Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Standardschlüsselrichtlinie
Wenn Sie einen KMS Schlüssel erstellen, können Sie die Schlüsselrichtlinie für den neuen KMS Schlüssel angeben. Wenn Sie keinen angeben, AWS KMS erstellt er einen für Sie. Die verwendete Standardschlüsselrichtlinie unterscheidet sich je nachdem, ob Sie den Schlüssel in der AWS KMS Konsole erstellen oder die verwenden AWS KMS API. AWS KMS
Standardschlüsselrichtlinie, wenn Sie einen KMS Schlüssel programmgesteuert erstellen
Wenn Sie einen KMS Schlüssel programmgesteuert mit dem AWS KMS
API(auch mithilfe von AWS SDKs
Standardschlüsselrichtlinie, wenn Sie einen KMS Schlüssel mit dem erstellen AWS Management Console
Wenn Sie einen KMS Schlüssel mit dem erstellen AWS Management Console, beginnt die Schlüsselrichtlinie mit der Richtlinienerklärung, die den Zugriff auf die ermöglicht AWS-Konto und die IAM Richtlinien aktiviert. Die Konsole fügt dann eine wichtige Administratoranweisung, eine Schlüsselbenutzeranweisung und (bei den meisten Schlüsseltypen) eine Anweisung hinzu, die es Prinzipalen ermöglicht, den KMS Schlüssel mit anderen AWS Diensten zu verwenden. Mithilfe der Funktionen der AWS KMS Konsole können Sie die IAM Benutzer angeben und angebenIAMroles, AWS-Konten wer Schlüsseladministratoren und welche Hauptbenutzer sind (oder beides).
Berechtigungen
Ermöglicht den Zugriff auf die IAM Richtlinien AWS-Konto und aktiviert sie
Die folgende standardmäßige Schlüsselrichtlinienanweisung ist kritisch.
-
Es gewährt AWS-Konto demjenigen, der den KMS Schlüssel besitzt, vollen Zugriff auf den KMS Schlüssel.
Im Gegensatz zu anderen AWS Ressourcenrichtlinien erteilt eine AWS KMS Schlüsselrichtlinie nicht automatisch Berechtigungen für das Konto oder eine seiner Identitäten. Um Kontoadministratoren die Berechtigung zu erteilen, muss die Schlüsselrichtlinie eine explizite Erklärung enthalten, die diese Berechtigung wie diese bereitstellt.
-
Sie ermöglicht es dem Konto, zusätzlich zur KMS Schlüsselrichtlinie IAM Richtlinien zu verwenden, um Zugriff auf den Schlüssel zu gewähren.
Ohne diese Genehmigung sind IAM Richtlinien, die den Zugriff auf den Schlüssel ermöglichen, unwirksam, obwohl IAM Richtlinien, die den Zugriff auf den Schlüssel verweigern, weiterhin wirksam sind.
-
Es reduziert das Risiko, dass der Schlüssel unüberschaubar wird, indem es den Kontoadministratoren, einschließlich dem Account-Root-Benutzer, die nicht gelöscht werden kann, die Zugriffsberechtigung erteilt.
Die folgende wichtige Richtlinienerklärung ist die gesamte Standardschlüsselrichtlinie für programmgesteuert erstellte KMS Schlüssel. Dies ist die erste Richtlinienanweisung in der Standard-Schlüsselrichtlinie für KMS Schlüssel, die in der AWS KMS Konsole erstellt wurden.
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }
- Ermöglicht IAM Richtlinien, den Zugriff auf den KMS Schlüssel zu ermöglichen.
-
Die oben gezeigte Erklärung zu den wichtigsten Richtlinien erteilt AWS-Konto demjenigen, der den Schlüssel besitzt, die Erlaubnis, IAM Richtlinien zu verwenden, sowie wichtige Richtlinien, um alle Aktionen (
kms:*) für den KMS Schlüssel zuzulassen.Die Hauptperson in dieser grundlegenden Grundsatzerklärung ist die Hauptperson, die ARN in diesem Format durch ein dargestellt wird:
arn:aws:iam::. Der Kontohauptmann steht für das AWS Konto und seine Administratoren.account-id:rootWenn der Hauptbenutzer in einer wichtigen Grundsatzerklärung der Kontohauptmann ist, erteilt die Grundsatzerklärung keinem IAM Auftraggeber die Erlaubnis, den KMS Schlüssel zu verwenden. Stattdessen ermöglicht sie dem Konto, IAM Richtlinien zu verwenden, um die in der Grundsatzerklärung angegebenen Berechtigungen zu delegieren. Diese standardmäßige wichtige Richtlinienanweisung ermöglicht es dem Konto, IAM Richtlinien zu verwenden, um Berechtigungen für alle Aktionen (
kms:*) für den KMS Schlüssel zu delegieren. - Reduziert das Risiko, dass der KMS Schlüssel nicht mehr verwaltet werden kann.
-
Im Gegensatz zu anderen AWS Ressourcenrichtlinien erteilt eine AWS KMS Schlüsselrichtlinie dem Konto oder einem seiner Hauptbenutzer nicht automatisch Berechtigungen. Um jedem Auftraggeber die Berechtigung zu erteilen, einschließlich der-Kontoauftraggeber verwenden, müssen Sie eine Schlüsselrichtlinienanweisung verwenden, die die Berechtigung explizit bereitstellt. Sie sind nicht verpflichtet, dem Hauptbenutzer des Kontos oder einem anderen Hauptbenutzer Zugriff auf den KMS Schlüssel zu gewähren. Wenn Sie jedoch Zugriff auf den Kontoprinzipal gewähren, können Sie verhindern, dass der Schlüssel nicht überschaubar wird.
Nehmen wir beispielsweise an, Sie erstellen eine Schlüsselrichtlinie, die nur einem Benutzer Zugriff auf den KMS Schlüssel gewährt. Wenn Sie diesen Benutzer dann löschen, kann der Schlüssel nicht mehr verwaltet werden und Sie müssen sich an den AWS Support wenden
, um wieder Zugriff auf den KMS Schlüssel zu erhalten. Die oben abgebildete Grundsatzerklärung erteilt dem Kontoprinzipal, der das Konto AWS-Konto und seine Administratoren, einschließlich des Kontostammbenutzers, repräsentiert, die Erlaubnis, den Schlüssel zu kontrollieren. Der Account-Root-Benutzer ist der einzige Prinzipal, der nur gelöscht werden kann, wenn Sie den AWS-Konto löschen. IAMBewährte Verfahren raten davon ab, im Namen des Root-Benutzers zu handeln, es sei denn, es handelt sich um einen Notfall. Möglicherweise müssen Sie jedoch als Root-Benutzer des Kontos agieren, wenn Sie alle anderen Benutzer und Rollen löschen, die Zugriff auf den KMS Schlüssel haben.
Ermöglicht Schlüsseladministratoren die Verwaltung des KMS Schlüssels
Die von der Konsole erstellte Standardschlüsselrichtlinie ermöglicht es Ihnen, IAM Benutzer und Rollen im Konto auszuwählen und sie zu Schlüsseladministratoren zu machen. Diese Anweisung wird Schlüsseladministratoren-Anweisung genannt. Schlüsseladministratoren sind berechtigt, den KMS Schlüssel zu verwalten, aber nicht berechtigt, den KMS Schlüssel für kryptografische Operationen zu verwenden. Sie können IAM Benutzer und Rollen zur Liste der Schlüsseladministratoren hinzufügen, wenn Sie den KMS Schlüssel in der Standardansicht oder der Richtlinienansicht erstellen.
Warnung
Da Schlüsseladministratoren berechtigt sind, die Schlüsselrichtlinie zu ändern und Zuschüsse zu erstellen, können sie sich selbst und anderen AWS KMS Berechtigungen gewähren, die in dieser Richtlinie nicht angegeben sind.
Principals, die berechtigt sind, Tags und Aliase zu verwalten, können auch den Zugriff auf einen KMS Schlüssel kontrollieren. Details hierzu finden Sie unter ABACfür AWS KMS.
Anmerkung
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
Das folgende Beispiel zeigt die Schlüsseladministratoren-Anweisung in der Standardansicht der AWS KMS -Konsole.
Nachfolgend sehen Sie ein Beispiel für eine Schlüsseladministratoren-Anweisung in der Richtlinienansicht der AWS KMS -Konsole. Diese Erklärung für wichtige Administratoren bezieht sich auf einen symmetrischen KMS Verschlüsselungsschlüssel für eine einzelne Region.
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS":"arn:aws:iam::111122223333:role/ExampleAdminRole"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion", "kms:RotateKeyOnDemand" ], "Resource": "*" }
Die Standardeinstellung von Schlüsseladministratoren für den gängigsten KMS Schlüssel, einen symmetrischen KMS Verschlüsselungsschlüssel für eine einzelne Region, ermöglicht die folgenden Berechtigungen. Ausführliche Informationen zu den einzelnen Berechtigungen finden Sie unter AWS KMS Berechtigungen.
Wenn Sie die AWS KMS Konsole verwenden, um einen KMS Schlüssel zu erstellen, fügt die Konsole die von Ihnen angegebenen Benutzer und Rollen dem Principal Element in der Anweisung für Schlüsseladministratoren hinzu.
Viele dieser Berechtigungen enthalten das Platzhalterzeichen (*), sodass alle Berechtigungen zugelassen werden, die mit dem angegebenen Verb beginnen. Wenn neue API Operationen AWS KMS hinzugefügt werden, dürfen Schlüsseladministratoren diese daher automatisch verwenden. Sie müssen Ihre Schlüsselrichtlinien nicht aktualisieren, um die neuen Operationen einzubeziehen. Wenn Sie es vorziehen, Ihre Schlüsseladministratoren auf einen festen Satz von API Vorgängen zu beschränken, können Sie Ihre Schlüsselrichtlinie ändern.
kms:Create*-
Erlaubt kms:CreateAlias und kms:CreateGrant. (Die
kms:CreateKeyErlaubnis ist nur in einer IAM Richtlinie gültig.) kms:Describe*-
Erlaubt kms:DescribeKey. Die
kms:DescribeKeyBerechtigung ist erforderlich, um die Seite mit den Schlüsseldetails für einen KMS Schlüssel in der anzuzeigen AWS Management Console. kms:Enable*-
Erlaubt kms:EnableKey. Bei symmetrischen KMS Verschlüsselungsschlüsseln ermöglicht kms:EnableKeyRotationsie auch.
kms:List*-
Erlaubt kms:ListGrants,
kms:ListKeyPoliciesund kms:ListResourceTags. (Diekms:ListKeysBerechtigungenkms:ListAliasesund, die zum Anzeigen von KMS Schlüsseln in erforderlich sind AWS Management Console, sind nur in IAM Richtlinien gültig.) kms:Put*-
Erlaubt
kms:PutKeyPolicy. Mit dieser Berechtigung können Schlüsseladministratoren die Schlüsselrichtlinie für diesen KMS Schlüssel ändern. kms:Update*-
Erlaubt kms:UpdateAlias und
kms:UpdateKeyDescription. Bei Schlüsseln mit mehreren Regionen ist die Verwendung dieses KMS Schlüssels zulässig. kms:UpdatePrimaryRegion kms:Revoke*-
Erlaubt kms:RevokeGrant, wodurch Schlüsseladministratoren eine Erteilung löschen können, auch wenn sie kein ausscheidender Prinzipal in der Erteilung sind.
kms:Disable*-
Erlaubt kms:DisableKey. Bei symmetrischen KMS Verschlüsselungsschlüsseln ist dies auch möglich. kms:DisableKeyRotation
kms:Get*-
Erlaubt kms:GetKeyPolicy und kms:GetKeyRotationStatus. Für KMS Schlüssel mit importiertem Schlüsselmaterial ist dies zulässig
kms:GetParametersForImport. Bei asymmetrischen KMS Schlüsseln ist dies möglich.kms:GetPublicKeyDiekms:GetKeyPolicyErlaubnis ist erforderlich, um die Schlüsselrichtlinie eines KMS Schlüssels in der AWS Management Console einzusehen. kms:Delete*-
Erlaubt kms:DeleteAlias. Für Schlüssel mit importiertem Schlüsselmaterial erlaubt sie kms:DeleteImportedKeyMaterial. Die
kms:Delete*Berechtigung erlaubt es Schlüsseladministratoren nicht, den KMS Schlüssel zu löschen (ScheduleKeyDeletion). kms:TagResource-
Ermöglicht kms:TagResourcees Schlüsseladministratoren, dem KMS Schlüssel Tags hinzuzufügen. Da Tags auch zur Steuerung des Zugriffs auf den KMS Schlüssel verwendet werden können, kann diese Berechtigung Administratoren ermöglichen, den Zugriff auf den KMS Schlüssel zu gewähren oder zu verweigern. Details hierzu finden Sie unter ABACfür AWS KMS.
kms:UntagResource-
Ermöglicht es Schlüsseladministratoren kms:UntagResource, Stichwörter aus dem KMS Schlüssel zu löschen. Da Tags verwendet werden können, um den Zugriff auf den Schlüssel zu kontrollieren, kann diese Berechtigung Administratoren ermöglichen, den Zugriff auf den KMS Schlüssel zu gewähren oder zu verweigern. Details hierzu finden Sie unter ABACfür AWS KMS.
kms:ScheduleKeyDeletion-
Ermöglicht
kms:ScheduleKeyDeletiones Schlüsseladministratoren, diesen KMS Schlüssel zu löschen. Um diese Berechtigung zu löschen, deaktivieren Sie die Option Allow key administrators to delete this key (Schlüsseladministratoren das Löschen dieses Schlüssels erlauben). kms:CancelKeyDeletion-
Ermöglicht es Schlüsseladministratoren
kms:CancelKeyDeletion, das Löschen dieses KMS Schlüssels abzubrechen. Um diese Berechtigung zu löschen, deaktivieren Sie die Option Allow key administrators to delete this key (Schlüsseladministratoren das Löschen dieses Schlüssels erlauben). kms:RotateKeyOnDemand-
Ermöglicht es Schlüsseladministratoren
kms:RotateKeyOnDemand, bei Bedarf eine Rotation des Schlüsselmaterials in diesem KMS Schlüssel durchzuführen.
AWS KMS fügt der Standardanweisung für Schlüsseladministratoren die folgenden Berechtigungen hinzu, wenn Sie Schlüssel für spezielle Zwecke erstellen.
kms:ImportKeyMaterial-
Diese
kms:ImportKeyMaterialBerechtigung ermöglicht es Schlüsseladministratoren, Schlüsselmaterial in den KMS Schlüssel zu importieren. Diese Berechtigung ist nur dann in der Schlüsselrichtlinie enthalten, wenn Sie einen KMS Schlüssel ohne Schlüsselmaterial erstellen. kms:ReplicateKey-
Diese
kms:ReplicateKeyBerechtigung ermöglicht es Schlüsseladministratoren, ein Replikat eines Primärschlüssels mit mehreren Regionen in einer anderen AWS Region zu erstellen. Diese Berechtigung ist nur dann in der Schlüsselrichtlinie enthalten, wenn Sie einen multiregionalen Primär- oder Replikatschlüssel erstellen. kms:UpdatePrimaryRegion-
Die Berechtigung
kms:UpdatePrimaryRegionerlaubt es Schlüsseladministratoren, einen multiregionalen Replikatschlüssel zu einem multiregionalen Primärschlüssel zu ändern. Diese Berechtigung ist nur dann in der Schlüsselrichtlinie enthalten, wenn Sie einen multiregionalen Primär- oder Replikatschlüssel erstellen.
Ermöglicht Schlüsselbenutzern die Verwendung des Schlüssels KMS
Die Standardschlüsselrichtlinie, die die Konsole für KMS Schlüssel erstellt, ermöglicht es Ihnen, IAM Benutzer und IAM Rollen innerhalb des Kontos sowie externe AWS-Konten Benutzer und Rollen auszuwählen und sie zu Schlüsselbenutzern zu machen.
Die Konsole fügt der Schlüsselrichtlinie für Schlüsselbenutzer zwei Richtlinienanweisungen hinzu.
-
Den KMS Schlüssel direkt verwenden — Die erste wichtige Richtlinienerklärung gibt Schlüsselbenutzern die Erlaubnis, den KMS Schlüssel direkt für alle unterstützten kryptografischen Operationen für diesen KMS Schlüsseltyp zu verwenden.
-
Den KMS Schlüssel mit AWS Diensten verwenden — Die zweite Richtlinienerklärung gibt Schlüsselbenutzern die Erlaubnis, AWS Diensten, die in integriert sind, AWS KMS zu gestatten, den KMS Schlüssel in ihrem Namen zu verwenden, um Ressourcen wie Amazon S3 S3-Buckets und Amazon DynamoDB-Tabellen zu schützen.
Sie können IAM Benutzer, IAM Rollen und andere Benutzer AWS-Konten zur Liste der Hauptbenutzer hinzufügen, wenn Sie den Schlüssel erstellen. KMS Sie können auch die Liste der Schlüsselrichtlinien in der Standardansicht der Konsole wie in der folgenden Abbildung dargestellt bearbeiten. Die Standardansicht für Schlüsselrichtlinien finden Sie auf der Seite mit den Schlüsseldetails. Weitere Informationen darüber, wie Sie Benutzern in anderen AWS-Konten Ländern die Verwendung des KMS Schlüssels ermöglichen, finden Sie unterBenutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen.
Anmerkung
IAMbewährte Methoden raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
Die Standard-Schlüsselbenutzer-Anweisung für einen symmetrischen Schlüssel für eine Region gewährt die folgenden Berechtigungen. Ausführliche Informationen zu den einzelnen Berechtigungen finden Sie unter AWS KMS Berechtigungen.
Wenn Sie die AWS KMS Konsole verwenden, um einen KMS Schlüssel zu erstellen, fügt die Konsole die Benutzer und Rollen, die Sie angeben, dem Principal Element in jeder Key-User-Anweisung hinzu.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Ermöglicht Schlüsselbenutzern, einen KMS Schlüssel für kryptografische Operationen zu verwenden
Schlüsselbenutzer sind berechtigt, den KMS Schlüssel direkt für alle kryptografischen Operationen zu verwenden, die für den KMS Schlüssel unterstützt werden. Sie können den DescribeKeyVorgang auch verwenden, um detaillierte Informationen über den KMS Schlüssel in der AWS KMS Konsole oder mithilfe der AWS KMS API Operationen abzurufen.
Standardmäßig fügt die AWS KMS Konsole wichtige Benutzeranweisungen wie die in den folgenden Beispielen zur Standardschlüsselrichtlinie hinzu. Da sie unterschiedliche API Operationen unterstützen, unterscheiden sich die Aktionen in den Richtlinienanweisungen für symmetrische KMS Verschlüsselungsschlüssel, HMAC KMS Schlüssel, asymmetrische KMS Schlüssel für die Verschlüsselung mit öffentlichen Schlüsseln und asymmetrische KMS Schlüssel für Signierung und Überprüfung geringfügig.
- Symmetrische Verschlüsselungsschlüssel KMS
-
Die Konsole fügt der Schlüsselrichtlinie für symmetrische KMS Verschlüsselungsschlüssel die folgende Anweisung hinzu.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" } - HMACKMSSchlüssel
-
Die Konsole fügt der Schlüsselrichtlinie für HMAC KMS Schlüssel die folgende Anweisung hinzu.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GenerateMac", "kms:VerifyMac" ], "Resource": "*" } - Asymmetrische KMS Schlüssel für die Verschlüsselung mit öffentlichen Schlüsseln
-
Die Konsole fügt der Schlüsselrichtlinie für asymmetrische Schlüssel mit der Schlüsselverwendung KMS Verschlüsseln und Entschlüsseln die folgende Anweisung hinzu.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" } - Asymmetrische KMS Schlüssel zum Signieren und Überprüfen
-
Die Konsole fügt der Schlüsselrichtlinie für asymmetrische Schlüssel die folgende Anweisung hinzu, wobei der KMS Schlüssel Sign and verify verwendet wird.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" } - Asymmetrische KMS Schlüssel zum Ableiten gemeinsam genutzter Geheimnisse
-
Die Konsole fügt der Schlüsselrichtlinie für asymmetrische KMS Schlüssel mit der Schlüsselvereinbarung die folgende Anweisung hinzu.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:DeriveSharedSecret" ], "Resource": "*" }
Die Aktionen in diesen Anweisungen geben den Schlüsselbenutzern die folgenden Berechtigungen.
kms:Encrypt-
Ermöglicht Schlüsselbenutzern, Daten mit diesem KMS Schlüssel zu verschlüsseln.
kms:Decrypt-
Ermöglicht Schlüsselbenutzern, Daten mit diesem KMS Schlüssel zu entschlüsseln.
kms:DeriveSharedSecret-
Ermöglicht es Schlüsselbenutzern, gemeinsame Geheimnisse mit diesem KMS Schlüssel abzuleiten.
kms:DescribeKey-
Ermöglicht Schlüsselbenutzern, detaillierte Informationen über diesen KMS Schlüssel abzurufen, einschließlich seiner Identifikatoren, seines Erstellungsdatums und seines Status. Außerdem können die Hauptbenutzer Details über den KMS Schlüssel in der AWS KMS Konsole anzeigen.
kms:GenerateDataKey*-
Erlaubt Schlüsselbenutzern, einen symmetrischen Datenschlüssel oder ein asymmetrisches Datenschlüsselpaar für clientseitige kryptografische Operationen anzufordern. Die Konsole verwendet das Platzhalterzeichen *, um die Erlaubnis für die folgenden API Operationen darzustellen: GenerateDataKey, GenerateDataKeyWithoutPlaintextGenerateDataKeyPair, und GenerateDataKeyPairWithoutPlaintext. Diese Berechtigungen gelten nur für die symmetrischen KMS Schlüssel, die die Datenschlüssel verschlüsseln.
- km: GenerateMac
-
Ermöglicht Schlüsselbenutzern die Verwendung eines HMAC KMS Schlüssels zur Generierung eines HMAC Tags.
- km: GetPublicKey
-
Ermöglicht Schlüsselbenutzern das Herunterladen des öffentlichen Schlüssels des asymmetrischen KMS Schlüssels. Parteien, mit denen Sie diesen öffentlichen Schlüssel teilen, können Daten außerhalb von verschlüsseln. AWS KMS Diese Chiffretexte können jedoch nur durch Aufrufen der Produktion Decrypt in AWS KMS entschlüsselt werden.
- km: * ReEncrypt
-
Ermöglicht Schlüsselbenutzern, Daten, die ursprünglich mit diesem KMS Schlüssel verschlüsselt wurden, erneut zu verschlüsseln oder diesen Schlüssel zu verwenden, um zuvor verschlüsselte Daten erneut zu verschlüsseln. KMS Der ReEncryptVorgang erfordert Zugriff auf Quell- und Zielschlüssel. KMS Um dies zu erreichen, können Sie die
kms:ReEncryptFromBerechtigungen für den KMS Quellschlüssel und diekms:ReEncryptToBerechtigungen für den KMS Zielschlüssel gewähren. Der Einfachheit halber erlaubt die Konsole jedochkms:ReEncrypt*(mit dem*Platzhalterzeichen) für beide KMS Schlüssel. - kms:Sign
-
Ermöglicht Key-Benutzern, Nachrichten mit diesem KMS Schlüssel zu signieren.
- kms:Verify
-
Ermöglicht Schlüsselbenutzern, Signaturen mit diesem KMS Schlüssel zu überprüfen.
- km: VerifyMac
-
Ermöglicht Schlüsselbenutzern, einen HMAC KMS Schlüssel zur Überprüfung eines HMAC Tags zu verwenden.
Ermöglicht Schlüsselbenutzern, den KMS Schlüssel mit AWS Diensten zu verwenden
Die Standardschlüsselrichtlinie in der Konsole gewährt Schlüsselbenutzern außerdem die Berechtigungen, die sie benötigen, um ihre Daten in AWS Diensten zu schützen, die Grants verwenden. AWS Dienste verwenden häufig Zuschüsse, um spezifische und eingeschränkte Berechtigungen zur Verwendung eines KMS Schlüssels zu erhalten.
Diese wichtige Richtlinienerklärung ermöglicht es dem Hauptbenutzer, Genehmigungen für den Schlüssel zu erstellen, einzusehen und zu widerrufen. Dies ist jedoch nur möglich, wenn die Anfrage für die Gewährung von einem AWS Dienst stammt, in den der KMS Schlüssel integriert
Schlüsselbenutzer benötigen diese Erteilungsberechtigungen, um ihren KMS Schlüssel mit integrierten Diensten verwenden zu können, aber diese Berechtigungen reichen nicht aus. Schlüsselbenutzer benötigen außerdem die Berechtigung, die integrierten Services zu nutzen. Einzelheiten darüber, wie Sie Benutzern Zugriff auf einen AWS Dienst gewähren, der in den integrierten Dienst integriert werden kann AWS KMS, finden Sie in der Dokumentation zum integrierten Dienst.
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Key-User können diese Berechtigungen für den KMS Schlüssel beispielsweise auf folgende Weise verwenden.
-
Verwenden Sie diesen KMS Schlüssel mit Amazon Elastic Block Store (AmazonEBS) und Amazon Elastic Compute Cloud (AmazonEC2), um ein verschlüsseltes EBS Volume an eine EC2 Instance anzuhängen. Der Schlüsselbenutzer erteilt Amazon implizit die EC2 Erlaubnis, den KMS Schlüssel zu verwenden, um das verschlüsselte Volume an die Instance anzuhängen. Weitere Informationen finden Sie unter So verwendet Amazon Elastic Block Store (AmazonEBS) AWS KMS.
-
Verwenden Sie diesen KMS Schlüssel mit Amazon Redshift, um einen verschlüsselten Cluster zu starten. Der Schlüsselbenutzer erteilt Amazon Redshift implizit die Erlaubnis, den KMS Schlüssel zu verwenden, um den verschlüsselten Cluster zu starten und verschlüsselte Snapshots zu erstellen. Weitere Informationen finden Sie unter So verwendet Amazon Redshift AWS KMS.
-
Verwenden Sie diesen KMS Schlüssel zusammen mit anderen integrierten AWS Diensten AWS KMS, die Zuschüsse verwenden, um verschlüsselte Ressourcen mit diesen Diensten zu erstellen, zu verwalten oder zu verwenden.
Die Standard-Berechtigung ermöglicht es Schlüsselbenutzern, alle integrierten Services zu verwenden, die Zugriffserteilungen nutzen. Sie können jedoch eine benutzerdefinierte Schlüsselrichtlinie erstellen, die die Berechtigungen auf bestimmte AWS Dienste beschränkt. Weitere Informationen erhalten Sie unter km: ViaService Bedingungsschlüssel.
