Angabe von KMS Schlüsseln in IAM Richtlinienerklärungen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Angabe von KMS Schlüsseln in IAM Richtlinienerklärungen

Sie können eine IAM Richtlinie verwenden, um einem Prinzipal die Verwendung oder Verwaltung von KMS Schlüsseln zu ermöglichen. KMSSchlüssel werden im Resource Element der Richtlinienerklärung angegeben.

  • Um einen KMS Schlüssel in einer IAM Richtlinienerklärung anzugeben, müssen Sie seinen Schlüssel verwendenARN. Sie können keine Schlüssel-ID, einen Aliasnamen oder einen Alias verwenden, ARN um einen KMS Schlüssel in einer IAM Richtlinienerklärung zu identifizieren.

    Zum Beispiel: „Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Um den Zugriff auf einen KMS Schlüssel anhand seiner Aliase zu steuern, verwenden Sie die ResourceAliases Bedingungsschlüssel kms: RequestAlias oder kms:. Details hierzu finden Sie unter ABAC für AWS KMS.

    Verwenden Sie einen ARN Alias nur als Ressource in einer Richtlinienanweisung, die den Zugriff auf Aliasoperationen steuert, wie CreateAliasUpdateAlias, oder DeleteAlias. Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.

  • Um mehrere KMS Schlüssel für das Konto und die Region anzugeben, verwenden Sie Platzhalterzeichen (*) in der Regions- oder Ressourcen-ID des SchlüsselsARN.

    Um beispielsweise alle KMS Schlüssel in der Region USA West (Oregon) eines Kontos anzugeben, verwenden Sie "Resource": "arn:aws:kms:us-west-2:111122223333:key/*“. Um alle KMS Schlüssel in allen Regionen des Kontos anzugeben, verwenden Sie "Resource": "arn:aws:kms:*:111122223333:key/*“.

  • Um alle KMS Schlüssel darzustellen, verwenden Sie nur ein Platzhalterzeichen ("*"). Verwenden Sie dieses Format für Operationen, die keinen bestimmten KMS Schlüssel verwenden, nämlich CreateKey, GenerateRandomListAliases, und ListKeys.

Beim Verfassen Ihrer Richtlinienerklärungen empfiehlt es sich, nur die KMS Schlüssel anzugeben, die der Prinzipal verwenden muss, anstatt ihm Zugriff auf alle KMS Schlüssel zu gewähren.

Die folgende IAM Richtlinienanweisung ermöglicht es dem Principal beispielsweise, die DescribeKeyGenerateDataKey, Decrypt-Operationen nur für die KMS Schlüssel aufzurufen, die im Resource Element der Richtlinienanweisung aufgeführt sind. Die Angabe von KMS Schlüsseln nach SchlüsselnARN, was sich als bewährte Methode erwiesen hat, stellt sicher, dass die Berechtigungen nur auf die angegebenen KMS Schlüssel beschränkt sind.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
    ]
  }
}

Um die Berechtigung auf alle KMS Schlüssel eines bestimmten vertrauenswürdigen Schlüssels anzuwenden AWS-Konto, können Sie Platzhalterzeichen (*) an den Positionen Region und Schlüssel-ID verwenden. Die folgende Richtlinienanweisung ermöglicht es dem Principal beispielsweise, die angegebenen Operationen für alle KMS Schlüssel in zwei vertrauenswürdigen Beispielkonten aufzurufen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair"
    ],
    "Resource": [
      "arn:aws:kms:*:111122223333:key/*",
      "arn:aws:kms:*:444455556666:key/*"
    ]
  }
}

Sie können auch nur ein Platzhalterzeichen ("*") in dem Resource-Element verwenden. Da sie den Zugriff auf alle KMS Schlüssel ermöglicht, zu deren Verwendung das Konto berechtigt ist, wird sie in erster Linie für Operationen ohne einen bestimmten KMS Schlüssel und für Deny Kontoauszüge empfohlen. Sie können es auch in Richtlinienanweisungen verwenden, die nur weniger vertrauliche schreibgeschützte Operationen erlauben. Um festzustellen, ob ein AWS KMS Der Vorgang beinhaltet einen bestimmten KMS Schlüssel. Suchen Sie in der Spalte Ressourcen der Tabelle unter nach dem KMSSchlüsselwertAWS KMS Berechtigungen.

Die folgende Richtlinienanweisung verwendet beispielsweise einen Deny Effekt, um den Prinzipalen zu verbieten, die angegebenen Operationen für einen beliebigen KMS Schlüssel zu verwenden. Sie verwendet ein Platzhalterzeichen im Resource Element, um alle Schlüssel darzustellen. KMS

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": [
      "kms:CreateKey",
      "kms:PutKeyPolicy",
      "kms:CreateGrant",
      "kms:ScheduleKeyDeletion"
    ],
    "Resource": "*"
  }
}

In der folgenden Richtlinienanweisung wird ausschließlich ein Platzhalterzeichen verwendet, um alle KMS Schlüssel darzustellen. Sie erlaubt jedoch nur weniger sensible schreibgeschützte Operationen und Operationen, die sich nicht auf einen bestimmten Schlüssel beziehen. KMS

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:CreateKey",
      "kms:ListKeys",
      "kms:ListAliases",
      "kms:ListResourceTags"
    ],
    "Resource": "*"
  }
}