Angabe von KMS Schlüsseln in IAM Richtlinienerklärungen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Angabe von KMS Schlüsseln in IAM Richtlinienerklärungen

Sie können eine IAM Richtlinie verwenden, um einem Prinzipal die Verwendung oder Verwaltung von KMS Schlüsseln zu ermöglichen. KMSSchlüssel werden im Resource Element der Richtlinienerklärung angegeben.

  • Um einen KMS Schlüssel in einer IAM Richtlinienerklärung anzugeben, müssen Sie seinen Schlüssel verwendenARN. Sie können keine Schlüssel-ID, einen Aliasnamen oder einen Alias verwenden, ARN um einen KMS Schlüssel in einer IAM Richtlinienerklärung zu identifizieren.

    Zum Beispiel: „Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Um den Zugriff auf einen KMS Schlüssel anhand seiner Aliase zu steuern, verwenden Sie die ResourceAliases Bedingungsschlüssel kms: RequestAlias oder kms:. Details hierzu finden Sie unter ABACfür AWS KMS.

    Verwenden Sie einen ARN Alias nur als Ressource in einer Richtlinienanweisung, die den Zugriff auf Aliasoperationen wie CreateAliasUpdateAlias, oder DeleteAliassteuert. Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.

  • Um mehrere KMS Schlüssel für das Konto und die Region anzugeben, verwenden Sie Platzhalterzeichen (*) in den Regions- oder Ressourcen-IDs des SchlüsselsARN.

    Um beispielsweise alle KMS Schlüssel in der Region USA West (Oregon) eines Kontos anzugeben, verwenden Sie "Resource": "arn:aws:kms:us-west-2:111122223333:key/*“. Um alle KMS Schlüssel in allen Regionen des Kontos anzugeben, verwenden Sie "Resource": "arn:aws:kms:*:111122223333:key/*“.

  • Um alle KMS Schlüssel darzustellen, verwenden Sie nur ein Platzhalterzeichen ("*"). Verwenden Sie dieses Format für Operationen, die keinen bestimmten KMS Schlüssel verwenden, nämlich CreateKey, GenerateRandomListAliases, und ListKeys.

Beim Schreiben Ihrer Richtlinienerklärungen empfiehlt es sich, nur die KMS Schlüssel anzugeben, die der Prinzipal verwenden muss, anstatt ihm Zugriff auf alle KMS Schlüssel zu gewähren.

Die folgende IAM Richtlinienanweisung ermöglicht es dem Principal beispielsweise, die DescribeKeyGenerateDataKey, Decrypt-Operationen nur für die KMS Schlüssel aufzurufen, die im Resource Element der Richtlinienanweisung aufgeführt sind. Die Angabe von KMS Schlüsseln nach SchlüsselnARN, was sich als bewährte Methode erwiesen hat, stellt sicher, dass die Berechtigungen nur auf die angegebenen KMS Schlüssel beschränkt sind.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
    ]
  }
}

Um die Berechtigung auf alle KMS Schlüssel eines bestimmten vertrauenswürdigen Schlüssels anzuwenden AWS-Konto, können Sie Platzhalterzeichen (*) an den Positionen Region und Schlüssel-ID verwenden. Die folgende Richtlinienanweisung ermöglicht es dem Prinzipal beispielsweise, die angegebenen Operationen für alle KMS Schlüssel in zwei vertrauenswürdigen Beispielkonten aufzurufen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair"
    ],
    "Resource": [
      "arn:aws:kms:*:111122223333:key/*",
      "arn:aws:kms:*:444455556666:key/*"
    ]
  }
}

Sie können auch nur ein Platzhalterzeichen ("*") in dem Resource-Element verwenden. Da sie den Zugriff auf alle KMS Schlüssel ermöglicht, zu deren Verwendung das Konto berechtigt ist, wird sie in erster Linie für Operationen ohne einen bestimmten KMS Schlüssel und für Deny Kontoauszüge empfohlen. Sie können es auch in Richtlinienanweisungen verwenden, die nur weniger vertrauliche schreibgeschützte Operationen erlauben. Um festzustellen, ob ein AWS KMS Vorgang einen bestimmten KMS Schlüssel beinhaltet, suchen Sie nach dem KMSSchlüsselwert in der Spalte Ressourcen der Tabelle unterAWS KMS Berechtigungen.

Die folgende Richtlinienanweisung verwendet beispielsweise einen Deny Effekt, um den Prinzipalen zu verbieten, die angegebenen Operationen für einen beliebigen KMS Schlüssel zu verwenden. Sie verwendet ein Platzhalterzeichen im Resource Element, um alle Schlüssel darzustellen. KMS

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": [
      "kms:CreateKey",
      "kms:PutKeyPolicy",
      "kms:CreateGrant",
      "kms:ScheduleKeyDeletion"
    ],
    "Resource": "*"
  }
}

In der folgenden Richtlinienanweisung wird ausschließlich ein Platzhalterzeichen verwendet, um alle KMS Schlüssel darzustellen. Sie erlaubt jedoch nur weniger sensible schreibgeschützte Operationen und Operationen, die sich nicht auf einen bestimmten Schlüssel beziehen. KMS

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:CreateKey",
      "kms:ListKeys",
      "kms:ListAliases",
      "kms:ListResourceTags"
    ],
    "Resource": "*"
  }
}