Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bestimmung des Zugriffs auf AWS KMS keys
Um zu ermitteln, wer oder was derzeit Zugriff auf eine hat AWS KMS key, müssen Sie die Schlüsselrichtlinie des KMS-Schlüssels, alle [Zuweisungen](grants.md), die für den KMS-Schlüssel gelten, und möglicherweise alle AWS Identity and Access Management (IAM-) Richtlinien untersuchen. Sie können damit den Umfang der potenziellen Nutzung eines KMS-Schlüssels bestimmen, oder Compliance- oder Auditing-Anforderungen erfüllen. Die folgenden Themen können Ihnen dabei helfen, eine vollständige Liste der AWS -Prinzipale (Identitäten) zu erzeugen, die derzeit Zugriff auf einen KMS-Schlüssel haben.
**Topics**
+ [Untersuchen der Schlüsselrichtlinie](determining-access-key-policy.md)
+ [Untersuchen von IAM-Richtlinien](determining-access-iam-policies.md)
+ [Prüfen von Erteilungen](determining-access-grants.md)
# Untersuchen der Schlüsselrichtlinie
[Schlüsselrichtlinien](key-policies.md) sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Jeder KMS-Schlüssel besitzt genau eine Schlüsselrichtlinie.
Wenn eine Schlüsselrichtlinie aus der [Standard-Schlüsselrichtlinie](key-policy-default.md#key-policy-default-allow-root-enable-iam) besteht oder sie enthält, berechtigt die Schlüsselrichtlinie IAM-Administratoren im Konto dazu, mithilfe von IAM-Richtlinien den Zugriff auf den KMS-Schlüssel zu steuern. Wenn die Schlüsselrichtlinie einem [anderen AWS-Konto](key-policy-modifying-external-accounts.md) die Berechtigung zur Verwendung des KMS-Schlüssels erteilt, können die IAM-Administratoren im externen Konto diese Berechtigungen anhand von IAM-Richtlinien delegieren. Um die komplette Liste der Prinzipale mit Zugriff auf den KMS-Schlüssel zu bestimmen, [untersuchen Sie die IAM-Richtlinien](determining-access-iam-policies.md).
Um die wichtigsten Richtlinien für einen vom AWS KMS [Kunden verwalteten Schlüssel](concepts.md#customer-mgn-key) oder [Von AWS verwalteter Schlüssel](concepts.md#aws-managed-key)in Ihrem Konto einzusehen, verwenden Sie die Operation AWS-Managementkonsole oder die [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)Operation in der AWS KMS API. Um die Schlüsselrichtlinie anzeigen zu können, müssen Sie über `kms:GetKeyPolicy`-Berechtigungen für den KMS-Schlüssel verfügen. Anweisungen zum Anzeigen der Schlüsselrichtlinie für einen KMS-Schlüssel finden Sie unter [Wichtige Richtlinien anzeigen](key-policy-viewing.md).
Überprüfen Sie das Schlüssel-Richtliniendokument und notieren Sie alle Hauptpunkte, die in jedem `Principal` Element der Richtlinie aufgeführt ist. In einer Richtlinienerklärung mit `Allow` Wirkung haben die IAM-Benutzer, die IAM-Rollen und AWS-Konten das `Principal` Element Zugriff auf diesen KMS-Schlüssel.
**Anmerkung**
Setzen Sie den Prinzipal nicht auf ein Sternchen (\$1) in einer Schlüsselrichtlinienanweisung, die Berechtigungen erlaubt, es sei denn, Sie verwenden [Bedingungen](policy-conditions.md), um die Schlüsselrichtlinie einzuschränken. Ein Sternchen gibt jede Identität in jeder AWS-Konto Berechtigung zur Verwendung des KMS-Schlüssels an, sofern dies nicht in einer anderen Richtlinienanweisung ausdrücklich verweigert wird. Benutzer in anderen Ländern AWS-Konten können Ihren KMS-Schlüssel immer dann verwenden, wenn sie über entsprechende Berechtigungen in ihrem eigenen Konto verfügen.
Die folgenden Beispiele verwenden die Richtlinien-Anweisungen in der [Standard-Schlüsselrichtlinie](key-policy-default.md), um dies zu demonstrieren.
**Example Richtlinienanweisung 1**
```
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:root"},
"Action": "kms:*",
"Resource": "*"
}
```
In Grundsatzerklärung 1 `arn:aws:iam::111122223333:root` ist dies ein [AWS Kontoprinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts), der sich auf AWS-Konto 111122223333 bezieht. (Er ist nicht der Root-Benutzer des Kontos.) Standardmäßig ist eine Richtlinienerklärung wie diese im Dokument mit den wichtigsten Richtlinien enthalten, wenn Sie einen neuen KMS-Schlüssel mit dem erstellen oder programmgesteuert einen neuen KMS-Schlüssel erstellen AWS-Managementkonsole, aber keine Schlüsselrichtlinie angeben.
Ein wichtiges Richtliniendokument mit einer Erklärung, die den Zugriff auf die ermöglicht, AWS-Konto aktiviert die [IAM-Richtlinien im Konto, um den Zugriff auf den KMS-Schlüssel zu ermöglichen](key-policy-default.md#key-policy-default-allow-root-enable-iam). Das bedeutet, dass Benutzer und Rollen im Konto Zugriff auf den KMS-Schlüssel haben könnten, auch wenn sie explizit nicht als Prinzipale im Schlüsselrichtliniendokument aufgelistet sind. [Prüfen Sie sorgfältig alle IAM-Richtlinien in allen](determining-access-iam-policies.md) als Principals AWS-Konten aufgelisteten Richtlinien, um festzustellen, ob sie den Zugriff auf diesen KMS-Schlüssel ermöglichen.
**Example Richtlinienanweisung 2**
```
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"},
"Action": [
"kms:Describe*",
"kms:Put*",
"kms:Create*",
"kms:Update*",
"kms:Enable*",
"kms:Revoke*",
"kms:List*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
}
```
`arn:aws:iam::111122223333:role/KMSKeyAdmins`Bezieht sich in Grundsatzerklärung 2 auf die IAM-Rolle mit dem Namen KMSKey Admins in 111122223333. AWS-Konto Benutzer, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen ausführen, die die administrativen Aktionen für die Verwaltung eines KMS-Schlüssels sind.
**Example Richtlinienanweisung 3**
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt"
],
"Resource": "*"
}
```
`arn:aws:iam::111122223333:role/EncryptionApp`Bezieht sich in Grundsatzerklärung 3 auf die in 111122223333 genannte IAM-Rolle. EncryptionApp AWS-Konto Prinzipale, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen durchführen, die die [kryptografischen Operationen](kms-cryptography.md#cryptographic-operations) für einen symmetrischen KMS-Schlüssel enthalten.
**Example Richtlinienanweisung 4**
```
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"},
"Action": [
"kms:ListGrants",
"kms:CreateGrant",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}
```
`arn:aws:iam::111122223333:role/EncryptionApp`Bezieht sich in Grundsatzerklärung 4 auf die in 111122223333 genannte IAM-Rolle. EncryptionApp AWS-Konto Prinzipal, die diese Rolle annehmen dürfen, dürfen die in der Richtlinienanweisung aufgeführten Aktionen ausführen. Diese Aktionen in Kombination mit den erlaubten Aktionen in der **Beispiel-Richtlinienanweisung 3** sind diejenigen, die zum Delegieren der Verwendung des KMS-Schlüssels für die meisten [AWS -Services, die mit AWS KMS integriert sind](service-integration.md), erforderlich sind, insbesondere für die Services, die [Erteilungen](grants.md) verwenden. Der GrantIsFor AWSResource Wert [kms:](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) im `Condition` Element stellt sicher, dass die Delegierung nur zulässig ist, wenn es sich bei dem Delegaten um einen AWS Dienst handelt, der in die Autorisierung integriert ist und Grants zur Autorisierung verwendet. AWS KMS
Die unterschiedlichen Möglichkeiten zum Angeben eines Prinzipals in einem Schlüsselrichtlinien-Dokument finden Sie unter [Angeben eines Prinzipals](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal_specifying) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu den AWS KMS wichtigsten Richtlinien finden Sie unter[Wichtige Richtlinien in AWS KMS](key-policies.md).
# Untersuchen von IAM-Richtlinien
Zusätzlich zu den Schlüsselrichtlinien und Berechtigungen können Sie auch [IAM-Richtlinien](iam-policies.md) verwenden, um den Zugriff auf einen KMS-Schlüssel zu erlauben. Weitere Informationen darüber, wie IAM-Richtlinien und Schlüsselrichtlinien zusammen funktionieren, finden Sie unter [Problembehandlung bei AWS KMS Berechtigungen](policy-evaluation.md).
Um zu bestimmen, welche Prinzipale derzeit über IAM-Richtlinien auf einen KMS-Schlüssel zugreifen können, verwenden Sie das browserbasierte [IAM-Richtliniensimulator](https://policysim.aws.amazon.com/)-Tool. Alternativ können Sie Anforderungen an die IAM-API durchführen.
**Contents**
+ [Untersuchen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](#determining-access-iam-policy-simulator)
+ [Untersuchen von IAM-Richtlinien mit der IAM-API](#determining-access-iam-api)
## Untersuchen von IAM-Richtlinien mit dem IAM-Richtliniensimulator
Mit dem IAM-Richtliniensimulator können Sie erfahren, welche Prinzipale über eine IAM-Richtlinie Zugriff auf einen KMS-Schlüssel haben.
**So verwenden Sie den IAM-Richtliniensimulator, um den Zugriff auf einen KMS-Schlüssel zu bestimmen**
1. Melden Sie sich beim an AWS-Managementkonsole und öffnen Sie dann den IAM Policy Simulator unter[https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).
1. Wählen Sie im Feld **Benutzer, Gruppen und Rollen** den Benutzer, Gruppe oder Rolle, deren Richtlinien Sie simulieren möchten.
1. (Optional) Deaktivieren Sie das Kontrollkästchen neben den Richtlinien, die Sie von der Simulation auslassen möchten. Um alle Richtlinien zu simulieren, markieren Sie alle Richtlinien.
1. Führen Sie im Bereich **Richtliniensimulator** die folgenden Schritte aus:
1. Wählen Sie für **Service wählen** die Option **Key Management Service**.
1. Um bestimmte AWS KMS Aktionen zu simulieren, **wählen Sie unter Aktionen auswählen** die zu simulierenden Aktionen aus. Um alle AWS KMS Aktionen zu simulieren, wählen **Sie Alle auswählen**.
1. (Optional) Der Richtliniensimulator simuliert standardmäßig einen Zugriff auf alle KMS-Schlüssel. Um den Zugriff auf einen bestimmten KMS-Schlüssel zu simulieren, wählen Sie **Simulation Settings (Simulationseinstellungen)** und geben Sie dann den Amazon-Ressourcennamen (ARN) des zu simulierenden KMS-Schlüssels ein.
1. Wählen Sie **Run Simulation (Simulation ausführen)**.
Sie können die Ergebnisse der Simulation im Abschnitt **Ergebnisse** sehen. Wiederholen Sie die Schritte 2 bis 6 für alle Benutzer, Gruppen und Rollen im AWS-Konto.
## Untersuchen von IAM-Richtlinien mit der IAM-API
Sie können mit der IAM-API programmgesteuert IAM-Richtlinien untersuchen. Die folgenden Schritte bieten eine allgemeine Übersicht darüber:
1. Verwenden Sie für jede, die in der Schlüsselrichtlinie als Prinzipal AWS-Konto aufgeführt ist (d. h. für jeden [AWS Kontoprinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts), der in diesem Format angegeben ist:`"Principal": {"AWS": "arn:aws:iam::111122223333:root"}`), die [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)Operationen [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)und in der IAM-API, um alle Benutzer und Rollen im Konto abzurufen.
1. Verwenden Sie für jeden Benutzer und jede Rolle in der Liste den [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)Vorgang in der IAM-API und übergeben Sie dabei die folgenden Parameter:
+ Geben Sie für `PolicySourceArn` den Amazon-Ressourcennamen (ARN) für einen Benutzer oder eine Rolle aus der Liste an. Sie können nur jeweils einen `PolicySourceArn` pro `SimulatePrincipalPolicy`-Anforderung angeben. Deshalb müssen Sie diese Operation mehrfach aufrufen – jeweils einmal für jeden Benutzer und jede Rolle in der Liste.
+ Geben Sie für die `ActionNames` Liste jede AWS KMS API-Aktion an, die simuliert werden soll. Um alle AWS KMS API-Aktionen zu simulieren, verwenden Sie`kms:*`. Um einzelne AWS KMS API-Aktionen zu testen, stellen Sie jeder API-Aktion "`kms:`" voran, zum Beispiel "`kms:ListKeys`“. Eine vollständige Liste aller AWS KMS -API-Aktionen finden Sie unter [Aktionen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) in der *AWS Key Management Service -API-Referenz*.
+ (Optional) Um zu ermitteln, ob die Benutzer oder Rollen Zugriff auf bestimmte KMS-Schlüssel haben, verwenden Sie den `ResourceArns` Parameter, um eine Liste der Amazon-Ressourcennamen (ARNs) der KMS-Schlüssel anzugeben. Vermeiden Sie den `ResourceArns`-Parameter, um zu prüfen, ob die Benutzer oder Rollen Zugriff auf irgendwelche KMS-Schlüssel haben.
IAM antwortet auf jede `SimulatePrincipalPolicy`-Anforderung mit einer Bewertungsentscheidung: `allowed`, `explicitDeny`, oder `implicitDeny`. Für jede Antwort, die eine Bewertungsentscheidung von enthält`allowed`, enthält die Antwort den Namen des spezifischen AWS KMS API-Vorgangs, der zulässig ist. Darüber hinaus enthält sie den ARN des KMS-Schlüssels, der in der Bewertung verwendet wurde, falls vorhanden.
# Prüfen von Erteilungen
Grants sind erweiterte Mechanismen zur Angabe von Berechtigungen, mit denen Sie oder ein integrierter AWS Dienst angeben AWS KMS können, wie und wann ein KMS-Schlüssel verwendet werden kann. Erteilungen werden einem KMS-Schlüssel angefügt. Jede Erteilung enthält den Prinzipal, dem die Berechtigung zur Verwendung des KMS-Schlüssels erteilt wird, sowie eine Liste der erlaubten Produktionen. Berechtigungen sind eine Alternative zu den Schlüsselrichtlinien und eignen sich für bestimmte Anwendungsfälle. Weitere Informationen finden Sie unter [Zuschüsse in AWS KMS](grants.md).
Verwenden Sie den AWS KMS [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)Vorgang, um eine Liste der Berechtigungen für einen KMS-Schlüssel abzurufen. Sie können die Erteilungen für einen KMS-Schlüssel untersuchen, um zu bestimmen, wer oder was derzeit über diese Erteilungen Zugriff auf den KMS-Schlüssel hat. Das folgende Beispiel ist eine JSON-Darstellung einer Erteilung, die vom Befehl [list-grants](https://docs.aws.amazon.com/cli/latest/reference/kms/list-grants.html) in der AWS CLI abgerufen wurde.
```
{"Grants": [{
"Operations": ["Decrypt"],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
"RetiringPrincipal": "arn:aws:iam::123456789012:root",
"GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
"GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": 1.444151834E9,
"Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}
```
Um herauszufinden, wer oder was Zugriff auf den KMS-Schlüssel hat, suchen Sie nach dem `"GranteePrincipal"`-Element. Im vorherigen Beispiel ist der Empfänger-Prinzipal ein Benutzer der angenommene Rolle, der mit der EC2-Instance i-5d476fab verknüpft ist. Die EC2-Infrastruktur verwendet diese Rolle, um das verschlüsselten EBS-Volume vol-5cccfb4e an die Instance anzufügen. In diesem Fall ist die EC2-Infrastruktur-Rolle berechtigt, den KMS-Schlüssel zu verwenden, da Sie zuvor ein verschlüsseltes EBS-Volume erstellt haben, das von diesem KMS-Schlüssel geschützt wird. Anschließend haben Sie das Volume an eine EC2-Instance angefügt.
Hier ein weiteres Beispiel einer JSON-Darstellung einer Erteilung, die vom Befehl [list-grants](https://docs.aws.amazon.com/cli/latest/reference/kms/list-grants.html) in der AWS CLI abgerufen wurde. Im folgenden Beispiel ist der Principal des Empfängers ein weiterer AWS-Konto.
```
{"Grants": [{
"Operations": ["Encrypt"],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "",
"GranteePrincipal": "arn:aws:iam::444455556666:root",
"GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": 1.444151269E9
}]}
```