Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

KMS-Schlüsselzugriff und -berechtigungen

PDF
RSS
Fokusmodus
KMS-Schlüsselzugriff und -berechtigungen - AWS Key Management Service
KMS-Schlüsselrichtlinien KMS-Schlüsselzuschüsse

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Für die Verwendung AWS KMS benötigen Sie Anmeldeinformationen, mit denen Sie Ihre Anfragen authentifizieren AWS können. Die Anmeldeinformationen müssen Berechtigungen für den Zugriff auf AWS Ressourcen AWS KMS keys und Aliase enthalten. Kein AWS Prinzipal hat Berechtigungen für einen KMS-Schlüssel, es sei denn, diese Berechtigung wird ausdrücklich erteilt und niemals verweigert. Es gibt keine implizite oder automatische Berechtigung zur Verwendung oder Verwaltung eines KMS-Schlüssels.

Um den Zugriff auf Ihre KMS-Schlüssel zu steuern, können Sie die folgenden Richtlinienmechanismen verwenden.

  • Schlüsselrichtlinie – Jeder KMS-Schlüssel besitzt eine Schlüsselrichtlinie. Schlüsselrichtlinien sind der primäre Mechanismus zur Steuerung des Zugriffs auf KMS-Schlüssel. Sie können einzig die Schlüsselrichtlinie zum Steuern des Zugriffs verwenden, was bedeutet, dass der vollständige Umfang des Zugriffs auf den KMS-Schlüssel in einem einzigen Dokument definiert wird (der Schlüsselrichtlinie). Weitere Informationen zur Verwendung von Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinien.

  • Verwendung von IAM-Richtlinien in Kombination mit der Schlüsselrichtlinie – Sie können IAM-Richtlinien in Kombination mit der Schlüsselrichtlinie verwenden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Diese Art der Zugriffssteuerung ermöglicht Ihnen die Verwaltung aller Berechtigungen für Ihre IAM-Identitäten in IAM. Um mit einer IAM-Richtlinie den Zugriff auf einen KMS-Schlüssel zu ermöglichen, muss die Schlüsselrichtlinie dies explizit erlauben. Weitere Informationen zur Verwendung von IAM-Richtlinien finden Sie unter IAM-Richtlinien.

  • Erteilungen – Sie können Erteilungen in Kombination mit der Schlüsselrichtlinie und IAM-Richtlinien verwenden, um den Zugriff auf einen KMS-Schlüssel zu ermöglichen. Diese Art der Zugriffssteuerung ermöglicht es Ihnen, Zugriff auf den KMS-Schlüssel in der Schlüsselrichtlinie zu gewähren und Identitäten die Berechtigung zur Delegierung ihres Zugriffs zu erteilen. Weitere Informationen zur Verwendung von Zugriffserteilungen finden Sie unter Zuschüsse in AWS KMS.

KMS-Schlüsselrichtlinien

Der Zugriff auf Ihre AWS KMS Ressourcen lässt sich in erster Linie mithilfe von Richtlinien verwalten. Richtlinien sind Dokumente, in denen beschrieben wird, welche Prinzipale auf welche Ressourcen zugreifen können. Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als identitätsbasierte Richtlinien (oder IAM-Richtlinien) bezeichnet, und Richtlinien, die mit anderen Arten von Ressourcen verknüpft sind, werden als Ressourcenrichtlinien bezeichnet. AWS KMS Ressourcenrichtlinien für KMS-Schlüssel werden als Schlüsselrichtlinien bezeichnet.

Alle KMS-Schlüssel verfügen über eine Schlüsselrichtlinie. Wenn Sie keine angeben, AWS KMS wird eine für Sie erstellt. Die verwendete Standardschlüsselrichtlinie unterscheidet sich je nachdem, ob Sie den Schlüssel in der AWS KMS Konsole erstellen oder die AWS KMS API verwenden. AWS KMS Wir empfehlen Ihnen, die Standard-Schlüsselrichtlinie so zu bearbeiten, dass sie den Anforderungen Ihrer Organisation für Berechtigungen mit den geringsten Rechten entspricht.

Sie können nur die Schlüsselrichtlinie verwenden, um den Zugriff zu steuern, wenn sich der Schlüssel und der IAM-Prinzipal in demselben AWS Konto befinden. Das bedeutet, dass der gesamte Zugriffsumfang auf den KMS-Schlüssel in einem einzigen Dokument (der Schlüsselrichtlinie) definiert ist. Wenn jedoch ein Anrufer in einem Konto auf einen Schlüssel in einem anderen Konto zugreifen muss, können Sie die Schlüsselrichtlinie nicht allein verwenden, um den Zugriff zu gewähren. Im kontoübergreifenden Szenario muss dem Benutzer oder der Rolle des Anrufers eine IAM-Richtlinie zugewiesen werden, die es dem Anrufer ausdrücklich ermöglicht, den API-Aufruf durchzuführen.

Sie können IAM-Richtlinien auch in Kombination mit wichtigen Richtlinien und Zuschüssen verwenden, um den Zugriff auf einen KMS-Schlüssel zu kontrollieren. Um eine IAM-Richtlinie zur Steuerung des Zugriffs auf einen KMS-Schlüssel zu verwenden, muss die Schlüsselrichtlinie dem Konto die Erlaubnis zur Verwendung von IAM-Richtlinien erteilen. Sie können entweder eine wichtige Richtlinienerklärung angeben, die IAM-Richtlinien aktiviert, oder Sie können in der Schlüsselrichtlinie explizit zulässige Prinzipale angeben.

Achten Sie beim Schreiben von Richtlinien darauf, dass Sie über strenge Kontrollen verfügen, die einschränken, wer die folgenden Aktionen ausführen kann:

  • Aktualisieren, erstellen und löschen Sie IAM- und KMS-Schlüsselrichtlinien

  • Hängen Sie IAM-Richtlinien an Benutzer, Rollen und Gruppen an und trennen Sie sie

  • Hängen Sie KMS-Schlüsselrichtlinien an Ihre KMS-Schlüssel an und trennen Sie sie

KMS-Schlüsselzuschüsse

AWS KMS Unterstützt neben IAM und wichtigen Richtlinien auch Zuschüsse. Zuschüsse bieten eine flexible und leistungsstarke Möglichkeit, Berechtigungen zu delegieren. Mithilfe von Zuschüssen können Sie zeitgebundenen KMS-Schlüsselzugriff auf IAM-Prinzipale in Ihrem AWS Konto oder in anderen Konten gewähren. AWS Wir empfehlen, zeitgebundenen Zugriff zu gewähren, wenn Sie die Namen der Principals zum Zeitpunkt der Erstellung der Richtlinien nicht kennen oder wenn sich die Principals, für die Zugriff erforderlich ist, häufig ändern. Der Prinzipal des Empfängers kann sich in demselben Konto wie der KMS-Schlüssel oder in einem anderen Konto befinden. Wenn sich der Prinzipal und der KMS-Schlüssel in unterschiedlichen Konten befinden, müssen Sie zusätzlich zum Zuschuss eine IAM-Richtlinie angeben. Zuschüsse erfordern zusätzliche Verwaltung, da Sie eine API aufrufen müssen, um den Zuschuss zu erstellen und den Zuschuss zurückzuziehen oder zu widerrufen, wenn er nicht mehr benötigt wird.

In den folgenden Themen finden Sie Informationen darüber, wie Sie AWS Identity and Access Management (IAM) und AWS KMS Berechtigungen verwenden können, um Ihre Ressourcen zu schützen, indem Sie kontrollieren, wer darauf zugreifen kann.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.