Zuschüsse in AWS KMS

Eine Bedingung, die die Berechtigungen in der Erteilung einschränkt. AWS KMS Unterstützt derzeit Gewährungsbeschränkungen, die auf dem Verschlüsselungskontext in der Anforderung für einen kryptografischen Vorgang basieren. Details hierzu finden Sie unter Verwenden von Erteilungs-Einschränkungen.

Die eindeutige ID einer Erteilung für einen KMS-Schlüssel. Sie können eine Grant-ID zusammen mit einer Schlüssel-ID verwenden, um einen Zuschuss in einer RetireGrantRevokeGrantOR-Anfrage zu identifizieren.

Die AWS KMS Vorgänge, die Sie in einem Zuschuss zulassen können. Wenn Sie andere Operationen angeben, schlägt die CreateGrantAnfrage mit einer ValidationError Ausnahme fehl. Dies sind auch die Operationen, die einen Erteilungs-Token akzeptieren. Ausführliche Informationen über diese Berechtigungen finden Sie unter AWS KMS Berechtigungen.

Diese Erteilungs-Operationen stellen tatsächlich die Berechtigung zur Verwendung der Produktion dar. Daher gilt, dass Sie für die ReEncrypt-Produktion ReEncryptFrom, ReEncryptTo, oder beide ReEncrypt* angeben können.

Die Erteilungs-Operationen sind:

Die Erteilungs-Operationen, die Sie erlauben, müssen durch den KMS-Schlüssel in der Erteilung unterstützt werden. Wenn Sie einen nicht unterstützten Vorgang angeben, schlägt die CreateGrantAnforderung mit einer ValidationError Ausnahme fehl. Beispielsweise können Erteilungen für KMS-Schlüssel mit symmetrischer Verschlüsselung die Operationen Signieren, Überprüfen, GenerateMac oder VerifyMac nicht zulassen. Erteilungen für asymmetrische KMS-Schlüssel dürfen keine Operationen zulassen, die Datenschlüssel oder Datenschlüsselpaare generieren.

Die AWS KMS API folgt einem eventuellen Konsistenzmodell. Wenn Sie eine Erteilung erstellen, kann es zu einer kurzen Verzögerung kommen, bis die Änderung in AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Wenn Sie versuchen, eine Erteilung zu verwenden, bevor sie sich vollständig im System verbreitet hat, erhalten Sie möglicherweise eine Zugriffsverweigerungsmeldung. Mit einem Erteilungs-Token können Sie auf die Erteilung verweisen und die Erteilungs-Berechtigungen sofort verwenden.

Ein Berechtigungserteilungs-Token ist eine eindeutige, nicht-geheime, base64-kodierte Zeichenfolge mit variabler Länge, die eine Erteilung darstellt. Sie können den Erteilungs-Token verwenden, um die Erteilung in jeder Erteilungs-Produktion zu identifizieren. Da der Token-Wert jedoch ein Hash-Digest ist, zeigt er keine Details über die Erteilung an.

Ein Erteilungs-Token darf nur so lange verwendet werden, bis sich die Erteilung vollständig in AWS KMS ausgebreitet hat. Danach kann der Empfänger-Prinzipal die Berechtigung in der Erteilung ohne Angabe eines Grant-Token oder eines anderen Beweises für die Erteilung verwenden. Sie können jederzeit ein Grant-Token verwenden, aber sobald der Grant letztendlich konsistent ist, AWS KMS verwendet es den Grant, um die Berechtigungen zu bestimmen, nicht das Grant-Token.

Mit dem folgenden Befehl wird die GenerateDataKeyOperation beispielsweise aufgerufen. Er verwendet ein Erteilung-Token, um die Erteilung darzustellen, die dem Aufrufer (dem erteilenden Prinzipal) die Berechtigung zum Aufrufen von GenerateDataKey für den angegebenen KMS-Schlüssel erteilt.

$ aws kms generate-data-key \
        --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
        --key-spec AES_256 \
        --grant-token $token

Sie können den Erteilungs-Token verwenden, um eine Erteilung in Operationen zu identifizieren, die Erteilungen verwalten. Beispielsweise kann der ausscheidende Schulleiter bei einem Aufruf der RetireGrantOperation ein Grant-Token verwenden.

$ aws kms retire-grant \
        --grant-token $token

CreateGrant ist die einzige Produktion, die ein Erteilungs-Token zurückgibt. Sie können kein Grant-Token aus einem anderen AWS KMS Vorgang oder aus dem CloudTrail Protokollereignis für den CreateGrant Vorgang abrufen. Die ListRetirableGrantsOperationen ListGrantsund geben die Grant-ID zurück, aber kein Grant-Token.

Details hierzu finden Sie unter Verwenden eines Erteilungs-Token.

Die Identitäten, die die in der Erteilung angegebenen Berechtigungen erhalten. Jede Erteilung hat einen Empfänger-Prinzipal, aber der Empfänger-Prinzipal kann mehrere Identitäten repräsentieren.

Der Prinzipal des Empfängers kann ein beliebiger AWS Prinzipal sein, einschließlich eines AWS-Konto (Root-), eines IAM-Benutzers, einer IAM-Rolle, einer Verbundrolle oder eines Verbundbenutzers oder eines Benutzers mit angenommener Rolle. Der Empfänger-Prinzipal kann sich im selben Konto wie der KMS-Schlüssel oder in einem anderen Konto befinden. Der Empfänger-Prinzipal kann jedoch kein Service-Prinzipal und keine IAM-Gruppe oder AWS -Organisation sein.

Beendet eine Erteilung. Sie können eine Erteilung aufheben, wenn Sie die Berechtigungen nicht mehr brauchen.

Wenn Sie eine Erteilung widerrufen oder außer Betrieb nehmen, wird die Erteilung gelöscht. Die Außerbetriebnahme erfolgt jedoch durch einen Prinzipal, der in der Erteilung angegeben ist. Das Widerrufen erfolgt in der Regel durch einen Schlüsseladministrator. Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.

Ein Prinzipal, der eine Erteilung aufheben kann. Sie können einen ausscheidenden Prinzipal in einer Erteilung angeben, jedoch ist es nicht erforderlich. Bei dem ausscheidenden Prinzipal kann es sich um einen beliebigen AWS Prinzipal handeln, einschließlich IAM-Benutzer AWS-Konten, IAM-Rollen, Verbundbenutzer und Benutzer mit angenommener Rolle. Der ausscheidende Prinzipal kann sich im selben Konto wie der KMS-Schlüssel oder in einem anderen Konto befinden.

Neben dem im Zuschuss angegebenen ausscheidenden Hauptbenutzer kann ein Grant auch von demjenigen zurückgezogen werden, AWS-Konto in dem der Grant eingerichtet wurde. Wenn die Erteilung die RetireGrant-Produktion erlaubt, kann der Empfänger-Prinzipal die Erteilung aufheben. Außerdem kann der AWS-Konto oder ein Schulleiter AWS-Konto , der in den Ruhestand geht, die Genehmigung zur Einstellung eines Zuschusses an einen IAM-Schulleiter delegieren. AWS-Konto Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.

Beendet eine Erteilung. Sie widerrufen eine Erteilung, um aktiv die Berechtigung abzulehnen, die die Erteilung erlaubt.

Wenn Sie eine Erteilung widerrufen oder außer Betrieb nehmen, wird die Erteilung gelöscht. Die Außerbetriebnahme erfolgt jedoch durch einen Prinzipal, der in der Erteilung angegeben ist. Das Widerrufen erfolgt in der Regel durch einen Schlüsseladministrator. Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.

Die AWS KMS API folgt einem späteren Konsistenzmodell. Wenn Sie eine Erteilung erstellen, aufheben oder widerrufen, kann es zu einer kurzen Verzögerung kommen, bevor die Änderung in allen Bereichen von AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern.

Diese kurze Verzögerung kann Ihnen auffallen, wenn Sie unerwartete Fehler erhalten. Wenn Sie beispielsweise versuchen, einen neuen Zuschuss zu verwalten oder die Berechtigungen in einem neuen Zuschuss zu verwenden, bevor der Zuschuss allgemein bekannt ist AWS KMS, erhalten Sie möglicherweise die Fehlermeldung Zugriff verweigert. Wenn Sie eine Erteilung aufheben oder widerrufen, kann der Empfänger-Prinzipal seine Berechtigungen möglicherweise für einen kurzen Zeitraum verwenden, bis die Erteilung vollständig gelöscht wurde. Die typische Strategie besteht darin, die Anfrage erneut zu versuchen, und einige AWS SDKs beinhalten automatische Backoff- und Wiederholungslogik.

AWS KMS verfügt über Funktionen, um diese kurze Verzögerung zu minimieren.

Weitere Informationen finden Sie unter AWS KMS Letztendliche Konsistenz.