IAMRichtlinien verwenden mit AWS KMS - AWS Key Management Service
Erlauben Sie mehreren IAM Prinzipalen den Zugriff auf einen Schlüssel KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRichtlinien verwenden mit AWS KMS

Sie können Richtlinien zusammen mit wichtigen IAM Richtlinien, Zuschüssen und VPCEndpunktrichtlinien verwenden, um den Zugriff auf Ihre AWS KMS keys Daten zu kontrollieren. AWS KMS

Anmerkung

Um den Zugriff auf einen KMS Schlüssel mithilfe einer IAM Richtlinie zu kontrollieren, muss die Schlüsselrichtlinie für den KMS Schlüssel dem Konto die Erlaubnis zur Verwendung von IAM Richtlinien erteilen. Insbesondere muss die Schlüsselrichtlinie die Grundsatzerklärung enthalten, mit der IAM Richtlinien aktiviert werden.

In diesem Abschnitt wird erläutert, wie Sie mithilfe von IAM Richtlinien den Zugriff auf AWS KMS Vorgänge steuern können. Weitere allgemeine Informationen zu IAM finden Sie im IAMBenutzerhandbuch.

Für alle KMS Schlüssel muss eine Schlüsselrichtlinie gelten. IAMRichtlinien sind optional. Um eine IAM Richtlinie zur Steuerung des Zugriffs auf einen KMS Schlüssel zu verwenden, muss die Schlüsselrichtlinie für den KMS Schlüssel dem Konto die Erlaubnis geben, IAM Richtlinien zu verwenden. Insbesondere muss die Schlüsselrichtlinie die Grundsatzerklärung enthalten, mit der IAM Richtlinien aktiviert werden.

IAMRichtlinien können den Zugriff auf jeden AWS KMS Vorgang steuern. Im Gegensatz zu wichtigen IAM Richtlinien können Richtlinien den Zugriff auf mehrere KMS Schlüssel steuern und Berechtigungen für den Betrieb mehrerer verwandter AWS Dienste bereitstellen. IAMRichtlinien sind jedoch besonders nützlich, um den Zugriff auf Vorgänge zu kontrollieren CreateKey, z. B. solche, die nicht durch eine wichtige Richtlinie gesteuert werden können, weil sie keinen bestimmten KMS Schlüssel betreffen.

Wenn Sie AWS KMS über einen Amazon Virtual Private Cloud (AmazonVPC) -Endpunkt zugreifen, können Sie auch eine VPC Endpunktrichtlinie verwenden, um den Zugriff auf Ihre AWS KMS Ressourcen zu beschränken, wenn Sie den Endpunkt verwenden. Wenn Sie beispielsweise den VPC Endpunkt verwenden, gestatten Sie möglicherweise nur den Principals in Ihrem Computer den AWS-Konto Zugriff auf Ihre vom Kunden verwalteten Schlüssel. Einzelheiten finden Sie unter VPCEndpunktrichtlinien.

Hilfe beim Verfassen und Formatieren eines JSON Richtliniendokuments finden Sie in der IAMJSONRichtlinienreferenz im IAMBenutzerhandbuch.

Sie können IAM Richtlinien auf folgende Weise verwenden:

  • Einer Rolle eine Berechtigungsrichtlinie für Verbundberechtigungen oder kontoübergreifende Berechtigungen zuordnen — Sie können einer IAM Rolle eine IAM Richtlinie zuordnen, um einen Identitätsverbund zu aktivieren, kontoübergreifende Berechtigungen zuzulassen oder Anwendungen, die auf EC2 Instances ausgeführt werden, Berechtigungen zu erteilen. Weitere Informationen zu den verschiedenen Anwendungsfällen für IAM Rollen finden Sie im IAMBenutzerhandbuch unter IAMRollen.

  • Anfügen einer Berechtigungsrichtlinie an einen Benutzer oder ein Gruppe – Sie können eine Richtlinie anfügen, die es einem Benutzer oder einer Gruppe von Benutzern erlaubt, AWS KMS -Operationen aufzurufen. IAMBewährte Methoden empfehlen jedoch, wann immer möglich Identitäten mit temporären Anmeldeinformationen wie IAM Rollen zu verwenden.

Das folgende Beispiel zeigt eine IAM Richtlinie mit AWS KMS Berechtigungen. Diese Richtlinie ermöglicht es den IAM Identitäten, an die sie angehängt ist, alle KMS Schlüssel und Aliase aufzulisten.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

Wie alle IAM Richtlinien hat auch diese Richtlinie kein Principal Element. Wenn Sie einer IAM Identität eine IAM Richtlinie zuordnen, erhält diese Identität die in der Richtlinie angegebenen Berechtigungen.

Eine Tabelle mit allen AWS KMS API Aktionen und den Ressourcen, für die sie gelten, finden Sie unterBerechtigungsreferenz.

Erlauben Sie mehreren IAM Prinzipalen den Zugriff auf einen Schlüssel KMS

IAMGruppen sind keine gültigen Prinzipale in einer Schlüsselrichtlinie. Gehen Sie wie folgt vor, um mehreren Benutzern und Rollen den Zugriff auf einen KMS Schlüssel zu ermöglichen:

  • Verwenden Sie eine IAM Rolle als Principal in der Schlüsselrichtlinie. Je nach Bedarf können mehrere autorisierte Benutzer die Rolle übernehmen. Einzelheiten finden Sie unter IAMRollen im IAMBenutzerhandbuch.

    Sie können zwar mehrere IAM Benutzer in einer Schlüsselrichtlinie auflisten, diese Vorgehensweise wird jedoch nicht empfohlen, da Sie die Schlüsselrichtlinie jedes Mal aktualisieren müssen, wenn sich die Liste der autorisierten Benutzer ändert. Außerdem raten IAM bewährte Methoden von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

  • Verwenden Sie eine IAM Richtlinie, um einer IAM Gruppe Berechtigungen zu erteilen. Stellen Sie dazu sicher, dass die Schlüsselrichtlinie die Anweisung enthält, mit der IAMRichtlinien den Zugriff auf den KMS Schlüssel ermöglichen, erstellen Sie eine IAM Richtlinie, die den Zugriff auf den KMS Schlüssel ermöglicht, und fügen Sie diese Richtlinie dann einer IAM Gruppe hinzu, die die autorisierten IAM Benutzer enthält. Bei diesem Ansatz müssen Sie keine Richtlinien ändern, wenn sich die Liste der autorisierten Benutzer ändert. Stattdessen müssen Sie diese Benutzer nur der entsprechenden IAM Gruppe hinzufügen oder aus ihr entfernen. Einzelheiten finden Sie unter IAMBenutzergruppen im IAMBenutzerhandbuch

Weitere Informationen darüber, wie AWS KMS wichtige Richtlinien und IAM Richtlinien zusammenarbeiten, finden Sie unterProblembehandlung bei AWS KMS Berechtigungen.