Steuern des Zugriffs auf multiregionale Schlüssel - AWS Key Management Service
Grundlagen der Autorisierung für multiregionale SchlüsselAutorisieren von Administratoren und Benutzern für multiregionale SchlüsselAutorisieren von AWS KMS zum Synchronisieren der multiregionalen Schlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern des Zugriffs auf multiregionale Schlüssel

Sie können multiregionale Schlüssel in Compliance-, Notfallwiederherstellungs- und Backup-Szenarien verwenden, die mit einzelregionalen Schlüsseln komplexer wären. Da sich die Sicherheitseigenschaften von multiregionalen Schlüsseln erheblich von denen von einzelregionalen Schlüsseln unterscheiden, empfehlen wir, bei der Autorisierung der Erstellung, Verwaltung und Verwendung von multiregionalen Schlüsseln Vorsicht walten zu lassen.

Anmerkung

Vorhandene IAM-Richtlinienanweisungen mit Platzhalterzeichen im Resource-Feld gelten jetzt sowohl für einzelregionale Schlüssel als auch für multiregionale Schlüssel. Um sie auf einzelregionale KMS-Schlüssel oder multiregionale Schlüssel zu beschränken, verwenden Sie den Bedingungsschlüssel kms:MultiRegion.

Verwenden Sie Ihre Autorisierungstools, um die Erstellung und Verwendung von multiregionalen Schlüsseln in jedem Szenario zu verhindern, in dem ein einzelregionaler Schlüssel ausreicht. Erlauben Sie Prinzipalen die Replikation eines multiregionalen Schlüssels nur in AWS-Regionen, die sie erfordern. Erteilen Sie Berechtigungen für multiregionale Schlüssel nur an Prinzipale, die sie benötigen, und nur für Aufgaben, für die sie erforderlich sind.

Sie können Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen verwenden, um IAM-Prinzipalen die Verwaltung und Verwendung von multiregionalen Schlüsseln in Ihrem AWS-Konto zu erlauben. Jeder multiregionaler Schlüssel ist eine unabhängige Ressource mit einem eindeutigen Schlüssel-ARN und einer Schlüsselrichtlinie. Sie müssen für jeden Schlüssel eine Schlüsselrichtlinie einrichten und pflegen und sicherstellen, dass neue und vorhandene IAM-Richtlinien Ihre Autorisierungsstrategie implementieren.

Grundlagen der Autorisierung für multiregionale Schlüssel

Berücksichtigen Sie beim Entwerfen von Schlüsselrichtlinien und IAM-Richtlinien für multiregionale Schlüssel die folgenden Grundsätze.

  • Schlüsselrichtlinie – Jeder multiregionale Schlüssel ist eine unabhängige KMS-Schlüsselressource mit einer eigenen Schlüsselrichtlinie. Sie können dieselbe oder eine andere Schlüsselrichtlinie auf jeden Schlüssel in dem Satz von verwandten multiregionalen Schlüsseln anwenden. Schlüsselrichtlinien sind nicht gemeinsam genutzte Eigenschaftenvon multiregionalen Schlüsseln. AWS KMS kopiert oder synchronisiert Schlüsselrichtlinien zwischen verwandten multiregionalen Schlüsseln nicht.

    Wenn Sie einen Replikatschlüssel in der AWS KMS-Konsole erstellen, zeigt die Konsole die aktuelle Schlüsselrichtlinie des Primärschlüssels als Hilfe an. Sie können diese Schlüsselrichtlinie verwenden, bearbeiten oder löschen und ersetzen. Aber selbst wenn Sie die Primärschlüsselrichtlinie unverändert akzeptieren, synchronisiert AWS KMS die Richtlinien nicht. Wenn Sie beispielsweise die Schlüsselrichtlinie des Primärschlüssels ändern, bleibt die Schlüsselrichtlinie des Replikatschlüssels unverändert.

  • Standardschlüsselrichtlinie – Wenn Sie multiregionale Schlüssel mithilfe der ReplicateKey Operationen CreateKey und erstellen, wird die Standardschlüsselrichtlinie angewendet, es sei denn, Sie geben eine Schlüsselrichtlinie in der Anforderung an. Dies ist die gleiche Standard-Schlüsselrichtlinie, die auf einzelregionale Schlüssel angewendet wird.

  • IAM-Richtlinien – Wie bei allen KMS-Schlüsseln können Sie IAM-Richtlinien verwenden, um den Zugriff auf multiregionale Schlüssel nur dann zu steuern, wenn die Schlüsselrichtlinie es erlaubt. IAM-Richtlinien – gelten standardmäßig für alle AWS-Regionen. Sie können jedoch Bedingungsschlüssel wie aws:RequestedRegion verwenden, um Berechtigungen auf eine bestimmte Region zu beschränken.

    Zum Erstellen von Primär- und Replikatschlüsseln müssen Prinzipale die kms:CreateKey-Berechtigung in einer IAM-Richtlinie haben, die für die Region gilt, wo der Schlüssel erstellt wird.

  • Erteilungen – AWS KMS-Erteilungen sind regional. Jede Erteilung erlaubt Berechtigungen für einen KMS-Schlüssel. Sie können Erteilungen verwenden, um Berechtigungen für einen multiregionalen Primärschlüssel oder Replikatschlüssel zuzulassen. Sie können jedoch keine einzelne Erteilung verwenden, um Berechtigungen für mehrere KMS-Schlüssel zuzulassen, selbst wenn es sich um verwandte multiregionale Schlüssel handelt.

  • Schüssel-ARN – Jeder multiregionale Schlüssel verfügt über einen Schüssel-ARN. Die Schlüssel-ARNs von verwandten multiregionalen Schlüsseln haben die gleiche Partition und Schlüssel-ID und das gleiche Konto, aber unterschiedliche Regionen.

    Um eine IAM-Richtlinienanweisung auf einen bestimmten multiregionalen Schlüssel anzuwenden, verwenden Sie dessen Schlüssel-ARN oder ein Schlüssel-ARN-Muster, das die Region enthält. Verwenden Sie ein Platzhalterzeichen (*) im Region-Element des ARN, um eine IAM-Richtlinienanweisung auf alle verwandten multiregionalen Schlüssel.

    {
  "Effect": "Allow",  
  "Action": [
    "kms:Describe*",
    "kms:List*"
  ],
  "Resource": {
      "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
  }
}

    Um eine Richtlinienanweisung auf alle multiregionalen Schlüssel in Ihrem anzuwendenAWS-Konto, können Sie die kms:MultiRegion-Richtlinienbedingung oder ein Schlüssel-ID-Muster verwenden, das das einzigartige mrk- Präfix enthält.

  • Serviceverknüpfte Rolle – Prinzipale, die multiregionale Primärschlüssel erstellen, müssen über die Berechtigung iam:CreateServiceLinkedRole verfügen.

    So synchronisieren Sie die gemeinsam genutzten Eigenschaften verwandter multiregionaler Schlüssel: AWS KMS übernimmt eine serviceverknüpfte IAM-Rolle. AWS KMS erstellt die serviceverknüpfte Rolle im AWS-Konto, jedes Mal wenn Sie einen multiregionalen Primärschlüssel erstellen. (Wenn die Rolle vorhanden ist, erstellt AWS KMS sie neu, was keine schädliche Wirkung hat.) Die Rolle ist in allen Regionen gültig. Damit die serviceverknüpfte Rolle AWS KMS erstellen (oder neu erstellen) kann, müssen Prinzipale, die multiregionale Primärschlüssel erstellen, über die Berechtigung iam:CreateServiceLinkedRole verfügen.

Autorisieren von Administratoren und Benutzern für multiregionale Schlüssel

Prinzipale, die multiregionale Schlüssel erstellen und verwalten, benötigen die folgenden Berechtigungen in den primären und Replikatregionen:

  • kms:CreateKey

  • kms:ReplicateKey

  • kms:UpdatePrimaryRegion

  • iam:CreateServiceLinkedRole

Erstellen eines Primärschlüssels

Um einen multiregionalen Primärschlüssel zu erstellen, benötigt der Prinzipal kms:CreateKey- und iam:CreateServiceLinkedRole-Berechtigungen in einer IAM-Richtlinie, die in der Region des Primärschlüssels wirksam ist. Prinzipale, die über diese Berechtigungen verfügen, können einzelregionale Schlüssel und multiregionale Schlüssel erstellen, es sei denn, Sie beschränken ihre Berechtigungen.

Die -iam:CreateServiceLinkedRoleBerechtigung ermöglicht es AWS KMS, die AWSServiceRoleForKeyManagementServiceMultiRegionKeys Rolle zum Synchronisieren der gemeinsamen Eigenschaften verwandter multiregionaler Schlüssel zu erstellen.

Zum Beispiel kann mit dieser IAM-Richtlinie ein Prinzipal einen beliebigen KMS-Schlüsseltyp erstellen.

{
  "Version": "2012-10-17",
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}

Um die Berechtigung zum Erstellen von multiregionalen Primärschlüsseln zu gewähren oder zu verweigern, verwenden Sie den kms:MultiRegion-Bedingungsschlüssel. Gültige Werte sind true (multiregionaler Schlüssel) oder false (einzelregionaler Schlüssel). Beispielsweise verwendet die folgende IAM-Richtlinienanweisung eine Deny-Aktion mit dem kms:MultiRegion-Bedingungsschlüssel, um zu verhindern, dass Prinzipale multiregionale Schlüssel erstellen. 

{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": "kms:MultiRegion": true
      }
  }
}

Replizieren von Schlüsseln

Um einen multiregionalen Replikatschlüssel zu erstellen, benötigt der Prinzipal die folgenden Berechtigungen:

  • kms:ReplicateKey Berechtigung in der Schlüsselrichtlinie des Primärschlüssels.

  • kms:CreateKey Berechtigung in einer IAM-Richtlinie, die in der Region des Replikatschlüssels wirksam ist.

Seien Sie vorsichtig, wenn Sie diese Berechtigungen zulassen. Sie ermöglichen es Prinzipalen, KMS-Schlüssel und die Schlüsselrichtlinien zu erstellen, die ihre Verwendung autorisieren. Die kms:ReplicateKey-Berechtigung autorisiert auch die Übertragung von Schlüsselmaterial über Regionsgrenzen innerhalb von AWS KMS.

Um die einzuschränken, AWS-Regionen in der ein multiregionaler Schlüssel repliziert werden kann, verwenden Sie den Bedingungsschlüssel kms:ReplicaRegion. Es begrenzt nur diekms:ReplicateKey-Berechtigung. Andernfalls hat es keine Auswirkungen. Beispielsweise ermöglicht die folgende Schlüsselrichtlinie dem Prinzipal, diesen Primärschlüssel zu replizieren, jedoch nur in den angegebenen Regionen.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Aktualisieren der primären Region

Autorisierte Prinzipale können einen Replikatschlüssel in einen Primärschlüssel konvertieren, wodurch der frühere Primärschlüssel in ein Replikat umgewandelt wird. Diese Aktion ist bekannt als Aktualisieren der primären Region. Um die primäre Region zu aktualisieren, benötigt der Prinzipal die kms:-UpdatePrimaryRegionBerechtigung in beiden Regionen. Sie können diese Berechtigungen in einer Schlüsselrichtlinie oder einer IAM-Richtlinie bereitstellen.

  • kms:UpdatePrimaryRegion für den Primärschlüssel. Diese Berechtigung muss in der Region des Primärschlüssels wirksam sein.

  • kms:UpdatePrimaryRegion für den Replikatschlüssel. Diese Berechtigung muss in der Region des Replikatschlüssels wirksam sein.

Die folgende Schlüsselrichtlinie gibt Benutzern, die die Administratorrolle übernehmen können, die Berechtigung zum Aktualisieren der primären Region des KMS-Schlüssels. Dieser KMS-Schlüssel kann der Primärschlüssel oder ein Replikatschlüssel in dieser Operation sein.

{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}

Um die einzuschränkenAWS-Regionen, die einen Primärschlüssel hosten kann, verwenden Sie den kms:PrimaryRegion-Bedingungsschlüssel. Mit der folgenden IAM-Richtlinienanweisung können die Prinzipale beispielsweise die primäre Region der multiregionalen Schlüssel im AWS-Konto aktualisieren, jedoch nur, wenn die neue primäre Region eine der angegebenen Regionen ist.

{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}

Verwenden und Verwalten von multiregionalen Schlüsseln

Standardmäßig haben Prinzipale, die über die Berechtigung zum Verwenden und Verwalten von KMS-Schlüsseln in einem AWS-Konto und einer Region haben, auch die Berechtigung, multiregionale Schlüssel zu verwenden und zu verwalten. Sie können jedoch den Bedingungsschlüssel kms:MultiRegion verwenden, um nur einzelregionale Schlüssel oder nur multiregionale Schlüssel zuzulassen. Oder verwenden Sie den kms:MultiRegionKeyType-Bedingungsschlüssel, um nur multiregionale Primärschlüssel oder nur Replikatschlüssel zuzulassen. Beide Bedingungsschlüssel steuern den Zugriff auf die -CreateKeyOperation und auf jede Operation, die einen vorhandenen KMS-Schlüssel verwendet, z. B. Encrypt oder EnableKey.

Beispielsweise verwendet die folgende IAM-Richtlinienanweisung den kms:MultiRegion-Bedingungsschlüssel, um zu verhindern, dass Prinzipale multiregionale Schlüssel verwenden oder verwalten.

{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}

In diesem Beispiel verwendet die IAM-Richtlinienanweisung die kms:MultiRegionKeyType-Bedingung, damit Prinzipale das Löschen von Schlüsseln planen und abbrechen können, jedoch nur für multiregionale Replikatschlüssel.

{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}

Autorisieren von AWS KMS zum Synchronisieren der multiregionalen Schlüsseln

Zur Unterstützung von multiregionalen Schlüsseln, verwendet AWS KMS eine serviceverknüpfte IAM-Rolle. Diese Rolle gibt AWS KMS die Berechtigungen, die es zum Synchronisieren von gemeinsam genutzten Eigenschaften benötigt. Sie können das SynchronizeMultiRegionKey CloudTrail Ereignis anzeigen, das Datensätze aufzeichnet, die freigegebene Eigenschaften in Ihren AWS CloudTrail Protokollen AWS KMS synchronisieren.

Über die serviceverknüpfte Rolle für multiregionale Schlüssel

Eine serviceverknüpfte Rolle ist eine IAM-Rolle, die einem AWS-Service die Berechtigung gewährt, in Ihrem Namen andere AWS-Services aufzurufen. Sie soll die Verwendung der Funktionen mehrerer integrierter AWS-Services für Sie vereinfachen, da Sie keine komplexen IAM-Richtlinien erstellen und verwalten müssen.

Bei multiregionalen Schlüsseln AWS KMS erstellt die AWSServiceRoleForKeyManagementServiceMultiRegionKeys serviceverknüpfte Rolle mit der AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy Richtlinie . Diese Richtlinie gibt der Rolle die kms:SynchronizeMultiRegionKey-Berechtigung, die es ermöglicht, die freigegebenen Eigenschaften von multiregionalen Schlüsseln zu synchronisieren.

Da die AWSServiceRoleForKeyManagementServiceMultiRegionKeys serviceverknüpfte Rolle nur vertrautmrk.kms.amazonaws.com, AWS KMS kann nur diese serviceverknüpfte Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, die AWS KMS benötigt, um freigegebene multiregionale Eigenschaften zu synchronisieren. AWS KMS werden keine weiteren Berechtigungen erteilt. Zum Beispiel hat AWS KMS nicht die Berechtigung zum Erstellen, Replizieren oder Löschen von KMS-Schlüsseln.

Weitere Informationen darüber, wie AWS-Services serviceverknüpften Rollen verwenden, finden Sie unter Verwenden von serviceverknüpften Rollen im IAM-Benutzerhandbuch.

Erstellen der serviceverknüpften Rolle

AWS KMS erstellt automatisch die AWSServiceRoleForKeyManagementServiceMultiRegionKeys serviceverknüpfte Rolle in Ihrem , AWS-Konto wenn Sie einen multiregionalen Schlüssel erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.

Bearbeiten der Beschreibung der serviceverknüpften Rolle

Sie können den Rollennamen oder die Richtlinienanweisungen in der AWSServiceRoleForKeyManagementServiceMultiRegionKeys serviceverknüpften Rolle nicht bearbeiten, aber Sie können die Rollenbeschreibung bearbeiten. Anweisungen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen der serviceverknüpften Rolle

AWS KMS löscht die AWSServiceRoleForKeyManagementServiceMultiRegionKeys serviceverknüpfte Rolle nicht aus Ihrem AWS-Konto und Sie können sie nicht löschen. übernimmt jedoch AWS KMS die AWSServiceRoleForKeyManagementServiceMultiRegionKeys Rolle und verwendet keine ihrer Berechtigungen, es sei denn, Sie haben multiregionale Schlüssel in Ihrem AWS-Konto und Ihrer Region.