Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Resource-based politiche per la crittografia AWS dei pagamenti
Resource-based le politiche sono documenti di policy JSON che alleghi a una risorsa, come una chiave di crittografia dei pagamenti. AWS In una politica basata sulle risorse, si specifica chi può accedere alla chiave e le azioni che può eseguire su di essa. Le policy basate su risorse possono essere utilizzate per:
-
Concedi l'accesso a una singola chiave a più utenti e ruoli.
-
Concedi l'accesso a utenti o ruoli in altri AWS account.
Argomenti
Quando colleghi una policy basata sulle risorse a una chiave di crittografia dei AWS AWS pagamenti, Payment Cryptography utilizza la logica di valutazione delle policy IAM per determinare se una determinata entità è autorizzata a eseguire l'azione richiesta. Per abilitare l'accesso tra più account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse. Cross-account l'accesso richiede due politiche:
-
Resource-based policy (account del proprietario della chiave): il proprietario della chiave consente di
PutResourcePolicyconcedere l'accesso all'account del chiamante o al responsabile IAM. -
Identity-based policy (account del chiamante): l'amministratore IAM del chiamante deve inoltre consentire l'azione AWS Payment Cryptography (ad esempio,
payment-cryptography:EncryptData) nella policy IAM del chiamante.
Entrambe le politiche devono consentire l'azione. Se manca una delle due, la richiesta tra più account viene rifiutata conAccessDeniedException.
Se una politica basata sulle risorse consente l'accesso a un principale nello stesso account, non è richiesta alcuna politica aggiuntiva basata sull'identità. Per ulteriori informazioni, consulta In che modo i ruoli IAM differiscono dalle Resource-based politiche nella Guida per l'utente IAM.
Operazioni del piano di controllo delle politiche delle risorse
Resource-based i criteri non si applicano alle operazioni del piano di controllo delle politiche delle risorse come PutResourcePolicyGetResourcePolicy, e DeleteResourcePolicy. Ciò impedisce potenziali scenari di blocco in cui una politica delle risorse potrebbe negare la possibilità di modificare o rimuovere la politica stessa. L'accesso a queste operazioni del piano di controllo è regolato esclusivamente da policy basate sull'identità IAM.
Considerazioni
Tieni presente quanto segue quando utilizzi politiche basate sulle risorse con Payment Cryptography. AWS
-
AWS La crittografia dei pagamenti non impone automaticamente l'accesso pubblico alle chiavi. Non è possibile creare una politica basata sulle risorse che garantisca l'accesso a destinatari anonimi o pubblici. Tutti gli accessi alle chiavi AWS di crittografia dei pagamenti richiedono AWS numeri principali autenticati e l'accesso pubblico è sempre bloccato.
-
Resource-based le politiche vengono applicate per chiave. A ogni chiave AWS di crittografia dei pagamenti può essere associata al massimo una politica basata sulle risorse.
-
Resource-based le politiche non si applicano agli alias. Quando si fa riferimento a una chiave tramite il relativo alias, viene valutata la politica delle risorse associata alla chiave sottostante.
-
Resource-based le politiche non si applicano alle chiavi Replica Region di sola lettura create utilizzando Multi-Region la replica delle chiavi in questo momento. Le politiche relative alle risorse possono essere allegate solo alla chiave della regione primaria.
-
L'
Resourceelemento di una policy basata sulle risorse deve essere"*"o corrispondere esattamente all'ARN della chiave a cui è associata la policy. L'utilizzo"*"è consigliato perché consente di riutilizzare lo stesso documento di policy su più chiavi. -
Le API di gestione delle politiche delle risorse (
PutResourcePolicyGetResourcePolicy, eDeleteResourcePolicy) sono limitate a chi possiede Account AWS la chiave. Solo i responsabili all'interno dell'account del proprietario della chiave possono gestire le politiche relative alle risorse.
Gestione delle politiche basate sulle risorse
Puoi gestire le politiche basate sulle risorse per le chiavi di crittografia dei AWS pagamenti utilizzando l'API or. AWS CLI AWS
Per utilizzare questo comando, sostituisci il comando italicized placeholder text nell'esempio con le tue informazioni.
Allega una politica basata sulle risorse
Utilizza l'azione PutResourcePolicyAPI o il comando put-resource-policyCLI per allegare una policy basata sulle risorse a una chiave. Se una policy esiste già, il comando la sostituisce.
L'esempio seguente collega una politica basata sulle risorse da un file JSON a una chiave.
aws payment-cryptography put-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h\ --policy file://policy.json
Recupera una politica basata sulle risorse
Utilizza l'azione GetResourcePolicyAPI o il comando get-resource-policyCLI per recuperare la policy basata sulle risorse allegata a una chiave.
L'esempio seguente recupera la policy basata sulle risorse allegata a una chiave.
aws payment-cryptography get-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
La risposta restituisce il documento relativo alla politica:
{ "Policy": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "payment-cryptography:EncryptData", "payment-cryptography:DecryptData" ], "Resource": "*" } ] } }
Eliminare una politica basata sulle risorse
Utilizza l'azione DeleteResourcePolicyAPI o il comando delete-resource-policyCLI per rimuovere la policy basata sulle risorse da una chiave.
L'esempio seguente elimina la policy basata sulle risorse allegata a una chiave.
aws payment-cryptography delete-resource-policy \ --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
Resource-based esempi di politiche
Concedi l'accesso a una chiave su più account
La seguente politica basata sulle risorse concede a un ruolo in un altro AWS account l'autorizzazione a utilizzare una chiave di crittografia dei AWS pagamenti per operazioni crittografiche.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "payment-cryptography:GenerateCardValidationData", "payment-cryptography:VerifyCardValidationData" ], "Resource": "*" } ] }
Concedi autorizzazioni diverse a diversi account
La seguente politica basata sulle risorse mostra come concedere autorizzazioni diverse ai principali in account separati. In questo esempio, un 3DS Access Control Server (ACS) in un account può generare dati di convalida delle carte, mentre un servizio di autorizzazione dei pagamenti in un altro account può convalidare solo i crittogrammi 3DS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow3DSACSToGenerate", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/3dsAcsRole" }, "Action": [ "payment-cryptography:GenerateCardValidationData" ], "Resource": "*" }, { "Sid": "AllowPaymentAuthToVerify", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:role/PaymentAuthRole" }, "Action": [ "payment-cryptography:VerifyAuthRequestCryptogram" ], "Resource": "*" } ] }
