Consideraciones Administrar las políticas basadas en los recursos Resource-based ejemplos de políticas

Resource-based políticas de criptografía de pagos AWS

Resource-based las políticas son documentos de política de JSON que se adjuntan a un recurso, como una clave de criptografía de AWS pagos. En una política basada en recursos, se especifica quién puede acceder a la clave y las acciones que puede realizar en ella. Puede utilizar políticas basadas en recursos para:

Conceda acceso a una sola clave a varios usuarios y roles.
Conceda acceso a los usuarios o roles de otras AWS cuentas.

Temas

Consideraciones
Administrar las políticas basadas en los recursos
Resource-based ejemplos de políticas

Al adjuntar una política basada en recursos a una clave de criptografía de AWS pagos, la criptografía de AWS pagos utiliza la lógica de evaluación de políticas de IAM para determinar si un mandante determinado está autorizado a realizar la acción solicitada. Para habilitar el acceso entre cuentas, puede especificar una cuenta completa o entidades de IAM de otra cuenta como principal en una política basada en recursos. Cross-account el acceso requiere dos políticas:

Resource-based política (cuenta del propietario de la clave): el propietario de la clave utiliza PutResourcePolicy para conceder el acceso a la cuenta de la persona que llama o al director de IAM.
Identity-based política (cuenta de la persona que llama): el administrador de IAM de la persona que llama también debe permitir la acción de criptografía de AWS pagos (por ejemplopayment-cryptography:EncryptData) en la política de IAM de la persona que llama.

Ambas políticas deben permitir la acción. Si falta alguna de ellas, se deniega la solicitud de varias cuentas. AccessDeniedException

Si una política basada en los recursos permite el acceso a un principal de la misma cuenta, no se requiere ninguna política adicional basada en la identidad. Para obtener más información, consulte en qué se diferencian las funciones de IAM de Resource-based las políticas en la Guía del usuario de IAM.

Política de recursos: operaciones del plano de control

Resource-based las políticas no se aplican a las operaciones del plano de control de la política de recursos PutResourcePolicy, como GetResourcePolicy, y DeleteResourcePolicy. Esto evita posibles escenarios de bloqueo en los que una política de recursos pueda denegar la posibilidad de modificar o eliminar la propia política. El acceso a estas operaciones del plano de control se rige únicamente por las políticas de IAM basadas en la identidad.

Consideraciones

Tenga en cuenta lo siguiente cuando utilice políticas basadas en recursos con la criptografía de pagos. AWS

AWS La criptografía de pagos impide automáticamente el acceso público a las claves. No puede crear una política basada en recursos que conceda acceso a directores públicos o anónimos. Todo acceso a las claves AWS de criptografía de pagos requiere AWS directores autenticados, y el acceso público siempre está bloqueado.
Resource-based las políticas se aplican por clave. Cada clave AWS de criptografía de pagos puede tener como máximo una política basada en recursos adjunta.
Resource-based las políticas no se aplican a los alias. Cuando se hace referencia a una clave por su alias, se evalúa la política de recursos adjunta a la clave subyacente.
Resource-based Las políticas no se aplican a las claves de región de réplica de solo lectura creadas mediante Multi-Region la replicación de claves en este momento. Las políticas de recursos solo se pueden adjuntar a la clave de región principal.
El Resource elemento de una política basada en recursos debe ser "*" o coincidir exactamente con el ARN de la clave a la que se adjunta la política. Se "*" recomienda su uso porque permite reutilizar el mismo documento de política en varias claves.
Las API de administración de políticas de recursos (PutResourcePolicyGetResourcePolicy, yDeleteResourcePolicy) están restringidas al Cuenta de AWS propietario de la clave. Solo los directores de la cuenta del propietario de la clave pueden administrar las políticas de recursos.

Administrar las políticas basadas en los recursos

Puede administrar las políticas basadas en recursos para las claves de criptografía AWS de pagos mediante la API o. AWS CLI AWS Para usar este comando, sustituya el italicized placeholder text comando del ejemplo por su propia información.

Adjunte una política basada en recursos

Utilice la acción de la PutResourcePolicyAPI o el comando put-resource-policyCLI para adjuntar una política basada en recursos a una clave. Si ya existe una política, el comando la reemplaza.

En el siguiente ejemplo, se adjunta una política basada en recursos de un archivo JSON a una clave.


aws payment-cryptography put-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --policy file://policy.json

Recupera una política basada en recursos

Utilice la acción de la GetResourcePolicyAPI o el comando get-resource-policyCLI para recuperar la política basada en recursos adjunta a una clave.

En el siguiente ejemplo, se recupera la política basada en recursos adjunta a una clave.


aws payment-cryptography get-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

La respuesta devuelve el documento de política:


{
    "Policy": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
                },
                "Action": [
                    "payment-cryptography:EncryptData",
                    "payment-cryptography:DecryptData"
                ],
                "Resource": "*"
            }
        ]
    }
}

Eliminar una política basada en recursos

Utilice la acción de la DeleteResourcePolicyAPI o el comando delete-resource-policyCLI para eliminar la política basada en recursos de una clave.

En el siguiente ejemplo, se elimina la política basada en recursos adjunta a una clave.


aws payment-cryptography delete-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Resource-based ejemplos de políticas

Otorgue acceso multicuenta a una clave

La siguiente política basada en los recursos concede a un usuario de otra AWS cuenta el permiso para utilizar una clave de criptografía de AWS pagos en operaciones criptográficas.


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData",
                "payment-cryptography:VerifyCardValidationData"
            ],
            "Resource": "*"
        }
    ]
}

Otorga diferentes permisos a diferentes cuentas

La siguiente política basada en los recursos demuestra cómo conceder distintos permisos a los directores de cuentas distintas. En este ejemplo, un servidor de control de acceso (ACS) de una cuenta puede generar datos de validación de tarjetas, mientras que un servicio de autorización de pago de una cuenta diferente solo puede validar criptogramas de 3DS.


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "Allow3DSACSToGenerate",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/3dsAcsRole"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowPaymentAuthToVerify",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::444455556666:role/PaymentAuthRole"
            },
            "Action": [
                "payment-cryptography:VerifyAuthRequestCryptogram"
            ],
            "Resource": "*"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity-based ejemplos de políticas

Multi-party aprobación