Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

ABAC für AWS KMS

PDF
RSS
Fokusmodus
ABAC für AWS KMS - AWS Key Management Service
ABAC-Bedingungsschlüssel für AWS KMSTags oder Aliasse?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. AWS KMS unterstützt ABAC, indem es Ihnen ermöglicht, den Zugriff auf Ihre vom Kunden verwalteten Schlüssel auf der Grundlage der mit den KMS-Schlüsseln verknüpften Tags und Aliasnamen zu kontrollieren. Die Tag- und Alias-Bedingungsschlüssel, die ABAC ermöglichen, AWS KMS bieten eine leistungsstarke und flexible Möglichkeit, Principals zur Verwendung von KMS-Schlüsseln zu autorisieren, ohne Richtlinien bearbeiten oder Zuschüsse verwalten zu müssen. Sie sollten diese Funktion jedoch mit Vorsicht verwenden, damit Prinzipalen der Zugriff nicht versehentlich zugelassen oder verweigert wird.

Wenn Sie ABAC verwenden, beachten Sie, dass die Berechtigung zum Verwalten von Tags und Aliassen jetzt eine Zugriffssteuerungs-Berechtigung ist. Stellen Sie sicher, dass Sie die vorhandenen Tags und Aliasse für alle KMS-Schlüssel kennen, bevor Sie eine Richtlinie bereitstellen, die von Tags oder Aliassen abhängt. Treffen Sie angemessene Vorsichtsmaßnahmen beim Hinzufügen, Löschen und Aktualisieren von Aliassen sowie beim Markieren und Entmarkieren von Schlüsseln. Erteilen Sie Berechtigungen zum Verwalten von Tags und Aliassen nur Prinzipalen, die sie benötigen, und beschränken Sie die Tags und Aliasse, die sie verwalten können.

Hinweise

Achten Sie bei der Verwendung von ABAC für darauf AWS KMS, den Prinzipalen die Erlaubnis zur Verwaltung von Tags und Aliasnamen zu erteilen. Wenn Sie ein Tag oder einen Alias ändern, wird die Berechtigung für einen KMS-Schlüssel eventuell erlaubt oder verweigert. Schlüsseladministratoren, die nicht über die Berechtigung zum Ändern von Schlüsselrichtlinien oder zum Erstellen von Erteilungen verfügen, können den Zugriff auf KMS-Schlüssel steuern, wenn sie über die Berechtigung zum Verwalten von Tags oder Aliassen verfügen.

Es kann bis zu fünf Minuten dauern, bis Tag- und Alias-Änderungen Auswirkungen auf die KMS-Schlüsselautorisierung haben. Letzte Änderungen sind möglicherweise in API-Operationen sichtbar, bevor sie sich auf die Autorisierung auswirken.

Um den Zugriff auf einen KMS-Schlüssel basierend auf seinem Alias zu steuern, müssen Sie einen Bedingungsschlüssel verwenden. Sie können keinen Alias verwenden, um einen KMS-Schlüssel im Resource-Element einer Richtlinienanweisung darzustellen. Wenn ein Alias im Resource-Element erscheint, gilt die Richtlinienanweisung für den Alias und nicht für den zugeordneten KMS-Schlüssel.

Weitere Informationen

ABAC-Bedingungsschlüssel für AWS KMS

Verwenden Sie die folgenden Bedingungsschlüssel in einer Schlüsselrichtlinie oder IAM-Richtlinie, um den Zugriff auf KMS-Schlüssel basierend auf deren Tags und Aliassen zu autorisieren.

ABAC-Bedingungsschlüssel Beschreibung Richtlinientyp AWS KMS Operationen
als: ResourceTag Tag (Schlüssel und Wert) auf dem KMS-Schlüssel entspricht dem Tag (Schlüssel und Wert) oder dem Tagmuster in der Richtlinie Nur IAM-Richtlinie KMS-Schlüsselressourcen-Operationen 2
aws:RequestTag/Tag-Schlüssel Tag (Schlüssel und Wert) in der Anforderung entspricht dem Tag (Schlüssel und Wert) oder dem Tagmuster in der Richtlinie Wichtige Richtlinien und IAM-Richtlinien 1 TagResource, UntagResource
aws: TagKeys Die Tag-Schlüssel in der Anforderung entsprechen den Tag-Schlüsseln in der Richtlinie Schlüsselrichtlinien und IAM-Richtlinien 1 TagResource, UntagResource
km: ResourceAliases Aliasse, die dem KMS-Schlüssel zugeordnet sind, stimmen mit den Aliassen oder Aliasmustern in der Richtlinie überein Nur IAM-Richtlinie KMS-Schlüsselressourcen-Operationen 2
km: RequestAlias Der Alias, der den KMS-Schlüssel in der Anforderung darstellt, entspricht dem Alias oder den Aliasmustern in der Richtlinie. Schlüsselrichtlinien und IAM-Richtlinien 1 Kryptografische Operationen, DescribeKeyGetPublicKey

1 Jeder Bedingungsschlüssel, der in einer Schlüsselrichtlinie verwendet werden kann, kann auch in einer IAM-Richtlinie verwendet werden, jedoch nur, wenn die Schlüsselrichtlinie es erlaubt.

2Eine KMS-Schlüsselressourcen-Operation ist eine Operation, die für einen bestimmten KMS-Schlüssel autorisiert ist. Um die KMS-Schlüsselressourcen-Operationen zu identifizieren, suchen Sie in der Tabelle mit AWS KMS -Berechtigungen nach dem Wert des KMS-Schlüssels in der Resources-Spalte für die Operation.

Beispielsweise können Sie diese Bedingungsschlüssel verwenden, um die folgenden Richtlinien zu erstellen.

  • Eine IAM-Richtlinie mit kms:ResourceAliases, die die Berechtigung zur Verwendung von KMS-Schlüsseln mit einem bestimmten Alias oder Aliasmuster ermöglicht. Dies unterscheidet sich ein wenig von Richtlinien, die auf Tags basieren: Sie können zwar Aliasmuster in einer Richtlinie verwenden, aber jeder Alias muss in einer AWS-Konto UND-Region eindeutig sein. Auf diese Weise können Sie eine Richtlinie auf einen ausgewählten Satz von KMS-Schlüsseln anwenden, ohne die Schlüssel ARNs der KMS-Schlüssel in der Richtlinienerklärung aufzulisten. Um KMS-Schlüssel aus dem Satz hinzuzufügen oder zu entfernen, ändern Sie den Alias des KMS-Schlüssels.

  • Eine Schlüsselrichtlinie mit kms:RequestAlias, die es Prinzipalen ermöglicht, einen KMS-Schlüssel in einer Encrypt-Operation zu nutzen, aber nur dann, wenn die Encrypt-Anforderung diesen Alias verwendet, um den KMS-Schlüssel zu identifizieren.

  • Eine IAM-Richtlinie mit aws:ResourceTag/tag-key, die die Berechtigung zur Verwendung von KMS-Schlüsseln mit einem bestimmten Tag-Schlüssel und Tag-Wert verweigert. Auf diese Weise können Sie eine Richtlinie auf einen ausgewählten Satz von KMS-Schlüsseln anwenden, ohne den Schlüssel ARNs der KMS-Schlüssel in der Richtlinienerklärung aufzulisten. Um KMS-Schlüssel aus dem Satz hinzuzufügen oder zu entfernen, markieren oder entmarkieren Sie den KMS-Schlüssel.

  • Eine IAM-Richtlinie mit aws:RequestTag/tag-key, die es Prinzipalen erlaubt, nur "Purpose"="Test"-Tags von KMS-Schlüsseln zu löschen.

  • Eine IAM-Richtlinie mit aws:TagKeys, die die Berechtigung zur Markierung oder Entmarkierung eines KMS-Schlüssels mit einem Restricted-Tag-Schlüssel verweigert.

ABAC macht das Zugriffsmanagement flexibel und skalierbar. Sie können beispielsweise den aws:ResourceTag/tag-key-Bedingungsschlüssel verwenden, um eine IAM-Richtlinie zu erstellen, die es Prinzipalen erlaubt, einen KMS-Schlüssel für bestimmte Operationen nur dann zu verwenden, wenn der KMS-Schlüssel einen Purpose=Test-Tag hat. Die Richtlinie gilt für alle KMS-Schlüssel in allen Regionen des AWS-Konto.

Wenn sie einem Benutzer oder einer Rolle zugeordnet ist, können Prinzipale mit der folgenden IAM-Richtlinie alle vorhandenen KMS-Schlüssel mit einemPurpose=Test-Tag für die angegebenen Operationen nutzen. Um diesen Zugriff auf neue oder vorhandene KMS-Schlüssel zu gewähren, müssen Sie die Richtlinie nicht ändern. Fügen Sie einfach das Purpose=Test-Tag de KMS-Schlüsseln an. Um diesen Zugriff von KMS-Schlüsseln mit einem Purpose=Test-Tag zu entfernen, bearbeiten oder löschen Sie das Tag. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AliasBasedIAMPolicy",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Purpose": "Test"
        }
      }
    }
  ]
}

Wenn Sie diese Funktion verwenden, sollten Sie jedoch vorsichtig sein, wenn Sie Tags und Aliasse verwalten. Das Hinzufügen, Ändern oder Löschen eines Tags oder Aliasses kann versehentlich den Zugriff auf einen KMS-Schlüssel zulassen oder verweigern. Schlüsseladministratoren, die nicht über die Berechtigung zum Ändern von Schlüsselrichtlinien oder zum Erstellen von Erteilungen verfügen, können den Zugriff auf KMS-Schlüssel steuern, wenn sie über die Berechtigung zum Verwalten von Tags oder Aliassen verfügen. Um dieses Risiko zu mindern, sollten Sie Berechtigungen zum Verwalten von Tags und Aliassen beschränken. Sie können es beispielsweise nur ausgewählten Prinzipalen erlauben, Purpose=Test-Tags zu verwalten. Details dazu finden Sie unter Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern und Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern.

Tags oder Aliasse?

AWS KMS unterstützt ABAC mit Tags und Aliasen. Beide Optionen bieten eine flexible, skalierbare Strategie zur Zugriffssteuerung, unterscheiden sich jedoch geringfügig voneinander.

Sie können sich entscheiden, Tags oder Aliase zu verwenden, die auf Ihren speziellen AWS Verwendungsmustern basieren. Wenn Sie beispielsweise den meisten Administratoren bereits Markierungs-Berechtigungen erteilt haben, ist es möglicherweise einfacher, eine Autorisierungsstrategie basierend auf Aliasse zu steuern. Oder, wenn Sie nahe am Kontingent für Aliasse pro KMS-Schlüssel sind, verwenden Sie möglicherweise lieber eine Autorisierungs-Strategie, die auf Tags basiert.

Die folgenden Nutzen sind von allgemeinem Interesse.

Vorteile einer Tag-basierten Zugriffskontrolle

  • Derselbe Autorisierungsmechanismus für verschiedene AWS Ressourcentypen.

    Sie können denselben Tag- oder Tag-Schlüssel verwenden, um den Zugriff auf mehrere Ressourcentypen zu steuern, z. B. einen Amazon-RDS (Amazon Relational Database Service)-Cluster, ein Amazon-EBS (Amazon Elastic Block Store)-Volume und einen KMS-Schlüssel. Diese Funktion ermöglicht verschiedene Autorisierungsmodelle, die flexibler sind als herkömmliche rollenbasierte Zugriffskontrolle.

  • Autorisieren des Zugriffs auf eine Gruppe von KMS-Schlüsseln

    Sie können Tags verwenden, um den Zugriff auf eine Gruppe von KMS-Schlüsseln in demselben AWS-Konto und in derselben Region zu verwalten. Weisen Sie den ausgewählten KMS-Schlüsseln denselben Tag- oder Tag-Schlüssel zu. Erstellen Sie dann eine einfache easy-to-maintain Richtlinienerklärung, die auf dem Tag oder dem Tag-Schlüssel basiert. Um einen KMS-Schlüssel aus Ihrer Autorisierungsgruppe hinzuzufügen oder zu entfernen, fügen Sie das Tag hinzu oder entfernen Sie es. Sie müssen die Richtlinie nicht bearbeiten.

Vorteile einer Alias-basierten Zugriffskontrolle

  • Autorisieren Sie den Zugriff auf kryptografische Operationen basierend auf Aliassen.

    Die meisten anforderungsbasierten Richtlinienbedingungen für Attribute, einschließlich aws:RequestTag/tag-key, betreffen nur Operationen, die das Attribut hinzufügen, bearbeiten oder löschen. Der RequestAlias Bedingungsschlüssel kms: steuert jedoch den Zugriff auf kryptografische Operationen auf der Grundlage des Alias, der zur Identifizierung des KMS-Schlüssels in der Anfrage verwendet wird. Sie können beispielsweise einem Prinzipal die Berechtigung erteilen, einen KMS-Schlüssel in einer Encrypt-Operation zu nutzen, aber nur dann, wenn der Wert des KeyId-Parameters alias/restricted-key-1 ist. Diese Bedingung zu erfüllen, erfordert Folgendes:

    • Der KMS-Schlüssel muss diesem Alias zugeordnet sein.

    • Die Anforderung muss den Alias verwenden, um den KMS-Schlüssel zu identifizieren.

    • Der Prinzipal muss über die Berechtigung zur Verwendung des KMS-Schlüssels verfügen, sofern die kms:RequestAlias-Bedingung es erlaubt.

    Dies ist besonders nützlich, wenn Ihre Anwendungen häufig Aliasnamen oder Alias verwenden ARNs , um auf KMS-Schlüssel zu verweisen.

  • Stellen Sie sehr eingeschränkte Berechtigungen bereit.

    Ein Alias muss in einer AWS-Konto UND-Region eindeutig sein. Daher kann es wesentlich restriktiver sein, Prinzipalen Zugriff auf einen KMS-Schlüssel basierend auf einem Alias zu gewähren, als ihnen Zugriff basierend auf einem Tag zu gewähren. Im Gegensatz zu Aliassen können Tags mehreren KMS-Schlüsseln in demselben Konto und derselben Region zugewiesen werden. Wenn Sie auswählen, können Sie ein Aliasmuster verwenden, z. B.alias/test*, um Prinzipalen Zugriff auf eine Gruppe von KMS-Schlüsseln in demselben Konto und derselben Region zu gewähren. Allerdings ermöglicht das Erlauben oder Verweigern des Zugriffs auf einen bestimmten Alias eine sehr strenge Kontrolle über KMS-Schlüssel.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.