Übersicht Konfigurieren von Schlüsselrichtlinien Beispiel 1: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel erlauben Beispiel 2: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel über mehrere Konten erlauben Bearbeiten von Schlüsselrichtlinien in der AWS KMS -Konsole

Erforderliche AWS KMS Schlüsselrichtlinie für die Verwendung mit verschlüsselten Volumes

Amazon EC2 Auto Scaling verwendet serviceverknüpfte Rollen, um Berechtigungen an andere zu delegieren. AWS-Services Rollen, die mit dem Service von Amazon EC2 Auto Scaling verknüpft sind, sind vordefiniert und beinhalten Berechtigungen, die Amazon EC2 Auto Scaling benötigt, um andere in AWS-Services Ihrem Namen anzurufen. Die vordefinierten Berechtigungen beinhalten auch den Zugriff auf Ihre Von AWS verwaltete Schlüssel. Sie enthalten jedoch keinen Zugriff auf Ihre kundenverwalteten Schlüssel, sodass Sie die volle Kontrolle über diese Schlüssel behalten können.

In diesem Thema wird beschrieben, wie Sie die Schlüsselrichtlinie einrichten, die Sie zum Starten von Auto Scaling Scaling-Instances benötigen, wenn Sie einen vom Kunden verwalteten Schlüssel für die EBS Amazon-Verschlüsselung angeben.

Anmerkung

Amazon EC2 Auto Scaling benötigt keine zusätzliche Autorisierung, um die Standardeinstellung Von AWS verwalteter Schlüssel zum Schutz der verschlüsselten Volumes in Ihrem Konto zu verwenden.

Inhalt

Übersicht

Folgendes AWS KMS keys kann für die EBS Amazon-Verschlüsselung verwendet werden, wenn Amazon EC2 Auto Scaling Instances startet:

Von AWS verwalteter Schlüssel— Ein Verschlüsselungsschlüssel in Ihrem Konto, den Amazon EBS erstellt, besitzt und verwaltet. Dies ist der Standardverschlüsselungsschlüssel für ein neues Konto. Der Von AWS verwalteter Schlüssel wird für die Verschlüsselung verwendet, sofern Sie keinen vom Kunden verwalteten Schlüssel angeben.
Vom Kunden verwalteter Schlüssel — Ein benutzerdefinierter Verschlüsselungsschlüssel, den Sie erstellen, besitzen und verwalten. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.

Hinweis: Der Schlüssel muss symmetrisch sein. Amazon unterstützt EBS keine asymmetrischen, vom Kunden verwalteten Schlüssel.

Sie konfigurieren kundenverwaltete Schlüssel, wenn Sie verschlüsselte Snapshots oder eine Startvorlage, die verschlüsselte Volumes angibt, erstellen oder wenn Sie die Verschlüsselung standardmäßig aktivieren.

Konfigurieren von Schlüsselrichtlinien

Ihre KMS Schlüssel müssen über eine Schlüsselrichtlinie verfügen, die es Amazon EC2 Auto Scaling ermöglicht, Instances mit EBS Amazon-Volumes zu starten, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind.

Verwenden Sie die Beispiele auf dieser Seite, um eine Schlüsselrichtlinie zu konfigurieren, die Amazon EC2 Auto Scaling Zugriff auf Ihren vom Kunden verwalteten Schlüssel gewährt. Sie können die Schlüsselrichtlinie des kundenverwalteten Schlüssels entweder bei Erstellung des Schlüssels oder zu einem späteren Zeitpunkt ändern.

Sie müssen Ihrer wichtigsten Richtlinie mindestens zwei Richtlinienerklärungen hinzufügen, damit sie mit Amazon EC2 Auto Scaling funktioniert.

Die erste Aussage ermöglicht es der im Principal Element angegebenen IAM Identität, den vom Kunden verwalteten Schlüssel direkt zu verwenden. Sie umfasst Berechtigungen zur Ausführung der AWS KMS Encrypt,Decrypt, ReEncrypt*GenerateDataKey*, und DescribeKey -Operationen mit dem Schlüssel.
Die zweite Anweisung ermöglicht es der im Principal Element angegebenen IAM Identität, den CreateGrant Vorgang zur Generierung von Zuweisungen zu verwenden, die eine Teilmenge ihrer eigenen Berechtigungen an Personen delegieren AWS-Services , die in AWS KMS oder einen anderen Prinzipal integriert sind. Auf diese Weise können sie den Schlüssel verwenden, um in Ihrem Namen verschlüsselte Ressourcen zu erstellen.

Ändern Sie beim Hinzufügen der neuen Richtlinienanweisungen zur Schlüsselrichtlinie keinen der vorhandenen Anweisungen in der Richtlinie.

Für jedes der folgenden Beispiele werden Argumente, die ersetzt werden müssen, wie z. B. eine Schlüssel-ID oder der Name einer dienstbezogenen Rolle, wie folgt angezeigt user placeholder text. In den meisten Fällen können Sie den Namen der serviceverknüpften Rolle durch den Namen einer serviceverknüpften Amazon EC2 Auto Scaling Scaling-Rolle ersetzen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Informationen zum Erstellen eines Schlüssels mit dem finden Sie unter AWS CLI create-key.
Informationen zum Aktualisieren einer Schlüsselrichtlinie mit dem finden Sie AWS CLI unter. put-key-policy
Informationen zur Suche nach einer Schlüssel-ID und einem Amazon-Ressourcennamen (ARN) finden Sie unter Suchen der Schlüssel-ID und ARN im AWS Key Management Service Entwicklerhandbuch.
Informationen zu Rollen, die mit dem Service von Amazon EC2 Auto Scaling verknüpft sind, finden Sie unterServiceverknüpfte Rollen für Amazon EC2 Auto Scaling.
Informationen zur EBS Amazon-Verschlüsselung und KMS generell zur EBSAmazon-Verschlüsselung finden Sie im EBSAmazon-Benutzerhandbuch und im AWS Key Management Service Entwicklerhandbuch.

Beispiel 1: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel erlauben

Fügen Sie der Schlüsselrichtlinie des vom Kunden verwalteten Schlüssels die folgenden beiden Richtlinienerklärungen hinzu und ersetzen Sie das Beispiel ARN durch das Beispiel ARN der entsprechenden serviceverknüpften Rolle, der Zugriff auf den Schlüssel gewährt wird. In diesem Beispiel gewähren die Richtlinienabschnitte der dienstbezogenen Rolle mit dem Namen AWSServiceRoleForAutoScalingBerechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels.


{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}


{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}

Beispiel 2: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel über mehrere Konten erlauben

Wenn Sie einen vom Kunden verwalteten Schlüssel in einem anderen Konto als der Auto-Scaling-Gruppe erstellen, müssen Sie eine Berechtigung in Kombination mit der Schlüsselrichtlinie verwenden, um den kontoübergreifenden Zugriff auf den Schlüssel zu ermöglichen.

Es gibt zwei Schritte, die in der folgenden Reihenfolge ausgeführt werden müssen:

Fügen Sie zunächst die folgenden beiden Richtlinienerklärungen zur Schlüsselrichtlinie des vom Kunden verwalteten Schlüssels hinzu. Ersetzen Sie das Beispiel ARN durch das ARN des anderen Kontos und achten Sie darauf, es zu ersetzen 111122223333 mit der tatsächlichen Konto-ID des, in dem Sie AWS-Konto die Auto Scaling Scaling-Gruppe erstellen möchten. Auf diese Weise können Sie einem IAM Benutzer oder einer Rolle im angegebenen Konto mithilfe des folgenden CLI Befehls die Berechtigung erteilen, eine Zuteilung für den Schlüssel zu erstellen. Dies gewährt jedoch keinen Benutzern Zugriff auf den Schlüssel.


{
   "Sid": "Allow external account 111122223333 use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::111122223333:root"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}


{
   "Sid": "Allow attachment of persistent resources in external account 111122223333",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::111122223333:root"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*"
}

Erstellen Sie dann von dem Konto aus, in dem Sie die Auto-Scaling-Gruppe erstellen möchten, eine Berechtigung, welche die relevanten Berechtigungen an die entsprechende serviceverknüpfte Rolle delegiert. Das Grantee Principal Element des Zuschusses ist das ARN der entsprechenden dienstbezogenen Rolle. Das key-id ist ARN der Schlüssel.

Im Folgenden finden Sie ein Beispiel für den CLI Befehl create-grant, mit dem die mit dem Dienst verknüpfte Rolle in account benannt wird AWSServiceRoleForAutoScaling 111122223333 Berechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels im Konto 444455556666.
```
aws kms create-grant \
  --region us-west-2 \
  --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
  --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling \
  --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
```
Damit dieser Befehl erfolgreich ist, muss der Benutzer, der die Anforderung stellt, über Berechtigungen für die CreateGrant-Aktion verfügen.

Die folgende IAM Beispielrichtlinie ermöglicht eine IAM Identität (Benutzer oder Rolle) im Konto 111122223333 um einen Zuschuss für das vom Kunden verwaltete Key-in-Konto zu gewähren 444455556666.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    }
  ]
}
```
Weitere Informationen zur Erstellung eines Zuschusses für einen KMS Schlüssel in einem anderen System AWS-Konto finden Sie unter Grants AWS KMS im AWS Key Management Service Developer Guide.

Wichtig
Der Name der serviceverknüpften Rolle, der als Prinzipal des Empfängers angegeben wird, muss der Name einer vorhandenen Rolle sein. Um sicherzustellen, dass Amazon EC2 Auto Scaling nach der Erstellung des Zuschusses die Verwendung des angegebenen KMS Schlüssels durch den Zuschuss ermöglicht, sollten Sie die serviceverknüpfte Rolle nicht löschen und neu erstellen.

Bearbeiten von Schlüsselrichtlinien in der AWS KMS -Konsole

Die Beispiele in den vorherigen Abschnitten zeigen nur, wie einer Schlüsselrichtlinie Anweisungen hinzugefügt werden, was nur eine Möglichkeit darstellt, eine Schlüsselrichtlinie zu ändern. Die einfachste Möglichkeit, eine Schlüsselrichtlinie zu ändern, besteht darin, die Standardansicht der AWS KMS Konsole für wichtige Richtlinien zu verwenden und eine IAM Identität (Benutzer oder Rolle) zu einem der Hauptbenutzer für die entsprechende Schlüsselrichtlinie zu machen. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Verwenden der AWS Management Console Standardansicht.

Wichtig

Gehen Sie vorsichtig vor. Die Standardansichtsrichtlinien der Konsole beinhalten Berechtigungen zur Ausführung von AWS KMS Revoke Vorgängen mit dem vom Kunden verwalteten Schlüssel. Wenn Sie AWS-Konto Zugriff auf einen vom Kunden verwalteten Schlüssel in Ihrem Konto gewähren und Sie versehentlich die Erteilung widerrufen, mit der sie ihnen diese Berechtigung erteilt haben, können externe Benutzer nicht mehr auf ihre verschlüsselten Daten oder den Schlüssel, der zur Verschlüsselung ihrer Daten verwendet wurde, zugreifen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

Identitäts- und Zugriffsverwaltung