Kontrolle des Zugangs zum Löschen von Schlüsseln - AWS Key Management Service
Verwendung der AWS Management ConsoleVerwenden des AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontrolle des Zugangs zum Löschen von Schlüsseln

Wenn Sie IAM-Richtlinien verwenden, um AWS KMS-Berechtigungen zuzulassen, sind IAM-Identitäten mit AWS-Administratorzugriff ("Action": "*") oder AWS KMS-Vollzugriff ("Action": "kms:*") bereits berechtigt, die Löschung von KMS-Schlüsseln zu planen und abzubrechen. Verwenden Sie die AWS KMS-Konsole oder dieAWS KMS-API, um Schlüsseladministratoren zu ermöglichen, das Löschen von Schlüsseln in der Schlüsselrichtlinie zu planen und abzubrechen.

In der Regel sind nur Schlüsseladministratoren berechtigt, das Löschen von Schlüsseln zu planen oder abzubrechen. Sie können diese Berechtigungen jedoch auch anderen IAM-Identitäten erteilen, indem Sie der Schlüsselrichtlinie oder einer IAM-Richtlinie die Berechtigungen kms:ScheduleKeyDeletion und kms:CancelKeyDeletion hinzufügen. Sie können den kms:ScheduleKeyDeletionPendingWindowInDays Bedingungsschlüssel auch verwenden, um die Werte, die Prinzipale im PendingWindowInDays Parameter einer ScheduleKeyDeletion Anforderung angeben können, weiter einzuschränken.

Schlüsseladministratoren das Planen und Abbrechen der Löschung von Schlüsseln ermöglichen (Konsole)

So erteilen Sie Schlüsseladministratoren die Berechtigung, das Löschen von Schlüsseln zu planen und abzubrechen.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Wählen Sie den Alias oder die Schlüssel-ID des KMS-Schlüssels, dessen Berechtigungen Sie ändern möchten.

  5. Wählen Sie die Registerkarte Key policy (Schlüsselrichtlinie).

  6. Der nächste Schritt unterscheidet sich für die Standardansicht und die Richtlinienansicht Ihrer Schlüsselrichtlinie. Die Standardansicht ist nur verfügbar, wenn Sie die standardmäßige Konsolenschlüsselrichtlinie verwenden. Andernfalls ist nur die Richtlinienansicht verfügbar.

    Wenn die Standardansicht verfügbar ist, wird auf der Registerkarte Key policy (Schlüsselrichtlinie) die Schaltfläche Switch to policy view (zur Richtlinienansicht wechseln) oder Switch to default view (zur Standardansicht wechseln) angezeigt.

    • In der Standardansicht:

      1. Wählen Sie unter Key deletion (Schlüssel-Löschung) die Option Allow key administrators to delete this key (Schlüsseladministratoren das Löschen dieses Schlüssels erlauben) aus.

    • In der Richtlinienansicht:

      1. Wählen Sie Bearbeiten aus.

      2. Fügen Sie in der Richtlinienanweisung für Schlüsseladministratoren dem Action-Element die Berechtigungen kms:ScheduleKeyDeletion und kms:CancelKeyDeletion hinzu.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Wählen Sie Änderungen speichern aus.

Schlüsseladministratoren das Planen und Abbrechen der Löschung von Schlüsseln ermöglichen (AWS CLI)

Verwenden Sie die AWS Command Line Interface, um Berechtigungen für die Planung und das Abbrechen der Löschung von Schlüsseln hinzuzufügen.

So fügen Sie Berechtigungen zum Planen und Abbrechen der Löschung eines Schlüssels hinzu

  1. Verwenden Sie den Befehl aws kms get-key-policy, um die vorhandene Schlüsselrichtlinie aufzurufen, und speichern Sie das Richtliniendokument dann in einer Datei.

  2. Öffnen Sie die Richtlinien in Ihrem bevorzugten Texteditor. Fügen Sie in der Richtlinienerklärung für Schlüsseladministratoren die Berechtigungenkms:ScheduleKeyDeletion und kms:CancelKeyDeletion hinzu. Das folgende Beispiel zeigt eine Richtlinienanweisung mit diesen zwei Berechtigungen:

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Verwenden Sie den Befehl aws kms put-key-policy, um die Schlüsselrichtlinie auf den KMS-Schlüssel anzuwenden.