AWS globale Bedingungsschlüssel - AWS Key Management Service
Verwenden der IP-AdressbedingungNutzungs VPC - und VPC Endpunktbedingungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS globale Bedingungsschlüssel

AWS definiert globale Bedingungsschlüssel, eine Reihe von Schlüsseln für Richtlinienbedingungen für alle AWS Dienste, die IAM für die Zugriffskontrolle verwendet werden. AWS KMS unterstützt alle globalen Bedingungsschlüssel. Sie können sie in AWS KMS wichtigen Richtlinien und IAM Richtlinien verwenden.

Sie können beispielsweise den PrincipalArn globalen Bedingungsschlüssel aws: verwenden, um den Zugriff auf einen AWS KMS key (KMSSchlüssel) nur dann zuzulassen, wenn der Principal in der Anfrage durch den Amazon-Ressourcennamen (ARN) im Bedingungsschlüsselwert repräsentiert wird. Um die attributebasierte Zugriffskontrolle (ABAC) in zu unterstützen AWS KMS, können Sie den globalen Bedingungsschlüssel aws:ResourceTag/tag-key in einer IAM Richtlinie verwenden, um den Zugriff auf Schlüssel mit einem bestimmten Tag zu KMS ermöglichen.

Um zu verhindern, dass ein AWS Dienst in einer Richtlinie, in der der Principal ein AWS Service Principal ist, als verwirrter Stellvertreter verwendet wird, können Sie den aws:SourceArn oder aws:SourceAccountglobale Bedingungsschlüssel. Details hierzu finden Sie unter Verwenden der Bedingungsschlüssel aws:SourceArn oder aws:SourceAccount.

Informationen zu AWS globalen Bedingungsschlüsseln, einschließlich der Arten von Anfragen, in denen sie verfügbar sind, finden Sie im IAMBenutzerhandbuch unter AWS Globale Bedingungskontextschlüssel. Beispiele für die Verwendung globaler Bedingungsschlüssel in IAM Richtlinien finden Sie unter Steuern des Zugriffs auf Anfragen und Steuern von Tagschlüsseln im IAMBenutzerhandbuch.

Die folgenden Themen enthalten spezielle Anleitungen zur Verwendung von Bedingungsschlüsseln, die auf IP-Adressen und VPC Endpunkten basieren.

Verwenden der IP-Adressbedingung in Richtlinien mit AWS KMS -Berechtigungen

Sie können AWS KMS es verwenden, um Ihre Daten in einem integrierten AWS Dienst zu schützen. Seien Sie jedoch vorsichtig, wenn Sie die Operatoren für die aws:SourceIp IP-Adressbedingung oder den Bedingungsschlüssel in derselben Richtlinienerklärung angeben, die den Zugriff AWS KMS gewährt oder verweigert. Beispielsweise beschränkt die Richtlinie in AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP AWS Aktionen auf Anfragen aus dem angegebenen IP-Bereich.

Betrachten Sie folgendes Szenario:

  1. Sie fügen einer Identität eine Richtlinie wie die unter AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP gezeigte Richtlinie an. IAM Sie legen als Wert für den aws:SourceIp-Bedingungsschlüssel den IP-Adressbereich für das Unternehmen des Benutzers fest. Mit dieser IAM Identität sind weitere Richtlinien verknüpft, die es ihr ermöglichenEBS, AmazonEC2, Amazon und zu verwenden AWS KMS.

  2. Die Identität versucht, ein verschlüsseltes EBS Volume an eine EC2 Instance anzuhängen. Diese Aktion schlägt aufgrund eines Autorisierungsfehlers fehl, obwohl der Benutzer zur Verwendung aller relevanten Services berechtigt ist.

Schritt 2 schlägt fehl, weil die Anfrage AWS KMS zur Entschlüsselung des verschlüsselten Datenschlüssels des Volumes von einer IP-Adresse stammt, die mit der EC2 Amazon-Infrastruktur verknüpft ist. Dieser Schritt wird nur erfolgreich durchgeführt, wenn die Anforderung von der IP-Adresse des ursprünglichen Benutzers stammt. Da die Richtlinie in Schritt 1 ausdrücklich alle Anfragen von anderen als den angegebenen IP-Adressen ablehnt, EC2 wird Amazon die Erlaubnis verweigert, den verschlüsselten Datenschlüssel des EBS Volumes zu entschlüsseln.

Außerdem ist der aws:sourceIP Bedingungsschlüssel nicht wirksam, wenn die Anfrage von einem VPCAmazon-Endpunkt kommt. Um Anfragen auf einen VPC Endpunkt, einschließlich eines AWS KMS VPCEndpunkts, zu beschränken, verwenden Sie die aws:sourceVpc Bedingungsschlüssel aws:sourceVpce oder. Weitere Informationen finden Sie unter VPCEndpoints — Controlling the Use of Endpoints im VPCAmazon-Benutzerhandbuch.

Verwendung von VPC Endpunktbedingungen in Richtlinien mit Berechtigungen AWS KMS

AWS KMS unterstützt Amazon Virtual Private Cloud (AmazonVPC) -Endpunkte, die betrieben werden von AWS PrivateLink. Sie können die folgenden globalen Bedingungsschlüssel in wichtigen Richtlinien und IAM Richtlinien verwenden, um den Zugriff auf AWS KMS Ressourcen zu kontrollieren, wenn die Anfrage von einem VPC Endpunkt kommt VPC oder einen verwendet. Details hierzu finden Sie unter Verwenden Sie VPC Endpunkte, um den Zugriff auf Ressourcen zu AWS KMS kontrollieren.

  • aws:SourceVpcschränkt den Zugriff auf Anfragen von den angegebenen Daten einVPC.

  • aws:SourceVpceschränkt den Zugriff auf Anfragen vom angegebenen VPC Endpunkt ein.

Wenn Sie diese Bedingungsschlüssel verwenden, um den Zugriff auf KMS Schlüssel zu steuern, verweigern Sie möglicherweise versehentlich den Zugriff auf AWS Dienste, die in Ihrem Namen verwendet AWS KMS werden.

Seien Sie sorgsam darum bemüht, eine Situation wie das IP-Adressen-Bedingungsschlüssel Beispiel zu vermeiden. Wenn Sie Anfragen für einen KMS Schlüssel auf einen VPC VPC OR-Endpunkt beschränken, schlagen Aufrufe AWS KMS von einem integrierten Service wie Amazon S3 oder Amazon EBS möglicherweise fehl. Dies kann auch dann passieren, wenn die Quellanforderung letztendlich vom VPC oder vom VPC Endpunkt stammt.