Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bei der rollenbasierten Zugriffskontrolle (RBAC) handelt es sich um eine Autorisierungsstrategie, die Benutzern nur die für die Erfüllung ihrer Aufgaben erforderlichen Berechtigungen gewährt, mehr nicht. AWS KMS unterstützt RBAC, indem es Ihnen ermöglicht, den Zugriff auf Ihre Schlüssel zu kontrollieren, indem Sie innerhalb von Schlüsselrichtlinien detaillierte Berechtigungen für die Schlüsselverwendung festlegen. In Schlüsselrichtlinien werden eine Ressource, eine Aktion, eine Wirkung, ein Hauptprinzip und optionale Bedingungen für die Gewährung des Zugriffs auf Schlüssel festgelegt.
Um RBAC zu implementieren, empfehlen wir AWS KMS, die Berechtigungen für Schlüsselbenutzer und Schlüsseladministratoren voneinander zu trennen.
Das folgende Beispiel für eine wichtige Richtlinie ermöglicht es der ExampleUserRole IAM-Rolle, den KMS-Schlüssel zu verwenden.
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}Ihre Hauptbenutzer benötigen möglicherweise weniger Berechtigungen als der Benutzer in diesem Beispiel. Weisen Sie nur die Berechtigungen zu, die der Benutzer benötigt. Verwenden Sie die folgenden Fragen, um die Berechtigungen weiter zu verfeinern.
-
Welche IAM-Prinzipale (Rollen oder Benutzer) benötigen Zugriff auf den Schlüssel?
-
Welche Aktionen muss jeder Principal mit dem Schlüssel ausführen? Benötigt der Principal beispielsweise nur die Berechtigungen Verschlüsseln und Signieren?
-
Ist der Benutzer ein Mensch oder ein AWS Dienst? Wenn es sich um einen AWS Dienst handelt, können Sie den Bedingungsschlüssel verwenden, um die Schlüsselverwendung auf einen bestimmten AWS Dienst zu beschränken.
Erteilen Sie Benutzern nur die Berechtigungen, die sie zur Erfüllung ihrer Rollen benötigen. Die Berechtigungen eines Benutzers können variieren, je nachdem, ob der Schlüssel in Test- oder Produktionsumgebungen verwendet wird. Wenn Sie in bestimmten Umgebungen, die nicht zur Produktion gehören, weniger restriktive Berechtigungen verwenden, implementieren Sie einen Prozess, um die Richtlinien zu testen, bevor sie für die Produktion freigegeben werden.
Weitere Informationen
