Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Resource-based politiques relatives à la cryptographie des AWS paiements
Resource-based les politiques sont des documents de politique JSON que vous attachez à une ressource, comme une clé AWS de chiffrement des paiements. Dans une politique basée sur les ressources, vous spécifiez qui peut accéder à la clé et les actions qu'il peut effectuer sur celle-ci. Vous pouvez utiliser des stratégies basées sur une ressource pour :
-
Accordez l'accès à une clé unique à plusieurs utilisateurs et rôles.
-
Accordez l'accès à des utilisateurs ou à des rôles dans d'autres AWS comptes.
Rubriques
Lorsque vous associez une politique basée sur les ressources à une clé de chiffrement des AWS paiements, la cryptographie des AWS paiements utilise la logique d'évaluation de la politique IAM pour déterminer si un principal donné est autorisé à effectuer l'action demandée. Pour activer l'accès entre comptes, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte comme principal dans une politique basée sur les ressources. Cross-account l'accès nécessite deux politiques :
-
Resource-based politique (compte du propriétaire de la clé) — Le propriétaire de la clé utilise
PutResourcePolicypour accorder l'accès au compte de l'appelant ou au principal IAM. -
Identity-based politique (compte de l'appelant) — L'administrateur IAM de l'appelant doit également autoriser l'action de cryptographie des AWS paiements (par exemple,
payment-cryptography:EncryptData) dans la politique IAM de l'appelant.
Les deux politiques doivent autoriser l'action. Si l'un ou l'autre est manquant, la demande multi-comptes est refusée avecAccessDeniedException.
Si une politique basée sur les ressources accorde l'accès à un mandant du même compte, aucune politique supplémentaire basée sur l'identité n'est requise. Pour plus d'informations, consultez la section En quoi les rôles IAM diffèrent des Resource-based politiques dans le guide de l'utilisateur IAM.
Opérations du plan de contrôle des politiques de ressources
Resource-based les politiques ne s'appliquent pas aux opérations du plan de contrôle des politiques de ressources telles que PutResourcePolicyGetResourcePolicy, et DeleteResourcePolicy. Cela permet d'éviter les scénarios de verrouillage potentiels dans lesquels une politique de ressources pourrait refuser la possibilité de modifier ou de supprimer la politique elle-même. L'accès à ces opérations du plan de contrôle est régi uniquement par les politiques basées sur l'identité IAM.
Considérations
Gardez les points suivants à l'esprit lorsque vous utilisez des politiques basées sur les ressources avec AWS Payment Cryptography.
-
AWS La cryptographie des paiements n'impose automatiquement aucun accès public aux clés. Vous ne pouvez pas créer de politique basée sur les ressources qui accorde l'accès à des personnes anonymes ou publiques. Tout accès aux clés AWS de cryptographie de paiement nécessite des AWS principes authentifiés, et l'accès public est toujours bloqué.
-
Resource-based les politiques sont appliquées par clé. Chaque clé AWS de cryptographie de paiement peut être associée à au plus une politique basée sur les ressources.
-
Resource-based les politiques ne s'appliquent pas aux alias. Lorsque vous référencez une clé par son alias, la politique de ressources attachée à la clé sous-jacente est évaluée.
-
Resource-based les politiques ne s'appliquent pas aux clés de région de réplication en lecture seule créées à l'aide de la réplication de Multi-Region clés pour le moment. Les politiques relatives aux ressources ne peuvent être associées qu'à la clé de région principale.
-
L'
Resourceélément d'une politique basée sur les ressources doit être"*"ou correspondre exactement à l'ARN de la clé à laquelle la politique est attachée. Son utilisation"*"est recommandée car elle permet de réutiliser le même document de politique sur plusieurs clés. -
Les API de gestion des politiques de ressources (
PutResourcePolicyGetResourcePolicy,, etDeleteResourcePolicy) sont limitées à Compte AWS celles qui possèdent la clé. Seuls les principaux titulaires du compte du propriétaire de la clé peuvent gérer les politiques relatives aux ressources.
Gestion des politiques basées sur les ressources
Vous pouvez gérer les politiques basées sur les ressources pour les clés de chiffrement des AWS paiements à l'aide de l' AWS CLI API or. AWS
Pour utiliser cette commande, remplacez celle italicized placeholder text de l'exemple par vos propres informations.
Joindre une politique basée sur les ressources
Utilisez l'action PutResourcePolicyAPI ou la commande put-resource-policyCLI pour associer une politique basée sur les ressources à une clé. Si une politique existe déjà, la commande la remplace.
L'exemple suivant associe une politique basée sur les ressources d'un fichier JSON à une clé.
aws payment-cryptography put-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h\ --policy file://policy.json
Récupérer une politique basée sur les ressources
Utilisez l'action GetResourcePolicyAPI ou la commande get-resource-policyCLI pour récupérer la politique basée sur les ressources attachée à une clé.
L'exemple suivant récupère la politique basée sur les ressources attachée à une clé.
aws payment-cryptography get-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
La réponse renvoie le document de politique :
{ "Policy": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData" ], "Resource": "*" } ] } }
Supprimer une politique basée sur les ressources
Utilisez l'action DeleteResourcePolicyAPI ou la commande delete-resource-policyCLI pour supprimer la politique basée sur les ressources d'une clé.
L'exemple suivant supprime la politique basée sur les ressources attachée à une clé.
aws payment-cryptography delete-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
Resource-based exemples de politiques
Accorder l'accès à une clé entre comptes
La politique basée sur les ressources suivante accorde à un rôle dans un autre AWS compte l'autorisation d'utiliser une clé de cryptographie AWS de paiement pour des opérations cryptographiques.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "payment-cryptography:GenerateCardValidationData", "payment-cryptography:VerifyCardValidationData" ], "Resource": "*" } ] }
Accorder différentes autorisations à différents comptes
La politique basée sur les ressources suivante montre comment accorder différentes autorisations aux principaux dans des comptes distincts. Dans cet exemple, un serveur de contrôle d'accès 3DS (ACS) d'un compte peut générer des données de validation de carte, tandis qu'un service d'autorisation de paiement d'un autre compte ne peut valider que les cryptogrammes 3DS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow3DSACSToGenerate", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/3dsAcsRole" }, "Action": [ "payment-cryptography:GenerateCardValidationData" ], "Resource": "*" }, { "Sid": "AllowPaymentAuthToVerify", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:role/PaymentAuthRole" }, "Action": [ "payment-cryptography:VerifyAuthRequestCryptogram" ], "Resource": "*" } ] }
