Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zuschüsse in AWS KMS
Eine Erteilung ist ein Richtlinieninstrument, das es AWS -Prinzipalen erlaubt, KMS-Schlüssel in kryptografischen Operationen zu verwenden. Es kann ihnen auch erlauben, einen KMS-Schlüssel anzuzeigen (DescribeKey
) und Erteilungen zu erstellen und zu verwalten. Bei der Autorisierung des Zugriffs auf einen KMS-Schlüssel werden Erteilungen zusammen mit Schlüsselrichtlinien und IAM-Richtlinien berücksichtigt. Erteilungen werden häufig für temporäre Berechtigungen verwendet, da Sie eine erstellen, deren Berechtigungen verwenden und sie dann wieder löschen können, ohne Ihre Schlüsselrichtlinien oder IAM-Richtlinien zu ändern.
Grants werden häufig von AWS Diensten verwendet, die sich integrieren, AWS KMS um Ihre Daten im Ruhezustand zu verschlüsseln. Der Service erstellt eine Erteilung im Namen eines Benutzers im Konto, verwendet seine Berechtigungen und hebt die Erteilung auf, sobald die Aufgabe abgeschlossen ist. Einzelheiten darüber, wie AWS Dienste Zuschüsse verwenden, finden Sie unter dem Thema Verschlüsselung im Ruhezustand im Benutzer- oder Entwicklerhandbuch des jeweiligen Dienstes.
Erteilungen sind ein sehr flexibler und nützlicher Zugriffsteuerungs-Mechanismus. Wenn Sie eine Erteilung für einen KMS-Schlüssel erstellen, erlaubt die Erteilung es dem Empfänger-Prinzipal, die angegebenen Erteilungs-Operationen für den KMS-Schlüssel aufzurufen, vorausgesetzt, dass alle in der Erteilung angegebenen Bedingungen erfüllt sind.
-
Jede Erteilung erlaubt den Zugriff auf genau einen KMS-Schlüssel. Sie können eine Erteilung für einen KMS-Schlüssel in einem anderen AWS-Konto erstellen.
-
Eine Erteilung kann den Zugriff auf einen KMS-Schlüssel erlauben, aber nicht den Zugriff verweigern.
-
Jede Erteilung hat einen Empfänger-Prinzipal. Der Principal des Empfängers kann eine oder mehrere Identitäten im selben AWS-Konto KMS-Schlüssel oder in einem anderen Konto repräsentieren.
-
Eine Erteilung kann nur Erteilungs-Operationen erlauben. Die Erteilungs-Operationen müssen durch den KMS-Schlüssel in der Erteilung unterstützt werden. Wenn Sie einen nicht unterstützten Vorgang angeben, schlägt die CreateGrantAnforderung mit einer Ausnahme fehl.
ValidationError
-
Der Empfänger-Prinzipal können die Berechtigungen verwenden, die ihnen durch die Erteilung gewährt werden, ohne die Erteilung anzugeben, genauso wie wenn die Berechtigungen aus einer Schlüsselrichtlinie oder IAM-Richtlinie stammen. Da die AWS KMS API jedoch einem Konsistenzmodell folgt, kann es bei der Erstellung, Einstellung oder Widerruf eines Zuschusses zu einer kurzen Verzögerung kommen, bis die Änderung vollständig verfügbar ist. AWS KMS Um die Berechtigungen in einer Erteilung sofort zu verwenden, verwenden Sie einen Erteilungs-Token.
-
Ein autorisierter Prinzipal kann die Erteilung löschen, (aufheben oder widerrufen). Durch das Löschen einer Erteilung entfallen alle Berechtigungen, die durch die Erteilung erlaubt wurden. Sie müssen nicht herausfinden, welche Richtlinien hinzugefügt oder entfernt werden sollen, um die Erteilung rückgängig zu machen.
-
AWS KMS begrenzt die Anzahl der Grants für jeden KMS-Schlüssel. Details hierzu finden Sie unter Erteilungen pro KMS-Schlüssel: 50 000.
Seien Sie vorsichtig, wenn Sie Erteilungen erstellen und anderen die Berechtigung zum Erstellen von Erteilungen erteilen. Die Erlaubnis zur Erstellung von Zuschüssen hat Auswirkungen auf die Sicherheit, ähnlich wie die PutKeyPolicyErlaubnis, Richtlinien festzulegen, der kms-Berechtigung.
-
Benutzer mit der Berechtigung, Berechtigungen für einen KMS-Schlüssel (
kms:CreateGrant
) zu erstellen, können eine Erteilung verwenden, um Benutzern und Rollen, einschließlich AWS Diensten, die Verwendung des KMS-Schlüssels zu ermöglichen. Bei den Prinzipalen kann es sich um eigene Identitäten AWS-Konto oder um Identitäten in einem anderen Konto oder einer anderen Organisation handeln. -
Zuschüsse können nur eine Teilmenge von Vorgängen ermöglichen. AWS KMS Sie können Erteilungen verwenden, um es Prinzipalen zu erlauben, den KMS-Schlüssel anzuzeigen, ihn in kryptografischen Operationen zu verwenden und Erteilungen zu erstellen und außer Betrieb zu nehmen. Details dazu finden Sie unter Erteilungs-Operationen. Sie können auch Erteilungs-Einschränkungen verwenden, um die Berechtigungen in einer Erteilung für eine Schlüssel mit symmetrischer Verschlüsselung einzuschränken.
-
Prinzipale können Berechtigung zum Erstellen von Erteilungen aus einer Schlüsselrichtlinie oder IAM-Richtlinie erhalten. Prinzipale, die
kms:CreateGrant
-Berechtigung aus einer Richtlinie bekommen, können Zuschüsse für alle Erteilungs-Operationen auf dem KMS-Schlüssel erstellen. Diese Prinzipale müssen nicht über die Berechtigung verfügen, die sie für den Schlüssel erteilen. Wenn Sie diekms:CreateGrant
-Berechtigung in einer Richtlinie erlauben, können Sie Richtlinienbedingungen verwenden, um diese Berechtigung einzuschränken. -
Prinzipale können auch die Berechtigung erhalten, Erteilungen aus einer Erteilung zu erstellen. Diese Prinzipale können nur die Berechtigungen delegieren, die ihnen erteilt wurden, auch wenn sie über andere Berechtigungen aus einer Richtlinie verfügen. Details hierzu finden Sie unter Genehmigung erteilen CreateGrant .
Konzepte für Erteilungen
Um Erteilungen effektiv nutzen zu können, müssen Sie die Begriffe und Konzepte verstehen, die AWS KMS verwendet.
- Einschränkungen für Erteilungen
-
Eine Bedingung, die die Berechtigungen in der Erteilung einschränkt. AWS KMS Unterstützt derzeit Gewährungsbeschränkungen, die auf dem Verschlüsselungskontext in der Anforderung für einen kryptografischen Vorgang basieren. Details hierzu finden Sie unter Verwenden von Erteilungs-Einschränkungen.
- Erteilungs-ID
-
Die eindeutige ID einer Erteilung für einen KMS-Schlüssel. Sie können eine Grant-ID zusammen mit einer Schlüssel-ID verwenden, um einen Zuschuss in einer RetireGrantRevokeGrantOR-Anfrage zu identifizieren.
- Erteilungs-Operationen
-
Die AWS KMS Vorgänge, die Sie in einem Zuschuss zulassen können. Wenn Sie andere Operationen angeben, schlägt die CreateGrantAnfrage mit einer
ValidationError
Ausnahme fehl. Dies sind auch die Operationen, die einen Erteilungs-Token akzeptieren. Ausführliche Informationen über diese Berechtigungen finden Sie unter AWS KMS Berechtigungen.Diese Erteilungs-Operationen stellen tatsächlich die Berechtigung zur Verwendung der Produktion dar. Daher gilt, dass Sie für die
ReEncrypt
-ProduktionReEncryptFrom
,ReEncryptTo
, oder beideReEncrypt*
angeben können.Die Erteilungs-Operationen sind:
-
Kryptografische Operationen
-
Andere Produktionen
Die Erteilungs-Operationen, die Sie erlauben, müssen durch den KMS-Schlüssel in der Erteilung unterstützt werden. Wenn Sie einen nicht unterstützten Vorgang angeben, schlägt die CreateGrantAnforderung mit einer
ValidationError
Ausnahme fehl. Beispielsweise können Erteilungen für KMS-Schlüssel mit symmetrischer Verschlüsselung die Operationen Signieren, Überprüfen,GenerateMac
oderVerifyMac
nicht zulassen. Erteilungen für asymmetrische KMS-Schlüssel dürfen keine Operationen zulassen, die Datenschlüssel oder Datenschlüsselpaare generieren. -
- Erteilungs-Token
-
Die AWS KMS API folgt einem eventuellen Konsistenzmodell. Wenn Sie eine Erteilung erstellen, kann es zu einer kurzen Verzögerung kommen, bis die Änderung in AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Wenn Sie versuchen, eine Erteilung zu verwenden, bevor sie sich vollständig im System verbreitet hat, erhalten Sie möglicherweise eine Zugriffsverweigerungsmeldung. Mit einem Erteilungs-Token können Sie auf die Erteilung verweisen und die Erteilungs-Berechtigungen sofort verwenden.
Ein Berechtigungserteilungs-Token ist eine eindeutige, nicht-geheime, base64-kodierte Zeichenfolge mit variabler Länge, die eine Erteilung darstellt. Sie können den Erteilungs-Token verwenden, um die Erteilung in jeder Erteilungs-Produktion zu identifizieren. Da der Token-Wert jedoch ein Hash-Digest ist, zeigt er keine Details über die Erteilung an.
Ein Erteilungs-Token darf nur so lange verwendet werden, bis sich die Erteilung vollständig in AWS KMS ausgebreitet hat. Danach kann der Empfänger-Prinzipal die Berechtigung in der Erteilung ohne Angabe eines Grant-Token oder eines anderen Beweises für die Erteilung verwenden. Sie können jederzeit ein Grant-Token verwenden, aber sobald der Grant letztendlich konsistent ist, AWS KMS verwendet es den Grant, um die Berechtigungen zu bestimmen, nicht das Grant-Token.
Mit dem folgenden Befehl wird die GenerateDataKeyOperation beispielsweise aufgerufen. Er verwendet ein Erteilung-Token, um die Erteilung darzustellen, die dem Aufrufer (dem erteilenden Prinzipal) die Berechtigung zum Aufrufen von
GenerateDataKey
für den angegebenen KMS-Schlüssel erteilt.$
aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --key-spec AES_256 \ --grant-token $token
Sie können den Erteilungs-Token verwenden, um eine Erteilung in Operationen zu identifizieren, die Erteilungen verwalten. Beispielsweise kann der ausscheidende Schulleiter bei einem Aufruf der RetireGrantOperation ein Grant-Token verwenden.
$
aws kms retire-grant \ --grant-token $token
CreateGrant
ist die einzige Produktion, die ein Erteilungs-Token zurückgibt. Sie können kein Grant-Token aus einem anderen AWS KMS Vorgang oder aus dem CloudTrail Protokollereignis für den CreateGrant Vorgang abrufen. Die ListRetirableGrantsOperationen ListGrantsund geben die Grant-ID zurück, aber kein Grant-Token.Details hierzu finden Sie unter Verwenden eines Erteilungs-Token.
- Erteilender Prinzipal
-
Die Identitäten, die die in der Erteilung angegebenen Berechtigungen erhalten. Jede Erteilung hat einen Empfänger-Prinzipal, aber der Empfänger-Prinzipal kann mehrere Identitäten repräsentieren.
Der Prinzipal des Empfängers kann ein beliebiger AWS Prinzipal sein, einschließlich eines AWS-Konto (Root-), eines IAM-Benutzers, einer IAM-Rolle, einer Verbundrolle oder eines Verbundbenutzers oder eines Benutzers mit angenommener Rolle. Der Empfänger-Prinzipal kann sich im selben Konto wie der KMS-Schlüssel oder in einem anderen Konto befinden. Der Empfänger-Prinzipal kann jedoch kein Service-Prinzipal und keine IAM-Gruppe oder AWS -Organisation sein.
Anmerkung
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
- Außerbetriebnahme (einer Erteilung)
-
Beendet eine Erteilung. Sie können eine Erteilung aufheben, wenn Sie die Berechtigungen nicht mehr brauchen.
Wenn Sie eine Erteilung widerrufen oder außer Betrieb nehmen, wird die Erteilung gelöscht. Die Außerbetriebnahme erfolgt jedoch durch einen Prinzipal, der in der Erteilung angegeben ist. Das Widerrufen erfolgt in der Regel durch einen Schlüsseladministrator. Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.
- Außerbetriebnahme eines Prinzipals
-
Ein Prinzipal, der eine Erteilung aufheben kann. Sie können einen ausscheidenden Prinzipal in einer Erteilung angeben, jedoch ist es nicht erforderlich. Bei dem ausscheidenden Prinzipal kann es sich um einen beliebigen AWS Prinzipal handeln, einschließlich IAM-Benutzer AWS-Konten, IAM-Rollen, Verbundbenutzer und Benutzer mit angenommener Rolle. Der ausscheidende Prinzipal kann sich im selben Konto wie der KMS-Schlüssel oder in einem anderen Konto befinden.
Anmerkung
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
Neben dem im Zuschuss angegebenen ausscheidenden Hauptbenutzer kann ein Grant auch von demjenigen zurückgezogen werden, AWS-Konto in dem der Grant eingerichtet wurde. Wenn die Erteilung die
RetireGrant
-Produktion erlaubt, kann der Empfänger-Prinzipal die Erteilung aufheben. Außerdem kann der AWS-Konto oder ein Schulleiter AWS-Konto , der in den Ruhestand geht, die Genehmigung zur Einstellung eines Zuschusses an einen IAM-Schulleiter delegieren. AWS-Konto Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen. - Widerrufen (einer Erteilung)
-
Beendet eine Erteilung. Sie widerrufen eine Erteilung, um aktiv die Berechtigung abzulehnen, die die Erteilung erlaubt.
Wenn Sie eine Erteilung widerrufen oder außer Betrieb nehmen, wird die Erteilung gelöscht. Die Außerbetriebnahme erfolgt jedoch durch einen Prinzipal, der in der Erteilung angegeben ist. Das Widerrufen erfolgt in der Regel durch einen Schlüsseladministrator. Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.
- Letztendliche Konsistenz (für Erteilungen)
-
Die AWS KMS API folgt einem späteren Konsistenzmodell.
Wenn Sie eine Erteilung erstellen, aufheben oder widerrufen, kann es zu einer kurzen Verzögerung kommen, bevor die Änderung in allen Bereichen von AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Diese kurze Verzögerung kann Ihnen auffallen, wenn Sie unerwartete Fehler erhalten. Wenn Sie beispielsweise versuchen, einen neuen Zuschuss zu verwalten oder die Berechtigungen in einem neuen Zuschuss zu verwenden, bevor der Zuschuss allgemein bekannt ist AWS KMS, erhalten Sie möglicherweise die Fehlermeldung Zugriff verweigert. Wenn Sie eine Erteilung aufheben oder widerrufen, kann der Empfänger-Prinzipal seine Berechtigungen möglicherweise für einen kurzen Zeitraum verwenden, bis die Erteilung vollständig gelöscht wurde. Die typische Strategie besteht darin, die Anfrage erneut zu versuchen, und einige AWS SDKs beinhalten automatische Backoff- und Wiederholungslogik.
AWS KMS verfügt über Funktionen, um diese kurze Verzögerung zu minimieren.
-
Um die Berechtigungen in einer neuen Erteilung sofort zu verwenden, verwenden Sie einen Erteilungs-Token. Sie können einen Erteilungs-Token verwenden, um die Erteilung in jeder Erteilungs-Produktion zu identifizieren. Detaillierte Anweisungen finden Sie unter Verwenden eines Erteilungs-Token.
-
Der CreateGrantVorgang verfügt über einen
Name
Parameter, der verhindert, dass bei Wiederholungsvorgängen doppelte Zuschüsse erstellt werden.
Anmerkung
Erteilungs-Token ersetzen die Gültigkeit der Erteilung, bis alle Endpunkte im Service mit dem neuen Erteilungsstatus aktualisiert wurden. In den meisten Fällen wird die letztendliche Konsistenz innerhalb von fünf Minuten erreicht.
Weitere Informationen finden Sie unter AWS KMS Letztendliche Konsistenz.
-