Erforderliche AWS KMS Schlüsselrichtlinie für die Verwendung mit verschlüsselten Volumes - Amazon EC2 Auto Scaling

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche AWS KMS Schlüsselrichtlinie für die Verwendung mit verschlüsselten Volumes

Amazon EC2 Auto Scaling verwendet serviceverknüpfte Rollen, um Berechtigungen an andere zu delegieren. AWS-Services Rollen, die mit dem Service von Amazon EC2 Auto Scaling verknüpft sind, sind vordefiniert und beinhalten Berechtigungen, die Amazon EC2 Auto Scaling benötigt, um andere in AWS-Services Ihrem Namen anzurufen. Die vordefinierten Berechtigungen beinhalten auch den Zugriff auf Ihre Von AWS verwaltete Schlüssel. Sie enthalten jedoch keinen Zugriff auf Ihre kundenverwalteten Schlüssel, sodass Sie die volle Kontrolle über diese Schlüssel behalten können.

In diesem Thema wird beschrieben, wie Sie die Schlüsselrichtlinie einrichten, die Sie zum Starten von Auto Scaling-Instances benötigen, wenn Sie einen kundenverwalteten Schlüssel für die Amazon EBS-Verschlüsselung angeben.

Anmerkung

Amazon EC2 Auto Scaling benötigt keine zusätzliche Autorisierung, um die Standardeinstellung Von AWS verwalteter Schlüssel zum Schutz der verschlüsselten Volumes in Ihrem Konto zu verwenden.

Übersicht

Folgendes AWS KMS keys kann für die Amazon EBS-Verschlüsselung verwendet werden, wenn Amazon EC2 Auto Scaling Instances startet:

  • Von AWS verwalteter Schlüssel— Ein Verschlüsselungsschlüssel in Ihrem Konto, das Amazon EBS erstellt, besitzt und verwaltet. Dies ist der Standardverschlüsselungsschlüssel für ein neues Konto. Der Von AWS verwalteter Schlüssel wird für die Verschlüsselung verwendet, sofern Sie keinen vom Kunden verwalteten Schlüssel angeben.

  • Vom Kunden verwalteter Schlüssel — Ein benutzerdefinierter Verschlüsselungsschlüssel, den Sie erstellen, besitzen und verwalten. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.

    Hinweis: Der Schlüssel muss symmetrisch sein. Amazon EBS unterstützt keine asymmetrischen vom Kunden verwalteten Schlüssel.

Sie konfigurieren kundenverwaltete Schlüssel, wenn Sie verschlüsselte Snapshots oder eine Startvorlage, die verschlüsselte Volumes angibt, erstellen oder wenn Sie die Verschlüsselung standardmäßig aktivieren.

Konfigurieren von Schlüsselrichtlinien

Ihre KMS-Schlüssel müssen über eine Schlüsselrichtlinie verfügen, die es Amazon EC2 Auto Scaling ermöglicht, Instances mit Amazon EBS-Volumes zu starten, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind.

Verwenden Sie die Beispiele auf dieser Seite, um eine Schlüsselrichtlinie zu konfigurieren, die Amazon EC2 Auto Scaling Zugriff auf Ihren vom Kunden verwalteten Schlüssel gewährt. Sie können die Schlüsselrichtlinie des kundenverwalteten Schlüssels entweder bei Erstellung des Schlüssels oder zu einem späteren Zeitpunkt ändern.

Sie müssen Ihrer wichtigsten Richtlinie mindestens zwei Richtlinienerklärungen hinzufügen, damit sie mit Amazon EC2 Auto Scaling funktioniert.

  • Die erste Anweisung ermöglicht, dass die im Principal-Element angegebene IAM-Identität den kundenverwalteten Schlüssel direkt verwendet. Sie umfasst Berechtigungen zur Ausführung der DescribeKey Operationen AWS KMS Encrypt DecryptReEncrypt*,GenerateDataKey*,, und für den Schlüssel.

  • Die zweite Anweisung ermöglicht es der im Principal Element angegebenen IAM-Identität, den CreateGrant Vorgang zum Generieren von Zuschüssen zu verwenden, die eine Teilmenge ihrer eigenen Berechtigungen an Personen delegieren AWS-Services , die in AWS KMS oder einen anderen Principal integriert sind. Auf diese Weise können sie den Schlüssel verwenden, um in Ihrem Namen verschlüsselte Ressourcen zu erstellen.

Ändern Sie beim Hinzufügen der neuen Richtlinienanweisungen zur Schlüsselrichtlinie keinen der vorhandenen Anweisungen in der Richtlinie.

Für jedes der folgenden Beispiele werden Argumente, die ersetzt werden müssen, wie z. B. eine Schlüssel-ID oder der Name einer dienstbezogenen Rolle, als angezeigt. user placeholder text In den meisten Fällen können Sie den Namen der serviceverknüpften Rolle durch den Namen einer serviceverknüpften Amazon EC2 Auto Scaling Scaling-Rolle ersetzen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Beispiel 1: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel erlauben

Fügen Sie der Schlüsselrichtlinie des kundenverwalteten Schlüssel die folgenden beiden Richtlinienanweisungen hinzu und ersetzen Sie dabei den Beispiel ARN durch den ARN der entsprechenden serviceverknüpften Rolle, der Zugriff auf den Schlüssel gewährt wird. In diesem Beispiel gewähren Richtlinienabschnitte der serviceverknüpften Rolle mit dem Namen AWSServiceRoleForAutoScaling Berechtigungen zur Verwendung des kundenverwalteten Schlüssel.

{ "Sid": "Allow service-linked role use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }

Beispiel 2: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel über mehrere Konten erlauben

Wenn Sie einen vom Kunden verwalteten Schlüssel in einem anderen Konto als der Auto-Scaling-Gruppe erstellen, müssen Sie eine Berechtigung in Kombination mit der Schlüsselrichtlinie verwenden, um den kontoübergreifenden Zugriff auf den Schlüssel zu ermöglichen.

Es gibt zwei Schritte, die in der folgenden Reihenfolge ausgeführt werden müssen:

  1. Fügen Sie zunächst die folgenden beiden Richtlinienerklärungen zur Schlüsselrichtlinie des vom Kunden verwalteten Schlüssels hinzu. Ersetzen Sie den Beispiel-ARN durch den ARN des anderen Kontos und achten Sie darauf, ihn durch die tatsächliche Konto-ID des Kontos zu 111122223333 ersetzen, in dem Sie AWS-Konto die Auto Scaling Scaling-Gruppe erstellen möchten. Damit können Sie einem IAM-Benutzer oder einer IAM-Rolle im angegebenen Konto die Berechtigung erteilen, mit dem folgenden CLI-Befehl eine Berechtigung für den Schlüssel zu erstellen. Dies gewährt jedoch keinen Benutzern Zugriff auf den Schlüssel.

    { "Sid": "Allow external account 111122223333 use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
    { "Sid": "Allow attachment of persistent resources in external account 111122223333", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*" }
  2. Erstellen Sie dann von dem Konto aus, in dem Sie die Auto-Scaling-Gruppe erstellen möchten, eine Berechtigung, welche die relevanten Berechtigungen an die entsprechende serviceverknüpfte Rolle delegiert. Das Grantee Principal-Element der Berechtigung ist der ARN der dazugehörigen serviceverknüpften Rolle. key-id ist der ARN des Schlüssels.

    Im Folgenden finden Sie ein Beispiel für einen Create-Grant-CLI-Befehl, der der im Konto genannten dienstverknüpften Rolle die 111122223333 Berechtigung erteilt, den vom Kunden verwalteten Schlüssel AWSServiceRoleForAutoScalingim Konto zu verwenden. 444455556666

    aws kms create-grant \ --region us-west-2 \ --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \ --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling \ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"

    Damit dieser Befehl erfolgreich ist, muss der Benutzer, der die Anforderung stellt, über Berechtigungen für die CreateGrant-Aktion verfügen.

    Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es einer IAM-Identität (Benutzer oder Rolle) in einem Konto, einen Zuschuss für das vom Kunden verwaltete Key-in-Konto 111122223333 zu erstellen. 444455556666

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" } ] }

    Weitere Informationen über die Erstellung eines Zuschusses für einen KMS-Schlüssel in einem anderen AWS-Konto, finden Sie unter Berechtigungserteilungen in AWS KMS im AWS Key Management Service -Entwicklerhandbuch.

    Wichtig

    Der Name der serviceverknüpften Rolle, der als Prinzipal des Empfängers angegeben wird, muss der Name einer vorhandenen Rolle sein. Um sicherzustellen, dass die Zuweisung Amazon EC2 Auto Scaling die Verwendung des angegebenen KMS-Schlüssels ermöglicht, sollten Sie die serviceverknüpfte Rolle nicht löschen und neu erstellen, nachdem Sie die Grant erstellt haben.

Bearbeiten von Schlüsselrichtlinien in der AWS KMS -Konsole

Die Beispiele in den vorherigen Abschnitten zeigen nur, wie einer Schlüsselrichtlinie Anweisungen hinzugefügt werden, was nur eine Möglichkeit darstellt, eine Schlüsselrichtlinie zu ändern. Die einfachste Möglichkeit, eine Schlüsselrichtlinie zu ändern, besteht darin, die Standardansicht der AWS KMS Konsole für wichtige Richtlinien zu verwenden und eine IAM-Identität (Benutzer oder Rolle) zu einem der Hauptbenutzer für die entsprechende Schlüsselrichtlinie zu machen. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Verwenden der AWS Management Console Standardansicht.

Wichtig

Gehen Sie vorsichtig vor. Die Standardansichtsrichtlinien der Konsole beinhalten Berechtigungen zur Ausführung von AWS KMS Revoke Vorgängen mit dem vom Kunden verwalteten Schlüssel. Wenn Sie AWS-Konto Zugriff auf einen vom Kunden verwalteten Schlüssel in Ihrem Konto gewähren und Sie versehentlich die Erteilung widerrufen, mit der sie ihnen diese Berechtigung erteilt haben, können externe Benutzer nicht mehr auf ihre verschlüsselten Daten oder den Schlüssel, der zur Verschlüsselung ihrer Daten verwendet wurde, zugreifen.