schlüssel zugeordnet ist.
aws payment-cryptography get-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
Die Antwort gibt das Richtliniendokument zurück:
{ "Policy": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData" ], "Resource": "*" } ] } }
Löschen Sie eine ressourcenbasierte Richtlinie
Verwenden Sie die DeleteResourcePolicyAPI-Aktion oder den delete-resource-policyCLI-Befehl, um die ressourcenbasierte Richtlinie aus einem Schlüssel zu entfernen.
Im folgenden Beispiel wird die ressourcenbasierte Richtlinie gelöscht, die einem Schlüssel zugeordnet ist.
aws payment-cryptography delete-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
Resource-based Beispiele für Richtlinien
Gewähren Sie kontoübergreifenden Zugriff auf einen Schlüssel
Die folgende ressourcenbasierte Richtlinie gewährt einer Rolle in einem anderen AWS Konto die Erlaubnis, einen AWS Zahlungskryptografie-Schlüssel für kryptografische Operationen zu verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "payment-cryptography:GenerateCardValidationData", "payment-cryptography:VerifyCardValidationData" ], "Resource": "*" } ] }
Erteilen Sie verschiedenen Konten unterschiedliche Berechtigungen
Die folgende ressourcenbasierte Richtlinie zeigt, wie Prinzipalen in separaten Konten unterschiedliche Berechtigungen erteilt werden können. In diesem Beispiel kann ein 3DS Access Control Server (ACS) in einem Konto Kartenvalidierungsdaten generieren, während ein Zahlungsautorisierungsdienst in einem anderen Konto nur 3DS-Kryptogramme validieren kann.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow3DSACSToGenerate", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/3dsAcsRole" }, "Action": [ "payment-cryptography:GenerateCardValidationData" ], "Resource": "*" }, { "Sid": "AllowPaymentAuthToVerify", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:role/PaymentAuthRole" }, "Action": [ "payment-cryptography:VerifyAuthRequestCryptogram" ], "Resource": "*" } ] }
