Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie Aliase, um den Zugriff auf KMS-Schlüssel zu steuern
Verwenden Sie diesen Bedingungsschlüssel, um den Zugriff auf einen KMS-Schlüssel anhand der Aliassen, die dem KMS-Schlüssel zugeordnet sind, zu steuern. Verwenden Sie dazu die ResourceAliases Bedingungsschlüssel [kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias) und [kms:](conditions-kms.md#conditions-kms-resource-aliases). Diese Funktion ist Teil der AWS KMS Unterstützung für die [attributebasierte Zugriffskontrolle](abac.md) (ABAC).
Der `kms:RequestAlias`-Bedingungsschlüssel erlaubt oder verweigert den Zugriff auf einen KMS-Schlüssel basierend auf dem Alias in einer Anforderung. Der `kms:ResourceAliases`-Bedingungsschlüssel erlaubt oder verweigert den Zugriff auf einen KMS-Schlüssel basierend auf dem Alias, der mit dem KMS-Schlüssel verknüpft ist.
Diese Funktionen erlauben es Ihnen nicht, einen KMS-Schlüssel mithilfe eines Aliasses im `resource`-Element einer Richtlinienanweisung zu identifizieren. Wenn ein Alias der Wert eines`resource`-Element ist, gilt die Richtlinie für die Alias-Ressource und nicht für einen KMS-Schlüssel, der mit ihr verknüpft sein könnte.
**Anmerkung**
Es kann bis zu fünf Minuten dauern, bis Tag- und Alias-Änderungen Auswirkungen auf die KMS-Schlüsselautorisierung haben. Letzte Änderungen sind möglicherweise in API-Operationen sichtbar, bevor sie sich auf die Autorisierung auswirken.
Beachten Sie Folgendes, wenn Sie Aliasse verwenden, um den Zugriff auf KMS-Schlüssel zu steuern:
+ Verwenden Sie Aliasse, um beim Zugriff die bewährte Methode der [geringsten Berechtigung](iam-policies-best-practices.md) zu befolgen. Geben Sie IAM-Prinzipalen nur die Berechtigungen, die sie für die KMS-Schlüssel benötigen, die sie verwenden oder verwalten müssen. Verwenden Sie beispielsweise Aliase, um die KMS-Schlüssel zu identifizieren, die für ein Projekt verwendet werden. Geben Sie dann dem Projektteam die Berechtigung, nur KMS-Schlüssel mit den Projekt-Aliassen zu verwenden.
+ Seien Sie vorsichtig, wenn Sie Prinzipalen die `kms:CreateAlias`-, `kms:UpdateAlias`- oder `kms:DeleteAlias`-Berechtigung erteilen, mit denen sie Aliasse hinzufügen, bearbeiten und löschen können. Wenn Sie Aliasse verwenden, um den Zugriff auf KMS-Schlüssel zu steuern, kann das Ändern eines Aliasses Prinzipalen die Berechtigung zur Verwendung von KMS-Schlüsseln erteilen, die andernfalls nicht über die Berechtigung verfügen. Es kann auch den Zugriff auf KMS-Schlüssel verweigern, die andere Prinzipale für ihre Aufträge benötigen.
+ Prüfen Sie die Hauptbenutzer in Ihrer Datenbank AWS-Konto , die derzeit berechtigt sind, Aliase zu verwalten, und passen Sie die Berechtigungen gegebenenfalls an. Schlüsseladministratoren, die nicht über die Berechtigung zum Ändern von Schlüsselrichtlinien oder zum Erstellen von Erteilungen verfügen, können den Zugriff auf KMS-Schlüssel steuern, wenn sie über die Berechtigung zum Verwalten von Aliassen verfügen.
Zum Beispiel enthält die [Standard-Schlüsselrichtlinie für Schlüsseladministratoren](key-policy-default.md#key-policy-default-allow-administrators) der Konsole die `kms:CreateAlias`- `kms:DeleteAlias`- und `kms:UpdateAlias`-Berechtigung. IAM-Richtlinien geben möglicherweise dem Alias Berechtigungen für alle KMS-Schlüssel in Ihrem AWS-Konto. Die [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser)verwaltete Richtlinie ermöglicht es Prinzipalen beispielsweise, Aliase für alle KMS-Schlüssel zu erstellen, zu löschen und aufzulisten, sie jedoch nicht zu aktualisieren.
+ Bevor Sie eine Richtlinie festlegen, die von einem Alias abhängt, überprüfen Sie die Aliase auf den KMS-Schlüsseln in Ihrem. AWS-Konto Stellen Sie sicher, dass Ihre Richtlinie nur für die Aliase gilt, die Sie einschließen möchten. Verwenden Sie [CloudTrail Protokolle](alias-ct.md) und [CloudWatch Alarme](monitoring-cloudwatch.md), um Sie vor Aliasänderungen zu warnen, die sich auf den Zugriff auf Ihre KMS-Schlüssel auswirken könnten. Außerdem enthält die [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Antwort das Erstellungsdatum und das Datum der letzten Aktualisierung für jeden Alias.
+ Die Alias-Richtlinienbedingungen verwenden Musterabgleich; sie sind nicht an eine bestimmte Instance eines Aliasses gebunden. Eine Richtlinie, die Alias-basierte Bedingungsschlüssel verwendet, wirkt sich auf alle neuen und vorhandenen Aliasse aus, die dem Muster entsprechen. Wenn Sie einen Alias löschen und neu erstellen, der einer Richtlinienbedingung entspricht, gilt die Bedingung für den neuen Alias, genau wie für den alten Alias.
Der `kms:RequestAlias`-Bedingungsschlüssel basiert auf dem Alias, der explizit in einer Operations-Anforderung angegeben ist. Der `kms:ResourceAliases`-Bedingungsschlüssel hängt von den Aliassen ab, die einem KMS-Schlüssel zugeordnet sind, auch wenn sie nicht in der Anforderung angezeigt werden.
## km: RequestAlias
Erlauben oder verweigern Sie den Zugriff auf einen KMS-Schlüssel basierend auf dem Alias, der den KMS-Schlüssel in einer Anforderung identifiziert. Sie können den RequestAlias Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-request-alias) in einer [Schlüsselrichtlinie](key-policies.md) oder IAM-Richtlinie verwenden. Er gilt für Operationen, die einen Alias verwenden, um einen KMS-Schlüssel in einer Anfrage zu identifizieren, nämlich [kryptografische Operationen [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](kms-cryptography.md#cryptographic-operations), und. [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html) Es ist nicht gültig für Aliasoperationen wie [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)oder [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html).
**Wichtig**
Eine `Deny` Richtlinienanweisung mit dieser `kms:RequestAlias` Bedingung wird nicht empfohlen, da Anrufer sie umgehen können, indem sie die [Schlüssel-ID, den [Schlüssel-ARN](concepts.md#key-id-key-ARN)](concepts.md#key-id-key-id) oder einen anderen Alias verwenden, um den KMS-Schlüssel in der Anfrage zu identifizieren. Um den Zugriff auf der Grundlage von Aliasnamen zu verweigern, die einem KMS-Schlüssel zugeordnet sind, verwenden Sie stattdessen den ResourceAliases Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-resource-aliases).
Geben Sie im Bedingungsschlüssel einen [Aliasnamen](concepts.md#key-id-alias-name) oder ein Aliasnamen-Muster an. Sie können keinen [Alias-ARN](concepts.md#key-id-alias-ARN) angeben.
Die folgende Schlüsselrichtlinienanweisung erlaubt es beispielsweise Prinzipalen, die angegebenen Operationen auf dem KMS-Schlüssel zu verwenden. Die Berechtigung ist nur wirksam, wenn die Anforderung einen Alias verwendet, der `alpha` enthält, um den KMS-Schlüssel zu identifizieren.
```
{
"Sid": "Key policy using a request alias condition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/alpha-developer"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:RequestAlias": "alias/*alpha*"
}
}
}
```
Die folgende Beispielanforderung von einem autorisierten Prinzipal würde die Bedingung erfüllen. Eine Anforderung, die eine [Schlüssel-ID](concepts.md#key-id-key-id), einen [Schüssel-ARN](concepts.md#key-id-key-ARN) oder einen anderen Alias verwendet, würde die Bedingung nicht erfüllen, selbst wenn diese Werte denselben KMS-Schlüssel identifizieren.
```
$ aws kms describe-key --key-id "arn:aws:kms:us-west-2:111122223333:alias/project-alpha"
```
## km: ResourceAliases
Erlauben oder verweigern Sie den Zugriff auf einen KMS-Schlüssel anhand der Aliasse, die dem KMS-Schlüssel zugeordnet sind, selbst wenn der Alias nicht in einer Anforderung verwendet wird. Mit dem ResourceAliases Bedingungsschlüssel [kms:](conditions-kms.md#conditions-kms-resource-aliases) können Sie einen Alias oder ein Aliasmuster angeben, z. B.`alias/test*`, sodass Sie es in einer IAM-Richtlinie verwenden können, um den Zugriff auf mehrere KMS-Schlüssel in derselben Region zu steuern. Er ist für jeden AWS KMS Vorgang gültig, der einen KMS-Schlüssel verwendet.
Die folgende IAM-Richtlinie ermöglicht es den Prinzipalen beispielsweise, die angegebenen Operationen für die KMS-Schlüssel in zwei Schritten aufzurufen. AWS-Konten Die Berechtigung gilt jedoch nur für KMS-Schlüssel, die Aliassen zugeordnet sind, die mit `restricted` beginnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AliasBasedIAMPolicy",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/*",
"arn:aws:kms:*:444455556666:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/restricted*"
}
}
}
]
}
```
------
Die `kms:ResourceAliases`-Bedingung ist eine Bedingung der Ressource, nicht die Anforderung. Daher kann eine Anforderung, die den Alias nicht angibt, weiterhin die Bedingung erfüllen.
Die folgende Beispielanforderung, die einen übereinstimmenden Alias angibt, erfüllt die Bedingung.
```
$ aws kms enable-key-rotation --key-id "alias/restricted-project"
```
Die folgende Beispielanforderung erfüllt jedoch auch die Bedingung, vorausgesetzt, dass der angegebene KMS-Schlüssel über einen Alias verfügt, der mit `restricted` beginnt, auch wenn dieser Alias nicht in der Anforderung verwendet wird.
```
$ aws kms enable-key-rotation --key-id "1234abcd-12ab-34cd-56ef-1234567890ab"
```