Необходимо предоставить разработчикам доступ к ключу Specifi c KMS, который принадлежит его проекту.

Question

Необходимо найти лучшее решение для приведенной ниже постановки проблемы: -

мои секреты и конфигурация зашифрованы через Sops Mozilla, и, допустим, команда Devops сделает это в первый раз, но команда DevOps сделает это. Не шифруйте конфигурацию постоянно для разработчика. Чтобы решить эту проблему, мы хотим предоставить доступ Разработчику, и когда мы думаем предоставить им доступ, нам нужно поставить безопасность на первое место. В настоящее время мы думаем о создании главного окна и предоставить доступ 2 избранным членам команды, у которых есть такой доступ. Но в соответствии с текущей ситуацией, если оба разработчика недоступны, нам нужно предоставить им доступ к третьему, и в конечном итоге в один прекрасный день все в команде получат тот доступ, который нам не нужен, мы хотим, чтобы мы не давали никакого другого доступа к разработчик, Означает, что он может играть только со своими ключами KMS, а не с другими доступными ключами KMS, которые ему не принадлежат. Возможно ли это?

Потому что, когда мы даем доступ к ресурсам KMS этому человеку, в конечном итоге все ключи доступ, который он имеет, который находится на портале KMS, поэтому для этого нам нужно предоставить разработчикам доступ к ключу KMS Specifi c, который принадлежит его проекту. Больше этого разрешения нет!

Answer 1

Один из способов ограничить доступ к ключам KMS для каждого пользователя (или разработчика) - использовать политики ключей для ваших клиентских главных ключей (CMK) в AWS KMS. В этой документации рассказывается, как можно использовать ключевые политики: https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

{
  "Sid": "Allow root account full access",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::444455556666:root"},
  "Action": "kms:*",
  "Resource": "*"
},
{
  "Sid": "Allow specific permissions to dev user",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::444455556666:user/dev1"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}    

Примечание : в ключевой политике вы используете * для ресурса. , что означает «этот CMK». Ключевая политика применяется только к CMK, к которому она прикреплена.