Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Untersuchen der Schlüsselrichtlinie

PDF
RSS
Fokusmodus
Untersuchen der Schlüsselrichtlinie - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlüsselrichtlinien sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Jeder KMS-Schlüssel besitzt genau eine Schlüsselrichtlinie.

Wenn eine Schlüsselrichtlinie aus der Standard-Schlüsselrichtlinie besteht oder sie enthält, berechtigt die Schlüsselrichtlinie IAM-Administratoren im Konto dazu, mithilfe von IAM-Richtlinien den Zugriff auf den KMS-Schlüssel zu steuern. Wenn die Schlüsselrichtlinie einem anderen AWS-Konto die Berechtigung zur Verwendung des KMS-Schlüssels erteilt, können die IAM-Administratoren im externen Konto diese Berechtigungen anhand von IAM-Richtlinien delegieren. Um die komplette Liste der Prinzipale mit Zugriff auf den KMS-Schlüssel zu bestimmen, untersuchen Sie die IAM-Richtlinien.

Um die wichtigsten Richtlinien für einen vom AWS KMS Kunden verwalteten Schlüssel oder Von AWS verwalteter Schlüsselin Ihrem Konto einzusehen, verwenden Sie die Operation AWS Management Console oder die GetKeyPolicyOperation in der AWS KMS API. Um die Schlüsselrichtlinie anzeigen zu können, müssen Sie über kms:GetKeyPolicy-Berechtigungen für den KMS-Schlüssel verfügen. Anweisungen zum Anzeigen der Schlüsselrichtlinie für einen KMS-Schlüssel finden Sie unter Wichtige Richtlinien anzeigen.

Überprüfen Sie das Schlüssel-Richtliniendokument und notieren Sie alle Hauptpunkte, die in jedem Principal Element der Richtlinie aufgeführt ist. In einer Richtlinienerklärung mit Allow Wirkung haben die IAM-Benutzer, die IAM-Rollen und AWS-Konten das Principal Element Zugriff auf diesen KMS-Schlüssel.

Anmerkung

Setzen Sie den Prinzipal nicht auf ein Sternchen (*) in einer Schlüsselrichtlinienanweisung, die Berechtigungen erlaubt, es sei denn, Sie verwenden Bedingungen, um die Schlüsselrichtlinie einzuschränken. Ein Sternchen gibt jede Identität in jeder AWS-Konto Berechtigung zur Verwendung des KMS-Schlüssels an, sofern dies nicht in einer anderen Richtlinienanweisung ausdrücklich verweigert wird. Benutzer in anderen Ländern AWS-Konten können Ihren KMS-Schlüssel immer dann verwenden, wenn sie über entsprechende Berechtigungen in ihrem eigenen Konto verfügen.

Die folgenden Beispiele verwenden die Richtlinien-Anweisungen in der Standard-Schlüsselrichtlinie, um dies zu demonstrieren.

Beispiel Richtlinienanweisung 1
{
  "Sid": "Enable IAM User Permissions",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
  "Action": "kms:*",
  "Resource": "*"
}

In Grundsatzerklärung 1 arn:aws:iam::111122223333:root ist dies ein AWS Kontoprinzipal, der sich auf AWS-Konto 111122223333 bezieht. (Er ist nicht der Root-Benutzer des Kontos.) Standardmäßig ist eine Richtlinienerklärung wie diese im Dokument mit den wichtigsten Richtlinien enthalten, wenn Sie einen neuen KMS-Schlüssel mit dem erstellen oder programmgesteuert einen neuen KMS-Schlüssel erstellen AWS Management Console, aber keine Schlüsselrichtlinie angeben.

Ein wichtiges Richtliniendokument mit einer Erklärung, die den Zugriff auf die ermöglicht, AWS-Konto aktiviert die IAM-Richtlinien im Konto, um den Zugriff auf den KMS-Schlüssel zu ermöglichen. Das bedeutet, dass Benutzer und Rollen im Konto Zugriff auf den KMS-Schlüssel haben könnten, auch wenn sie explizit nicht als Prinzipale im Schlüsselrichtliniendokument aufgelistet sind. Prüfen Sie sorgfältig alle IAM-Richtlinien in allen als Principals AWS-Konten aufgelisteten Richtlinien, um festzustellen, ob sie den Zugriff auf diesen KMS-Schlüssel ermöglichen.

Beispiel Richtlinienanweisung 2
{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"},
  "Action": [
    "kms:Describe*",
    "kms:Put*",
    "kms:Create*",
    "kms:Update*",
    "kms:Enable*",
    "kms:Revoke*",
    "kms:List*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

arn:aws:iam::111122223333:role/KMSKeyAdminsBezieht sich in Grundsatzerklärung 2 auf die IAM-Rolle mit dem Namen KMSKey Admins in 111122223333. AWS-Konto Benutzer, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen ausführen, die die administrativen Aktionen für die Verwaltung eines KMS-Schlüssels sind.

Beispiel Richtlinienanweisung 3
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"},
  "Action": [
    "kms:DescribeKey",
    "kms:GenerateDataKey*",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

arn:aws:iam::111122223333:role/EncryptionAppBezieht sich in Grundsatzerklärung 3 auf die in 111122223333 genannte IAM-Rolle. EncryptionApp AWS-Konto Prinzipale, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen durchführen, die die kryptografischen Operationen für einen symmetrischen KMS-Schlüssel enthalten.

Beispiel Richtlinienanweisung 4
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"},
  "Action": [
    "kms:ListGrants",
    "kms:CreateGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

arn:aws:iam::111122223333:role/EncryptionAppBezieht sich in Grundsatzerklärung 4 auf die in 111122223333 genannte IAM-Rolle. EncryptionApp AWS-Konto Prinzipal, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen ausführen. Diese Aktionen in Kombination mit den erlaubten Aktionen in der Beispiel-Richtlinienanweisung 3 sind diejenigen, die zum Delegieren der Verwendung des KMS-Schlüssels für die meisten AWS -Services, die mit AWS KMS integriert sind, erforderlich sind, insbesondere für die Services, die Erteilungen verwenden. Der GrantIsFor AWSResource Wert kms: im Condition Element stellt sicher, dass die Delegierung nur zulässig ist, wenn es sich bei dem Delegaten um einen AWS Dienst handelt, der in die Autorisierung integriert ist und Grants für deren Autorisierung verwendet. AWS KMS

Die unterschiedlichen Möglichkeiten zum Angeben eines Prinzipals in einem Schlüsselrichtlinien-Dokument finden Sie unter Angeben eines Prinzipals im IAM-Benutzerhandbuch.

Weitere Informationen zu den AWS KMS wichtigsten Richtlinien finden Sie unterWichtige Richtlinien in AWS KMS.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.