Steuert den Zugriff auf das Löschen von Schlüsseln - AWS Key Management Service
Erlauben Sie Schlüsseladministratoren, das Löschen von Schlüsseln zu planen und abzubrechen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuert den Zugriff auf das Löschen von Schlüsseln

Wenn Sie IAM-Richtlinien verwenden, um AWS KMS Berechtigungen zuzulassen, sind IAM-Identitäten mit AWS Administratorzugriff ("Action": "*") oder AWS KMS Vollzugriff ("Action": "kms:*") bereits berechtigt, das Löschen von KMS-Schlüsseln per Schlüssel zu planen und abzubrechen. Um es Schlüsseladministratoren zu ermöglichen, das Löschen von Schlüsseln in der Schlüsselrichtlinie zu planen und abzubrechen, verwenden Sie die AWS KMS Konsole oder die API. AWS KMS

In der Regel sind nur Schlüsseladministratoren berechtigt, das Löschen von Schlüsseln zu planen oder abzubrechen. Sie können diese Berechtigungen jedoch auch anderen IAM-Identitäten erteilen, indem Sie der Schlüsselrichtlinie oder einer IAM-Richtlinie die Berechtigungen kms:ScheduleKeyDeletion und kms:CancelKeyDeletion hinzufügen. Sie können den kms:ScheduleKeyDeletionPendingWindowInDaysBedingungsschlüssel auch verwenden, um die Werte, die Prinzipale im PendingWindowInDays Parameter einer ScheduleKeyDeletionAnfrage angeben können, weiter einzuschränken.

Erlauben Sie Schlüsseladministratoren, das Löschen von Schlüsseln zu planen und abzubrechen

So erteilen Sie Schlüsseladministratoren die Berechtigung, das Löschen von Schlüsseln zu planen und abzubrechen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Wählen Sie den Alias oder die Schlüssel-ID des KMS-Schlüssels, dessen Berechtigungen Sie ändern möchten.

  5. Wählen Sie die Registerkarte Key policy (Schlüsselrichtlinie).

  6. Der nächste Schritt unterscheidet sich für die Standardansicht und die Richtlinienansicht Ihrer Schlüsselrichtlinie. Die Standardansicht ist nur verfügbar, wenn Sie die standardmäßige Konsolenschlüsselrichtlinie verwenden. Andernfalls ist nur die Richtlinienansicht verfügbar.

    Wenn die Standardansicht verfügbar ist, wird auf der Registerkarte Key policy (Schlüsselrichtlinie) die Schaltfläche Switch to policy view (zur Richtlinienansicht wechseln) oder Switch to default view (zur Standardansicht wechseln) angezeigt.

    • In der Standardansicht:

      1. Wählen Sie unter Key deletion (Schlüssel-Löschung) die Option Allow key administrators to delete this key (Schlüsseladministratoren das Löschen dieses Schlüssels erlauben) aus.

    • In der Richtlinienansicht:

      1. Wählen Sie Edit (Bearbeiten) aus.

      2. Fügen Sie in der Richtlinienanweisung für Schlüsseladministratoren dem Action-Element die Berechtigungen kms:ScheduleKeyDeletion und kms:CancelKeyDeletion hinzu.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Wählen Sie Änderungen speichern.

Sie können das verwenden AWS Command Line Interface , um Berechtigungen für das Planen und Abbrechen des Löschens von Schlüsseln hinzuzufügen.

So fügen Sie Berechtigungen zum Planen und Abbrechen der Löschung eines Schlüssels hinzu

  1. Verwenden Sie den Befehl aws kms get-key-policy, um die vorhandene Schlüsselrichtlinie aufzurufen, und speichern Sie das Richtliniendokument dann in einer Datei.

  2. Öffnen Sie die Richtlinien in Ihrem bevorzugten Texteditor. Fügen Sie in der Richtlinienerklärung für Schlüsseladministratoren die Berechtigungenkms:ScheduleKeyDeletion und kms:CancelKeyDeletion hinzu. Das folgende Beispiel zeigt eine Richtlinienanweisung mit diesen zwei Berechtigungen:

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Verwenden Sie den Befehl aws kms put-key-policy, um die Schlüsselrichtlinie auf den KMS-Schlüssel anzuwenden.