Bewährte Verfahren für IAM Richtlinien

Geben Sie nach Möglichkeit Berechtigungen in wichtigen Richtlinien ein, die sich auf einen KMS Schlüssel auswirken, und nicht in einer IAM Richtlinie, die für viele KMS Schlüssel gelten kann, auch für Schlüssel in anderen AWS-Konten. Dies ist besonders wichtig für vertrauliche Berechtigungen wie kms: PutKeyPolicy und kms:, ScheduleKeyDeletion aber auch für kryptografische Operationen, die bestimmen, wie Ihre Daten geschützt werden.

Erteilen Sie nur den Prinzipalen die Erlaubnis, Schlüssel (kms: CreateKey) zu erstellen, die sie benötigen. Prinzipale, die einen KMS Schlüssel erstellen, legen auch dessen Schlüsselrichtlinie fest, sodass sie sich selbst und anderen die Erlaubnis geben können, die von ihnen erstellten KMS Schlüssel zu verwenden und zu verwalten. Wenn Sie diese Berechtigung erlauben, sollten Sie sie vielleicht mithilfe von -Richtlinienbedingungen beschränken. Sie können beispielsweise die KeySpec Bedingung kms: verwenden, um die Erlaubnis auf symmetrische KMS Verschlüsselungsschlüssel zu beschränken.

Es hat sich bewährt, den Schlüssel ARN jedes KMS Schlüssels, für den die Berechtigung gilt, im Resource Element der Richtlinienerklärung anzugeben. Diese Vorgehensweise beschränkt die Zugriffsrechte auf die KMS Schlüssel, die der Prinzipal benötigt. Dieses Resource Element listet beispielsweise nur die KMS Schlüssel auf, die der Principal verwenden muss.

"Resource": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
]

Wenn die Angabe von KMS Schlüsseln nicht praktikabel ist, verwenden Sie einen Resource Wert, der den Zugriff auf KMS Schlüssel in einer vertrauenswürdigen AWS-Konto Region einschränkt, z. B. arn:aws:kms:region:account:key/* Oder beschränken Sie den Zugriff auf KMS Schlüssel in allen Regionen (*) einer vertrauenswürdigen Person AWS-Konto, z. B. arn:aws:kms:*:account:key/*

Sie können keine Schlüssel-ID, einen Aliasnamen oder einen Alias verwenden, ARN um einen KMS Schlüssel im Resource Feld einer IAM Richtlinie darzustellen. Wenn Sie einen Alias angebenARN, gilt die Richtlinie für den Alias, nicht für den KMS Schlüssel. Informationen zu IAM Richtlinien für Aliase finden Sie unter Steuern des Zugriffs auf Aliasse

Verwenden Sie Platzhalterzeichen (*) umsichtig. In einer Schlüsselrichtlinie steht das Platzhalterzeichen im Resource Element für den KMS Schlüssel, an den die Schlüsselrichtlinie angehängt ist. In einer IAM Richtlinie wendet jedoch nur ein Platzhalterzeichen im Resource Element ("Resource": "*") die Berechtigungen auf alle KMS Schlüssel in allen Schlüsseln an, zu deren AWS-Konten Verwendung das Konto des Prinzipals berechtigt ist. Dies kann KMSSchlüssel in anderen AWS-Konten Konten sowie KMS Schlüssel im Konto des Prinzipals einschließen.

Um beispielsweise einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto, benötigt ein Principal die Genehmigung durch die Schlüsselrichtlinie des KMS Schlüssels im externen Konto und durch eine IAM Richtlinie in seinem eigenen Konto. Nehmen wir an, ein beliebiges Konto hat Ihnen die Berechtigung AWS-Konto kms:Decrypt für seine Schlüssel erteilt. KMS Wenn ja, würde eine IAM Richtlinie in Ihrem Konto, die einer Rolle kms:Decrypt Berechtigungen für alle KMS Schlüssel ("Resource": "*") erteilt, den IAM Teil der Anforderung erfüllen. Somit können Principals, die diese Rolle übernehmen können, nun Chiffretexte mithilfe des KMS Schlüssels im nicht vertrauenswürdigen Konto entschlüsseln. Einträge zu ihren Vorgängen erscheinen in den CloudTrail Protokollen beider Konten.

Vermeiden Sie insbesondere die Verwendung "Resource": "*" in einer Richtlinienerklärung, die die folgenden API Operationen zulässt. Diese Operationen können für KMS Schlüssel in anderen Programmen aufgerufen werden AWS-Konten.

Verwenden Sie in einer IAM Richtlinie ein Platzhalterzeichen im Resource Element nur für Berechtigungen, für die es erforderlich ist. Nur die folgenden Berechtigungen erfordern das "Resource": "*"-Element.