Angeben von KMS-Schlüsseln in IAM-Richtlinienanweisungen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Angeben von KMS-Schlüsseln in IAM-Richtlinienanweisungen

Sie können eine IAM-Richtlinie verwenden, um einem Prinzipal die Verwendung oder Verwaltung von KMS-Schlüsseln zu erlauben. KMS-Schlüssel werden in dem Resource-Element der Richtlinienanweisung angegeben.

  • Um einen KMS-Schlüssel in einer IAM-Richtlinienanweisung anzugeben, müssen Sie dessen Schüssel-ARN verwenden. Sie können keine Schlüssel-ID und keinen Aliasnamen oder Alias-ARN verwenden, um einen KMS-Schlüssel in einer IAM-Richtlinienanweisung zu identifizieren.

    Zum Beispiel: „Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Um den Zugriff auf einen KMS-Schlüssel anhand seiner Aliase zu steuern, verwenden Sie die Bedingungsschlüssel kms: RequestAlias oder kms:. ResourceAliases Details hierzu finden Sie unter ABAC für AWS KMS.

    Verwenden Sie einen Alias-ARN nur als Ressource in einer Richtlinienanweisung, die den Zugriff auf Aliasoperationen wie CreateAliasUpdateAlias, oder steuert DeleteAlias. Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.

  • Um mehrere KMS-Schlüssel im Konto und in der Region anzugeben, verwenden Sie Platzhalterzeichen (*) in den Regions- oder Ressourcen-ID-Positionen des Schlüssel-ARN.

    Um beispielsweise alle KMS-Schlüssel in der Region USA West (Oregon) eines Kontos anzugeben, verwenden Sie "Resource": "arn:aws:kms:us-west-2:111122223333:key/*". Um alle KMS-Schlüssel in allen Regionen des Kontos anzugeben, verwenden Sie "Resource": "arn:aws:kms:*:111122223333:key/*".

  • Um alle KMS-Schlüssel darzustellen, verwenden Sie nur ein Platzhalterzeichen ("*"). Verwenden Sie dieses Format für Operationen, die keinen bestimmten KMS-Schlüssel verwenden, nämlich CreateKeyGenerateRandom, ListAliases, und ListKeys.

Wenn Sie Ihre Richtlinienanweisungen schreiben, ist es eine bewährte Methode, nur die KMS-Schlüssel anzugeben, die der Prinzipal verwenden muss, anstatt ihm Zugriff auf alle KMS-Schlüssel zu gewähren.

Die folgende IAM-Richtlinienanweisung ermöglicht es dem Principal beispielsweise DescribeKey, die GenerateDataKey, Decrypt-Operationen nur für die KMS-Schlüssel aufzurufen, die im Resource Element der Richtlinienanweisung aufgeführt sind. Durch die bewährte Methode, KMS-Schlüssel nach dem Schlüssel-ARN anzugeben, wird sichergestellt, dass die Berechtigungen nur auf die angegebenen KMS-Schlüssel beschränkt sind.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
    ]
  }
}

Um die Berechtigung auf alle KMS-Schlüssel in einem bestimmten vertrauenswürdigen Bereich anzuwenden AWS-Konto, können Sie Platzhalterzeichen (*) an den Positionen Region und Schlüssel-ID verwenden. Beispielsweise erlaubt die folgende Richtlinienanweisung es dem Prinzipal, die angegebenen Operationen für alle KMS-Schlüssel in zwei vertrauenswürdigen Beispielkonten aufzurufen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair"
    ],
    "Resource": [
      "arn:aws:kms:*:111122223333:key/*",
      "arn:aws:kms:*:444455556666:key/*"
    ]
  }
}

Sie können auch nur ein Platzhalterzeichen ("*") in dem Resource-Element verwenden. Da es den Zugriff auf alle KMS-Schlüssel erlaubt, die das Konto nutzen darf, wird es in erster Linie für Operationen ohne einen bestimmten KMS-Schlüssel und für Deny-Anweisungen empfohlen. Sie können es auch in Richtlinienanweisungen verwenden, die nur weniger vertrauliche schreibgeschützte Operationen erlauben. Um festzustellen, ob ein AWS KMS Vorgang einen bestimmten KMS-Schlüssel beinhaltet, suchen Sie in der Spalte Ressourcen der Tabelle unter nach dem KMS-Schlüsselwert. AWS KMS Berechtigungen

Die folgende Richtlinienanweisung nutzt einen Deny-Effekt, um Prinzipalen die Nutzung der angegebenen Operationen auf irgendeinem KMS-Schlüssel zu verweigern. Sie verwendet ein Platzhalterzeichen in dem Resource-Element, um alle KMS-Schlüssel darzustellen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": [
      "kms:CreateKey",
      "kms:PutKeyPolicy",
      "kms:CreateGrant",
      "kms:ScheduleKeyDeletion"
    ],
    "Resource": "*"
  }
}

Die folgende Richtlinienanweisung verwendet nur ein Platzhalterzeichen, um alle KMS-Schlüssel darzustellen. Sie erlaubt jedoch nur weniger sensible schreibgeschützte Operationen und Operationen, die nicht für einen bestimmten KMS-Schlüssel gelten.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:CreateKey",
      "kms:ListKeys",
      "kms:ListAliases",
      "kms:ListResourceTags"
    ],
    "Resource": "*"
  }
}