Considerações Gerenciando políticas baseadas em recursos Resource-based exemplos de políticas

Resource-based políticas de criptografia AWS de pagamento

Resource-based políticas são documentos de política JSON que você anexa a um recurso, como uma chave de criptografia AWS de pagamento. Em uma política baseada em recursos, você especifica quem pode acessar a chave e as ações que eles podem executar nela. É possível usar políticas baseadas em recursos para:

Conceda acesso a uma única chave para vários usuários e funções.
Conceda acesso a usuários ou funções em outras AWS contas.

Tópicos

Considerações
Gerenciando políticas baseadas em recursos
Resource-based exemplos de políticas

Quando você anexa uma política baseada em recursos a uma chave de criptografia de AWS pagamento, a criptografia de AWS pagamento usa a lógica de avaliação da política do IAM para determinar se um determinado principal está autorizado a realizar a ação solicitada. Para habilitar o acesso entre contas, você pode especificar uma conta inteira ou entidades do IAM em outra conta como principal em uma política baseada em recursos. Cross-account o acesso requer duas políticas:

Resource-based política (conta do proprietário da chave) — O proprietário da chave usa PutResourcePolicy para conceder acesso à conta do chamador ou ao diretor do IAM.
Identity-based política (conta do chamador) — O administrador do IAM do chamador também deve permitir a ação de criptografia de AWS pagamento (por exemplo,payment-cryptography:EncryptData) na política do IAM do chamador.

Ambas as políticas devem permitir a ação. Se alguma delas estiver ausente, a solicitação entre contas será negada comAccessDeniedException.

Se uma política baseada em recursos conceder acesso a um principal na mesma conta, nenhuma política adicional baseada em identidade será necessária. Para obter mais informações, consulte Como as funções do IAM diferem das Resource-based políticas no Guia do usuário do IAM.

Operações do plano de controle de políticas de recursos

Resource-based as políticas não se aplicam às operações do plano de controle de políticas de recursos PutResourcePolicyGetResourcePolicy, como, DeleteResourcePolicye. Isso evita possíveis cenários de bloqueio em que uma política de recursos possa negar a capacidade de modificar ou remover a própria política. O acesso a essas operações do plano de controle é regido exclusivamente pelas políticas baseadas em identidade do IAM.

Considerações

Lembre-se do seguinte ao usar políticas baseadas em recursos com criptografia de AWS pagamento.

AWS A criptografia de pagamento não impõe automaticamente o acesso público às chaves. Você não pode criar uma política baseada em recursos que conceda acesso a diretores anônimos ou públicos. Todo acesso às chaves AWS de criptografia de pagamento requer AWS diretores autenticados, e o acesso público está sempre bloqueado.
Resource-based as políticas são aplicadas por chave. Cada chave AWS de criptografia de pagamento pode ter no máximo uma política baseada em recursos associada a ela.
Resource-based as políticas não se aplicam aos aliases. Quando você faz referência a uma chave por seu alias, a política de recursos anexada à chave subjacente é avaliada.
Resource-based as políticas não se aplicam às chaves de região de réplica somente para leitura criadas usando Multi-Region a replicação de chaves no momento. As políticas de recursos só podem ser anexadas à chave da Região Primária.
O Resource elemento em uma política baseada em recursos deve ser "*" ou corresponder exatamente ao ARN da chave à qual a política está anexada. "*"O uso é recomendado porque permite que o mesmo documento de política seja reutilizado em várias chaves.
As APIs de gerenciamento de políticas de recursos (PutResourcePolicyGetResourcePolicy,, eDeleteResourcePolicy) são restritas ao Conta da AWS proprietário da chave. Somente os diretores da conta do proprietário da chave podem gerenciar as políticas de recursos.

Gerenciando políticas baseadas em recursos

Você pode gerenciar políticas baseadas em recursos para chaves de criptografia AWS de pagamento usando a AWS CLI API ou. AWS Para usar esse comando, substitua o comando italicized placeholder text no exemplo por suas próprias informações.

Anexe uma política baseada em recursos

Use a ação da PutResourcePolicyAPI ou o comando da put-resource-policyCLI para anexar uma política baseada em recursos a uma chave. Se uma política já existir, o comando a substituirá.

O exemplo a seguir anexa uma política baseada em recursos de um arquivo JSON a uma chave.


aws payment-cryptography put-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --policy file://policy.json

Recupere uma política baseada em recursos

Use a ação da GetResourcePolicyAPI ou o comando da get-resource-policyCLI para recuperar a política baseada em recursos anexada a uma chave.

O exemplo a seguir recupera a política baseada em recursos anexada a uma chave.


aws payment-cryptography get-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

A resposta retorna o documento de política:


{
    "Policy": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
                },
                "Action": [
                    "payment-cryptography:EncryptData",
                    "payment-cryptography:DecryptData"
                ],
                "Resource": "*"
            }
        ]
    }
}

Excluir uma política baseada em recursos

Use a ação da DeleteResourcePolicyAPI ou o comando da delete-resource-policyCLI para remover a política baseada em recursos de uma chave.

O exemplo a seguir exclui a política baseada em recursos anexada a uma chave.


aws payment-cryptography delete-resource-policy \
    --resource-arn arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

Resource-based exemplos de políticas

Conceder acesso entre contas a uma chave

A política baseada em recursos a seguir concede a uma função em outra AWS conta permissão para usar uma chave de criptografia AWS de pagamento para operações criptográficas.


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData",
                "payment-cryptography:VerifyCardValidationData"
            ],
            "Resource": "*"
        }
    ]
}

Conceda permissões diferentes para contas diferentes

A política baseada em recursos a seguir demonstra como conceder permissões diferentes aos diretores em contas separadas. Neste exemplo, um 3DS Access Control Server (ACS) em uma conta pode gerar dados de validação de cartão, enquanto um serviço de autorização de pagamento em uma conta diferente só pode validar criptogramas 3DS.


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "Allow3DSACSToGenerate",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/3dsAcsRole"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowPaymentAuthToVerify",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::444455556666:role/PaymentAuthRole"
            },
            "Action": [
                "payment-cryptography:VerifyAuthRequestCryptogram"
            ],
            "Resource": "*"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Identity-based exemplos de políticas

Multi-party aprovação