Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Untersuchen der Schlüsselrichtlinie [Schlüsselrichtlinien](key-policies.md) sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Jeder KMS-Schlüssel besitzt genau eine Schlüsselrichtlinie. Wenn eine Schlüsselrichtlinie aus der [Standard-Schlüsselrichtlinie](key-policy-default.md#key-policy-default-allow-root-enable-iam) besteht oder sie enthält, berechtigt die Schlüsselrichtlinie IAM-Administratoren im Konto dazu, mithilfe von IAM-Richtlinien den Zugriff auf den KMS-Schlüssel zu steuern. Wenn die Schlüsselrichtlinie einem [anderen AWS-Konto](key-policy-modifying-external-accounts.md) die Berechtigung zur Verwendung des KMS-Schlüssels erteilt, können die IAM-Administratoren im externen Konto diese Berechtigungen anhand von IAM-Richtlinien delegieren. Um die komplette Liste der Prinzipale mit Zugriff auf den KMS-Schlüssel zu bestimmen, [untersuchen Sie die IAM-Richtlinien](determining-access-iam-policies.md). Um die wichtigsten Richtlinien für einen vom AWS KMS [Kunden verwalteten Schlüssel](concepts.md#customer-mgn-key) oder [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key)in Ihrem Konto einzusehen, verwenden Sie die Operation AWS-Managementkonsole oder die [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)Operation in der AWS KMS API. Um die Schlüsselrichtlinie anzeigen zu können, müssen Sie über `kms:GetKeyPolicy`-Berechtigungen für den KMS-Schlüssel verfügen. Anweisungen zum Anzeigen der Schlüsselrichtlinie für einen KMS-Schlüssel finden Sie unter [Wichtige Richtlinien anzeigen](key-policy-viewing.md). Überprüfen Sie das Schlüssel-Richtliniendokument und notieren Sie alle Hauptpunkte, die in jedem `Principal` Element der Richtlinie aufgeführt ist. In einer Richtlinienerklärung mit `Allow` Wirkung haben die IAM-Benutzer, die IAM-Rollen und AWS-Konten das `Principal` Element Zugriff auf diesen KMS-Schlüssel. **Anmerkung** Setzen Sie den Prinzipal nicht auf ein Sternchen (\$1) in einer Schlüsselrichtlinienanweisung, die Berechtigungen erlaubt, es sei denn, Sie verwenden [Bedingungen](policy-conditions.md), um die Schlüsselrichtlinie einzuschränken. Ein Sternchen gibt jede Identität in jeder AWS-Konto Berechtigung zur Verwendung des KMS-Schlüssels an, sofern dies nicht in einer anderen Richtlinienanweisung ausdrücklich verweigert wird. Benutzer in anderen Ländern AWS-Konten können Ihren KMS-Schlüssel immer dann verwenden, wenn sie über entsprechende Berechtigungen in ihrem eigenen Konto verfügen. Die folgenden Beispiele verwenden die Richtlinien-Anweisungen in der [Standard-Schlüsselrichtlinie](key-policy-default.md), um dies zu demonstrieren. **Example Richtlinienanweisung 1** ``` { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" } ``` In Grundsatzerklärung 1 `arn:aws:iam::111122223333:root` ist dies ein [AWS Kontoprinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts), der sich auf AWS-Konto 111122223333 bezieht. (Er ist nicht der Root-Benutzer des Kontos.) Standardmäßig ist eine Richtlinienerklärung wie diese im Dokument mit den wichtigsten Richtlinien enthalten, wenn Sie einen neuen KMS-Schlüssel mit dem erstellen oder programmgesteuert einen neuen KMS-Schlüssel erstellen AWS-Managementkonsole, aber keine Schlüsselrichtlinie angeben. Ein wichtiges Richtliniendokument mit einer Erklärung, die den Zugriff auf die ermöglicht, AWS-Konto aktiviert die [IAM-Richtlinien im Konto, um den Zugriff auf den KMS-Schlüssel zu ermöglichen](key-policy-default.md#key-policy-default-allow-root-enable-iam). Das bedeutet, dass Benutzer und Rollen im Konto Zugriff auf den KMS-Schlüssel haben könnten, auch wenn sie explizit nicht als Prinzipale im Schlüsselrichtliniendokument aufgelistet sind. [Prüfen Sie sorgfältig alle IAM-Richtlinien in allen](determining-access-iam-policies.md) als Principals AWS-Konten aufgelisteten Richtlinien, um festzustellen, ob sie den Zugriff auf diesen KMS-Schlüssel ermöglichen. **Example Richtlinienanweisung 2** ``` { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } ``` `arn:aws:iam::111122223333:role/KMSKeyAdmins`Bezieht sich in Grundsatzerklärung 2 auf die IAM-Rolle mit dem Namen KMSKey Admins in 111122223333. AWS-Konto Benutzer, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen ausführen, die die administrativen Aktionen für die Verwaltung eines KMS-Schlüssels sind. **Example Richtlinienanweisung 3** ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" } ``` `arn:aws:iam::111122223333:role/EncryptionApp`Bezieht sich in Grundsatzerklärung 3 auf die in 111122223333 genannte IAM-Rolle. EncryptionApp AWS-Konto Prinzipale, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen durchführen, die die [kryptografischen Operationen](kms-cryptography.md#cryptographic-operations) für einen symmetrischen KMS-Schlüssel enthalten. **Example Richtlinienanweisung 4** ``` { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` `arn:aws:iam::111122223333:role/EncryptionApp`Bezieht sich in Grundsatzerklärung 4 auf die in 111122223333 genannte IAM-Rolle. EncryptionApp AWS-Konto Prinzipal, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen ausführen. Diese Aktionen in Kombination mit den erlaubten Aktionen in der **Beispiel-Richtlinienanweisung 3** sind diejenigen, die zum Delegieren der Verwendung des KMS-Schlüssels für die meisten [AWS -Services, die mit AWS KMS integriert sind](service-integration.md), erforderlich sind, insbesondere für die Services, die [Erteilungen](grants.md) verwenden. Der GrantIsFor AWSResource Wert [kms:](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) im `Condition` Element stellt sicher, dass die Delegierung nur zulässig ist, wenn es sich bei dem Delegaten um einen AWS Dienst handelt, der in die Autorisierung integriert ist und Grants zur Autorisierung verwendet. AWS KMS Die unterschiedlichen Möglichkeiten zum Angeben eines Prinzipals in einem Schlüsselrichtlinien-Dokument finden Sie unter [Angeben eines Prinzipals](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal_specifying) im *IAM-Benutzerhandbuch*. Weitere Informationen zu den AWS KMS wichtigsten Richtlinien finden Sie unter[Wichtige Richtlinien in AWS KMS](key-policies.md).