Konfigurationsoptionen für das Abrufen sensibler Datenproben mit Macie-Ergebnissen - Amazon Macie
Bestimmen, welche Zugriffsmethode verwendet werden sollVerwenden von IAM Benutzeranmeldedaten für den Zugriff auf betroffene ObjekteÜbernahme einer IAM Rolle für den Zugriff auf betroffene ObjekteKonfiguration einer IAM Rolle für den Zugriff auf betroffene ObjekteBetroffene Objekte werden entschlüsselt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurationsoptionen für das Abrufen sensibler Datenproben mit Macie-Ergebnissen

Sie können Amazon Macie optional konfigurieren und verwenden, um Stichproben vertraulicher Daten abzurufen und offenzulegen, die Macie in einzelnen Ergebnissen meldet. Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten im entsprechenden Ermittlungsergebnis für sensible Daten, um das Vorkommen sensibler Daten im betroffenen Amazon Simple Storage Service (Amazon S3) -Objekt zu lokalisieren. Macie extrahiert dann Proben dieser Vorkommnisse aus dem betroffenen Objekt. Macie verschlüsselt die extrahierten Daten mit einem von Ihnen angegebenen Schlüssel AWS Key Management Service (AWS KMS), speichert die verschlüsselten Daten vorübergehend in einem Cache und gibt die Daten in Ihren Ergebnissen für die Suche zurück. Kurz nach dem Extrahieren und Verschlüsseln löscht Macie die Daten dauerhaft aus dem Cache, es sei denn, eine zusätzliche Aufbewahrung ist vorübergehend erforderlich, um ein Betriebsproblem zu lösen.

Macie verwendet die mit dem Dienst verknüpfte Macie-Rolle für Ihr Konto nicht, um sensible Datenproben für betroffene S3-Objekte zu finden, abzurufen, zu verschlüsseln oder offenzulegen. Stattdessen verwendet Macie Einstellungen und Ressourcen, die Sie für Ihr Konto konfigurieren. Wenn Sie die Einstellungen in Macie konfigurieren, geben Sie an, wie auf die betroffenen S3-Objekte zugegriffen werden soll. Sie geben auch an, welches AWS KMS key zum Verschlüsseln der Samples verwendet werden soll. Sie können die Einstellungen in allen Regionen konfigurieren, in AWS-Regionen denen Macie derzeit verfügbar ist, mit Ausnahme der Regionen Asien-Pazifik (Osaka) und Israel (Tel Aviv).

Um auf betroffene S3-Objekte zuzugreifen und sensible Datenproben von ihnen abzurufen, haben Sie zwei Möglichkeiten. Sie können Macie so konfigurieren, dass es Benutzeranmeldedaten AWS Identity and Access Management (IAM) verwendet oder eine IAM Rolle übernimmt:

  • IAMBenutzeranmeldedaten verwenden — Bei dieser Option verwendet jeder Benutzer Ihres Kontos seine individuelle IAM Identität, um die Beispiele zu finden, abzurufen, zu verschlüsseln und offenzulegen. Das bedeutet, dass ein Benutzer sensible Datenproben abrufen und offenlegen kann, um festzustellen, ob er auf die erforderlichen Ressourcen und Daten zugreifen und die erforderlichen Aktionen ausführen darf.

  • Eine IAM Rolle übernehmen — Mit dieser Option erstellen Sie eine IAM Rolle, die den Zugriff an Macie delegiert. Sie stellen außerdem sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Macie übernimmt dann die Rolle, wenn ein Benutzer Ihres Kontos entscheidet, sensible Datenproben zu finden, abzurufen, zu verschlüsseln und offenzulegen, um eine Entdeckung zu machen.

Sie können beide Konfigurationen mit jeder Art von Macie-Konto verwenden — dem delegierten Macie-Administratorkonto für eine Organisation, einem Macie-Mitgliedskonto in einer Organisation oder einem eigenständigen Macie-Konto.

In den folgenden Themen werden Optionen, Anforderungen und Überlegungen erläutert, anhand derer Sie festlegen können, wie Sie die Einstellungen und Ressourcen für Ihr Konto konfigurieren. Dazu gehören auch die Vertrauens- und Berechtigungsrichtlinien, die einer IAM Rolle zugewiesen werden sollen. Weitere Empfehlungen und Beispiele für Richtlinien, die Sie zum Abrufen und Offenlegen vertraulicher Datenproben verwenden können, finden Sie im Blogbeitrag How to use Amazon Macie to preview sensitive data in S3 buckets im AWS Security Blog.

Bestimmen Sie, welche Zugriffsmethode verwendet werden soll

Bei der Entscheidung, welche Konfiguration für Ihre AWS Umgebung am besten geeignet ist, sollten Sie unbedingt berücksichtigen, ob Ihre Umgebung mehrere Amazon Macie Macie-Konten umfasst, die zentral als Organisation verwaltet werden. Wenn Sie der delegierte Macie-Administrator für eine Organisation sind, kann die Konfiguration von Macie für die Übernahme einer IAM Rolle das Abrufen sensibler Datenproben aus betroffenen S3-Objekten für Konten in Ihrer Organisation rationalisieren. Mit diesem Ansatz erstellen Sie eine IAM Rolle in Ihrem Administratorkonto. Sie erstellen auch eine IAM Rolle in jedem entsprechenden Mitgliedskonto. Die Rolle in Ihrem Administratorkonto delegiert den Zugriff auf Macie. Die Rolle in einem Mitgliedskonto delegiert den kontoübergreifenden Zugriff auf die Rolle in Ihrem Administratorkonto. Falls implementiert, können Sie dann mithilfe der Rollenverkettung auf die betroffenen S3-Objekte für Ihre Mitgliedskonten zugreifen.

Überlegen Sie auch, wer standardmäßig direkten Zugriff auf einzelne Ergebnisse hat. Um sensible Datenproben für ein Ergebnis abzurufen und offenzulegen, muss ein Benutzer zunächst Zugriff auf das Ergebnis haben:

  • Jobs zur Erkennung sensibler Daten — Nur das Konto, das einen Job erstellt, kann auf die Ergebnisse zugreifen, die der Job liefert. Wenn Sie über ein Macie-Administratorkonto verfügen, können Sie einen Job zur Analyse von Objekten in S3-Buckets für jedes Konto in Ihrer Organisation konfigurieren. Daher können Ihre Jobs Ergebnisse für Objekte in Buckets liefern, die Ihren Mitgliedskonten gehören. Wenn Sie ein Mitgliedskonto oder ein eigenständiges Macie-Konto haben, können Sie einen Job so konfigurieren, dass nur Objekte in Buckets analysiert werden, die Ihrem Konto gehören.

  • Automatisierte Erkennung sensibler Daten — Nur das Macie-Administratorkonto kann auf Ergebnisse zugreifen, die die automatische Erkennung für Konten in ihrem Unternehmen generiert. Mitgliedskonten können nicht auf diese Ergebnisse zugreifen. Wenn Sie ein eigenständiges Macie-Konto haben, können Sie nur für Ihr eigenes Konto auf Ergebnisse zugreifen, die durch automatische Erkennung generiert werden.

Wenn Sie planen, mithilfe einer IAM Rolle auf betroffene S3-Objekte zuzugreifen, sollten Sie auch Folgendes berücksichtigen:

  • Um das Vorkommen vertraulicher Daten in einem Objekt zu lokalisieren, muss das entsprechende Erkennungsergebnis vertraulicher Daten in einem S3-Objekt gespeichert werden, das Macie mit einem Hash-basierten Nachrichtenauthentifizierungscode () signiert hat. HMAC AWS KMS key Macie muss in der Lage sein, die Integrität und Authentizität des Erkennungsergebnisses vertraulicher Daten zu überprüfen. Andernfalls übernimmt Macie nicht die IAM Rolle beim Abrufen sensibler Datenproben. Dies ist eine zusätzliche Schutzmaßnahme, um den Zugriff auf Daten in S3-Objekten für ein Konto einzuschränken.

  • Um sensible Datenproben von einem Objekt abzurufen, das verschlüsselt und von einem Kunden verwaltet wird AWS KMS key, muss die IAM Rolle berechtigt sein, Daten mit dem Schlüssel zu entschlüsseln. Genauer gesagt muss die Richtlinie des Schlüssels es der Rolle ermöglichen, die kms:Decrypt Aktion auszuführen. Bei anderen Arten der serverseitigen Verschlüsselung sind keine zusätzlichen Berechtigungen oder Ressourcen erforderlich, um ein betroffenes Objekt zu entschlüsseln. Weitere Informationen finden Sie unter Betroffene S3-Objekte werden entschlüsselt.

  • Um sensible Datenproben von einem Objekt für ein anderes Konto abzurufen, müssen Sie derzeit der delegierte Macie-Administrator für das entsprechende Konto sein. AWS-Region Darüber hinaus gilt:

    • Macie muss derzeit für das Mitgliedskonto in der entsprechenden Region aktiviert sein.

    • Das Mitgliedskonto muss über eine IAM Rolle verfügen, die den kontoübergreifenden Zugriff an eine IAM Rolle in Ihrem Macie-Administratorkonto delegiert. Der Name der Rolle muss in Ihrem Macie-Administratorkonto und im Mitgliedskonto identisch sein.

    • Die Vertrauensrichtlinie für die IAM Rolle im Mitgliedskonto muss eine Bedingung enthalten, die die richtige externe ID für Ihre Konfiguration angibt. Diese ID ist eine eindeutige alphanumerische Zeichenfolge, die Macie automatisch generiert, nachdem Sie die Einstellungen für Ihr Macie-Administratorkonto konfiguriert haben. Informationen zur Verwendung externer Vertrauensrichtlinien finden Sie IDs im Benutzerhandbuch unter So verwenden Sie eine externe ID, wenn Sie Dritten Zugriff auf Ihre AWS Ressourcen gewähren.AWS Identity and Access Management

    • Wenn die IAM Rolle im Mitgliedskonto alle Macie-Anforderungen erfüllt, muss das Mitgliedskonto keine Macie-Einstellungen konfigurieren und aktivieren, damit Sie sensible Datenproben von Objekten für ihr Konto abrufen können. Macie verwendet nur die Einstellungen und die IAM Rolle in Ihrem Macie-Administratorkonto und die IAM Rolle im Mitgliedskonto.

      Tipp

      Wenn Ihr Konto Teil einer großen Organisation ist, sollten Sie erwägen, eine AWS CloudFormation Vorlage und ein Stack-Set zu verwenden, um die IAM Rollen für Mitgliedskonten in Ihrer Organisation bereitzustellen und zu verwalten. Informationen zum Erstellen und Verwenden von Vorlagen und Stack-Sets finden Sie im AWS CloudFormation Benutzerhandbuch.

      Um eine CloudFormation Vorlage zu überprüfen und optional herunterzuladen, die als Ausgangspunkt dienen kann, können Sie die Amazon Macie Macie-Konsole verwenden. Wählen Sie im Navigationsbereich der Konsole unter Einstellungen die Option Beispiele anzeigen aus. Wählen Sie „Bearbeiten“ und anschließend „Rollenberechtigungen und CloudFormation Vorlage für Mitglieder anzeigen“.

Die nachfolgenden Themen in diesem Abschnitt enthalten zusätzliche Details und Überlegungen zu den einzelnen Konfigurationstypen. Bei IAM Rollen umfasst dies die Vertrauens- und Berechtigungsrichtlinien, die einer Rolle zugewiesen werden sollen. Wenn Sie sich nicht sicher sind, welcher Konfigurationstyp für Ihre Umgebung am besten geeignet ist, bitten Sie Ihren AWS Administrator um Unterstützung.

Verwenden von IAM Benutzeranmeldedaten für den Zugriff auf betroffene S3-Objekte

Wenn Sie Amazon Macie so konfigurieren, dass sensible Datenproben mithilfe von IAM Benutzeranmeldedaten abgerufen werden, verwendet jeder Benutzer Ihres Macie-Kontos seine IAM Identität, um Stichproben für einzelne Ergebnisse zu finden, abzurufen, zu verschlüsseln und offenzulegen. Dies bedeutet, dass ein Benutzer sensible Datenproben für einen Befund abrufen und offenlegen kann, sofern seine IAM Identität Zugriff auf die erforderlichen Ressourcen und Daten hat, und die erforderlichen Aktionen ausführen kann. Alle erforderlichen Aktionen sind angemeldet. AWS CloudTrail

Um Stichproben sensibler Daten für ein bestimmtes Ergebnis abzurufen und aufzudecken, muss ein Benutzer Zugriff auf die folgenden Daten und Ressourcen haben: den Befund, das entsprechende Ermittlungsergebnis vertraulicher Daten, den betroffenen S3-Bucket und das betroffene S3-Objekt. Sie müssen auch das verwenden dürfen AWS KMS key , das, falls zutreffend, zum Verschlüsseln des betroffenen Objekts verwendet wurde, und das, für AWS KMS key das Sie Macie zum Verschlüsseln sensibler Datenproben konfiguriert haben. Wenn IAM Richtlinien, Ressourcenrichtlinien oder andere Berechtigungseinstellungen den erforderlichen Zugriff verweigern, kann der Benutzer keine Stichproben für das Ergebnis abrufen und anzeigen.

Um diese Art von Konfiguration einzurichten, führen Sie die folgenden allgemeinen Aufgaben aus:

  1. Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben.

  2. Konfigurieren Sie den AWS KMS key , der für die Verschlüsselung sensibler Datenproben verwendet werden soll.

  3. Überprüfen Sie Ihre Berechtigungen für die Konfiguration der Einstellungen in Macie.

  4. Konfigurieren und aktivieren Sie die Einstellungen in Macie.

Informationen zur Ausführung dieser Aufgaben finden Sie unterKonfiguration von Macie zum Abrufen sensibler Datenproben für Befunde.

Übernahme einer IAM Rolle für den Zugriff auf betroffene S3-Objekte

Um Amazon Macie so zu konfigurieren, dass sensible Datenproben abgerufen werden, indem Sie eine IAM Rolle übernehmen, erstellen Sie zunächst eine IAM Rolle, die den Zugriff auf Amazon Macie delegiert. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Anforderungen erfüllen, damit Macie die Rolle übernehmen kann. Wenn ein Benutzer Ihres Macie-Kontos dann entscheidet, sensible Datenproben für einen Befund abzurufen und offenzulegen, übernimmt Macie die Rolle, die Proben aus dem betroffenen S3-Objekt abzurufen. Macie übernimmt die Rolle nur, wenn ein Benutzer sich dafür entscheidet, Proben für einen Befund abzurufen und offenzulegen. Um die Rolle zu übernehmen, verwendet Macie die AssumeRoleOperation AWS Security Token Service ()AWS STS. API Alle erforderlichen Aktionen sind angemeldet. AWS CloudTrail

Um Stichproben vertraulicher Daten für ein bestimmtes Ergebnis abzurufen und aufzudecken, muss ein Benutzer Zugriff auf den Befund, das entsprechende Ermittlungsergebnis vertraulicher Daten und das, für AWS KMS key das Sie Macie zur Verschlüsselung sensibler Datenproben konfiguriert haben, zugreifen dürfen. Die IAM Rolle muss Macie den Zugriff auf den betroffenen S3-Bucket und das betroffene S3-Objekt ermöglichen. Die Rolle muss gegebenenfalls auch das verwenden dürfen AWS KMS key , mit dem das betroffene Objekt verschlüsselt wurde. Wenn IAM Richtlinien, Ressourcenrichtlinien oder andere Berechtigungseinstellungen den erforderlichen Zugriff verweigern, kann der Benutzer keine Stichproben für das Ergebnis abrufen und anzeigen.

Führen Sie die folgenden allgemeinen Aufgaben aus, um diese Art von Konfiguration einzurichten. Wenn Sie ein Mitgliedskonto in einer Organisation haben, entscheiden Sie gemeinsam mit Ihrem Macie-Administrator, ob und wie Sie die Einstellungen und Ressourcen für Ihr Konto konfigurieren müssen.

  1. Definieren Sie Folgendes:

    • Der Name der IAM Rolle, die Macie übernehmen soll. Wenn Ihr Konto Teil einer Organisation ist, muss dieser Name für das delegierte Macie-Administratorkonto und jedes entsprechende Mitgliedskonto in der Organisation identisch sein. Andernfalls kann der Macie-Administrator nicht auf die betroffenen S3-Objekte für ein entsprechendes Mitgliedskonto zugreifen.

    • Der Name der IAM Berechtigungsrichtlinie, die der IAM Rolle zugewiesen werden soll. Wenn Ihr Konto Teil einer Organisation ist, empfehlen wir, dass Sie für jedes entsprechende Mitgliedskonto in der Organisation denselben Richtliniennamen verwenden. Dies kann die Bereitstellung und Verwaltung der Rolle in Mitgliedskonten optimieren.

  2. Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben.

  3. Konfigurieren Sie den AWS KMS key , der für die Verschlüsselung sensibler Datenproben verwendet werden soll.

  4. Überprüfen Sie Ihre Berechtigungen zum Erstellen von IAM Rollen und zum Konfigurieren der Einstellungen in Macie.

  5. Wenn Sie der delegierte Macie-Administrator für eine Organisation sind oder ein eigenständiges Macie-Konto haben:

    1. Erstellen und konfigurieren Sie die IAM Rolle für Ihr Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Anforderungen erfüllen, damit Macie die Rolle übernehmen kann. Einzelheiten zu diesen Anforderungen finden Sie im nächsten Thema.

    2. Konfigurieren und aktivieren Sie die Einstellungen in Macie. Macie generiert dann eine externe ID für die Konfiguration. Wenn Sie der Macie-Administrator einer Organisation sind, notieren Sie sich diese ID. In der Vertrauensrichtlinie für die IAM Rolle in jedem Ihrer jeweiligen Mitgliedskonten muss diese ID angegeben sein.

  6. Wenn Sie ein Mitgliedskonto in einer Organisation haben:

    1. Fragen Sie Ihren Macie-Administrator nach der externen ID, die Sie in der Vertrauensrichtlinie für die IAM Rolle in Ihrem Konto angeben müssen. Überprüfen Sie außerdem den Namen der IAM Rolle und die zu erstellende Berechtigungsrichtlinie.

    2. Erstellen und konfigurieren Sie die IAM Rolle für Ihr Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Anforderungen erfüllen, damit Ihr Macie-Administrator die Rolle übernehmen kann. Einzelheiten zu diesen Anforderungen finden Sie im nächsten Thema.

    3. (Optional) Wenn Sie sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abrufen und offenlegen möchten, konfigurieren und aktivieren Sie die Einstellungen in Macie. Wenn Sie möchten, dass Macie eine IAM Rolle beim Abrufen der Samples übernimmt, erstellen und konfigurieren Sie zunächst eine zusätzliche IAM Rolle in Ihrem Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für diese zusätzliche Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Konfigurieren Sie dann die Einstellungen in Macie und geben Sie den Namen dieser zusätzlichen Rolle an. Einzelheiten zu den Richtlinienanforderungen für die Rolle finden Sie im nächsten Thema.

Informationen zur Ausführung dieser Aufgaben finden Sie unterKonfiguration von Macie zum Abrufen sensibler Datenproben für Befunde.

Konfiguration einer IAM Rolle für den Zugriff auf betroffene S3-Objekte

Um mithilfe einer IAM Rolle auf betroffene S3-Objekte zuzugreifen, erstellen und konfigurieren Sie zunächst eine Rolle, die den Zugriff an Amazon Macie delegiert. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Wie Sie dabei vorgehen, hängt von der Art Ihres Macie-Kontos ab.

In den folgenden Abschnitten finden Sie Einzelheiten zu den Vertrauens- und Berechtigungsrichtlinien, die der IAM Rolle für jeden Macie-Kontotyp zugewiesen werden müssen. Wählen Sie den Abschnitt für den Kontotyp aus, den Sie haben.

Anmerkung

Wenn Sie ein Mitgliedskonto in einer Organisation haben, müssen Sie möglicherweise zwei IAM Rollen für Ihr Konto erstellen und konfigurieren:

  • Damit Ihr Macie-Administrator sensible Datenproben von betroffenen S3-Objekten für Ihr Konto abrufen und offenlegen kann, erstellen und konfigurieren Sie eine Rolle, die Ihr Administratorkonto übernehmen kann. Wählen Sie für diese Informationen den Abschnitt Macie-Mitgliedskonto aus.

  • Um sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abzurufen und offenzulegen, erstellen und konfigurieren Sie eine Rolle, die Macie übernehmen kann. Wählen Sie für diese Informationen den Abschnitt Eigenständiges Macie-Konto aus.

Bevor Sie eine der IAM Rollen erstellen und konfigurieren, sollten Sie mit Ihrem Macie-Administrator die passende Konfiguration für Ihr Konto festlegen.

Ausführliche Informationen IAM zur Erstellung der Rolle finden Sie unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien im AWS Identity and Access Management Benutzerhandbuch.

Wenn Sie der delegierte Macie-Administrator für eine Organisation sind, verwenden Sie zunächst den IAM Richtlinien-Editor, um die Berechtigungsrichtlinie für die Rolle zu erstellen. IAM Die Richtlinie sollte wie folgt lauten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}

Wo IAMRoleName ist der Name der IAM Rolle, die Macie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten für die Konten Ihrer Organisation übernehmen soll. Ersetzen Sie diesen Wert durch den Namen der Rolle, die Sie für Ihr Konto erstellen und die Erstellung für entsprechende Mitgliedskonten in Ihrer Organisation planen. Dieser Name muss für Ihr Macie-Administratorkonto und jedes entsprechende Mitgliedskonto identisch sein.

Anmerkung

In der vorherigen Berechtigungsrichtlinie verwendet das Resource Element in der ersten Anweisung ein Platzhalterzeichen (*). Auf diese Weise kann eine angehängte IAM Entität Objekte aus allen S3-Buckets abrufen, die Ihrem Unternehmen gehören. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise nur den Zugriff auf Objekte in einem Bucket mit dem Namen zu ermöglichen amzn-s3-demo-bucket1, ändern Sie das Element wie folgt:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"

Sie können den Zugriff auf Objekte in bestimmten S3-Buckets auch für einzelne Konten einschränken. Geben Sie dazu ARNs im Resource Element der Berechtigungsrichtlinie für die IAM Rolle in jedem entsprechenden Konto einen Bucket an. Weitere Informationen und Beispiele finden Sie unter IAMJSONRichtlinienelemente: Ressource im AWS Identity and Access Management Benutzerhandbuch.

Nachdem Sie die Berechtigungsrichtlinie für die IAM Rolle erstellt haben, erstellen und konfigurieren Sie die Rolle. Wenn Sie dazu die IAM Konsole verwenden, wählen Sie Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen Entitätstyp für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Wo accountID ist die Konto-ID für Ihren AWS-Konto. Ersetzen Sie diesen Wert durch Ihre 12-stellige Konto-ID.

In der vorherigen Vertrauensrichtlinie:

  • Das Principal Element gibt den Dienstprinzipal an, den Macie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten verwendet,. reveal-samples.macie.amazonaws.com

  • Das Action Element gibt die Aktion an, die der Dienstprinzipal ausführen darf, die AssumeRoleOperation der AWS Security Token Service ()AWS STS. API

  • Das Condition Element definiert eine Bedingung, die den Kontextschlüssel aws: SourceAccount global condition verwendet. Diese Bedingung bestimmt, welches Konto die angegebene Aktion ausführen kann. In diesem Fall kann Macie die Rolle nur für das angegebene Konto übernehmen (accountID). Die Bedingung verhindert, dass Macie bei Geschäften mit AWS STS Macie als verwirrter Stellvertreter eingesetzt wird.

Nachdem Sie die Vertrauensrichtlinie für die IAM Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte ausIAM, um die Erstellung und Konfiguration der Rolle abzuschließen. Wenn Sie fertig sind, konfigurieren und aktivieren Sie die Einstellungen in Macie.

Wenn Sie ein Macie-Mitgliedskonto haben und Ihrem Macie-Administrator ermöglichen möchten, sensible Datenproben von betroffenen S3-Objekten für Ihr Konto abzurufen und offenzulegen, fragen Sie zunächst Ihren Macie-Administrator nach den folgenden Informationen:

  • Der Name der zu erstellenden IAM Rolle. Der Name muss für Ihr Konto und das Macie-Administratorkonto für Ihre Organisation identisch sein.

  • Der Name der IAM Berechtigungsrichtlinie, die der Rolle zugewiesen werden soll.

  • Die externe ID, die in der Vertrauensrichtlinie für die Rolle angegeben werden soll. Diese ID muss die externe ID sein, die Macie für die Konfiguration Ihres Macie-Administrators generiert hat.

Nachdem Sie diese Informationen erhalten haben, verwenden Sie den IAM Richtlinien-Editor, um die Berechtigungsrichtlinie für die Rolle zu erstellen. Die Richtlinie sollte wie folgt lauten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Die oben genannte Berechtigungsrichtlinie ermöglicht es einer angehängten IAM Entität, Objekte aus allen S3-Buckets für Ihr Konto abzurufen. Das liegt daran, dass das Resource Element in der Richtlinie ein Platzhalterzeichen (*) verwendet. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise nur den Zugriff auf Objekte in einem Bucket mit dem Namen zu ermöglichen amzn-s3-demo-bucket2, ändern Sie das Element wie folgt:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"

Weitere Informationen und Beispiele finden Sie unter IAMJSONRichtlinienelemente: Ressource im AWS Identity and Access Management Benutzerhandbuch.

Nachdem Sie die Berechtigungsrichtlinie für die IAM Rolle erstellt haben, erstellen Sie die Rolle. Wenn Sie die Rolle mithilfe der IAM Konsole erstellen, wählen Sie Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen Entitätstyp für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::administratorAccountID:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}

Ersetzen Sie in der vorherigen Richtlinie die Platzhalterwerte durch die richtigen Werte für Ihre AWS Umgebung, wobei:

  • administratorAccountID ist die 12-stellige Konto-ID für das Macie-Administratorkonto.

  • IAMRoleName ist der Name der IAM Rolle in Ihrem Macie-Administratorkonto. Es sollte der Name sein, den Sie von Ihrem Macie-Administrator erhalten haben.

  • externalID ist die externe ID, die Sie von Ihrem Macie-Administrator erhalten haben.

Im Allgemeinen ermöglicht die Vertrauensrichtlinie Ihrem Macie-Administrator, die Rolle des Abrufs und der Offenlegung sensibler Datenproben von betroffenen S3-Objekten für Ihr Konto zu übernehmen. Das Principal Element gibt die IAM Rolle ARN einer Rolle im Konto Ihres Macie-Administrators an. Dies ist die Rolle, die Ihr Macie-Administrator verwendet, um sensible Datenproben für die Konten Ihrer Organisation abzurufen und offenzulegen. Der Condition Block definiert zwei Bedingungen, die weiter bestimmen, wer die Rolle übernehmen kann:

  • Die erste Bedingung gibt eine externe ID an, die für die Konfiguration Ihrer Organisation eindeutig ist. Weitere Informationen zu externen IDs Ressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter So verwenden Sie eine externe ID, wenn Sie Dritten Zugriff auf Ihre AWS Ressourcen gewähren.

  • Die zweite Bedingung verwendet den globalen Bedingungskontextschlüssel aws: PrincipalOrg ID. Der Wert für den Schlüssel ist eine dynamische Variable, die den eindeutigen Bezeichner für eine Organisation in AWS Organizations (${aws:ResourceOrgID}) darstellt. Die Bedingung beschränkt den Zugriff nur auf die Konten, die Teil derselben Organisation in AWS Organizations sind. Wenn Sie Ihrer Organisation beigetreten sind, indem Sie eine Einladung in Macie angenommen haben, entfernen Sie diese Bedingung aus der Richtlinie.

Nachdem Sie die Vertrauensrichtlinie für die IAM Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte ausIAM, um die Erstellung und Konfiguration der Rolle abzuschließen. Konfigurieren und geben Sie keine Einstellungen für die Rolle in Macie ein.

Wenn Sie ein eigenständiges Macie-Konto oder ein Macie-Mitgliedskonto haben und sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abrufen und offenlegen möchten, verwenden Sie zunächst den IAM Richtlinien-Editor, um die Berechtigungsrichtlinie für die Rolle zu erstellen. IAM Die Richtlinie sollte wie folgt lauten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

In der vorherigen Berechtigungsrichtlinie verwendet das Resource Element ein Platzhalterzeichen (*). Dadurch kann eine angehängte IAM Entität Objekte aus allen S3-Buckets für Ihr Konto abrufen. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise nur den Zugriff auf Objekte in einem Bucket mit dem Namen zu ermöglichen amzn-s3-demo-bucket3, ändern Sie das Element wie folgt:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"

Weitere Informationen und Beispiele finden Sie unter IAMJSONRichtlinienelemente: Ressource im AWS Identity and Access Management Benutzerhandbuch.

Nachdem Sie die Berechtigungsrichtlinie für die IAM Rolle erstellt haben, erstellen Sie die Rolle. Wenn Sie die Rolle mithilfe der IAM Konsole erstellen, wählen Sie Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen Entitätstyp für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Wo accountID ist die Konto-ID für Ihren AWS-Konto. Ersetzen Sie diesen Wert durch Ihre 12-stellige Konto-ID.

In der vorherigen Vertrauensrichtlinie:

  • Das Principal Element gibt den Dienstprinzipal an, den Macie beim Abrufen und Aufdecken sensibler Datenproben von betroffenen S3-Objekten verwendet,. reveal-samples.macie.amazonaws.com

  • Das Action Element gibt die Aktion an, die der Dienstprinzipal ausführen darf, nämlich die AssumeRoleOperation der AWS Security Token Service ()AWS STS. API

  • Das Condition Element definiert eine Bedingung, die den Kontextschlüssel aws: SourceAccount global condition verwendet. Diese Bedingung bestimmt, welches Konto die angegebene Aktion ausführen kann. Dadurch kann Macie die Rolle nur für das angegebene Konto übernehmen (accountID). Die Bedingung verhindert, dass Macie bei Geschäften mit AWS STS Macie als verwirrter Stellvertreter eingesetzt wird.

Nachdem Sie die Vertrauensrichtlinie für die IAM Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte ausIAM, um die Erstellung und Konfiguration der Rolle abzuschließen. Wenn Sie fertig sind, konfigurieren und aktivieren Sie die Einstellungen in Macie.

Betroffene S3-Objekte werden entschlüsselt

Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Für die meisten dieser Optionen sind keine zusätzlichen Ressourcen oder Berechtigungen erforderlich, damit ein IAM Benutzer oder eine Rolle sensible Datenproben von einem betroffenen Objekt entschlüsseln und abrufen kann. Dies ist der Fall bei einem Objekt, das mithilfe einer serverseitigen Verschlüsselung mit einem von Amazon S3 verwalteten Schlüssel oder einem AWS AWS KMS key verwalteten Schlüssel verschlüsselt wurde.

Wenn ein S3-Objekt jedoch verschlüsselt und von einem Kunden verwaltet wird AWS KMS key, sind zusätzliche Berechtigungen erforderlich, um sensible Datenproben aus dem Objekt zu entschlüsseln und abzurufen. Genauer gesagt muss die Schlüsselrichtlinie für den KMS Schlüssel es dem IAM Benutzer oder der Rolle ermöglichen, die kms:Decrypt Aktion auszuführen. Andernfalls tritt ein Fehler auf und Amazon Macie ruft keine Proben aus dem Objekt ab. Informationen darüber, wie Sie einem IAM Benutzer diesen Zugriff gewähren, finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Wie dieser Zugriff für eine IAM Rolle gewährt wird, hängt davon ab, ob das Konto, dem die Rolle gehört, AWS KMS key auch Eigentümer der Rolle ist:

  • Wenn der KMS Schlüssel und die Rolle demselben Konto gehören, muss ein Benutzer des Kontos die Richtlinie für den Schlüssel aktualisieren.

  • Wenn ein Konto der KMS Schlüssel und ein anderes Konto die Rolle besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontenübergreifenden Zugriff auf den Schlüssel gewähren.

In diesem Thema wird beschrieben, wie Sie diese Aufgaben für eine IAM Rolle ausführen, die Sie zum Abrufen sensibler Datenproben aus S3-Objekten erstellt haben. Es enthält auch Beispiele für beide Szenarien. Informationen zur Gewährung des Zugriffs für vom Kunden verwaltete Systeme AWS KMS keys für andere Szenarien finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Erlauben des Zugriffs auf einen vom Kunden verwalteten Schlüssel für dasselbe Konto

Wenn dasselbe Konto AWS KMS key sowohl die Rolle als auch die IAM Rolle besitzt, muss ein Benutzer des Kontos der Richtlinie für den Schlüssel eine Erklärung hinzufügen. Die zusätzliche Anweisung muss es der IAM Rolle ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln. Ausführliche Informationen zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

In der Erklärung:

  • Das Principal Element muss den Amazon-Ressourcennamen (ARN) der IAM Rolle angeben.

  • Das Action Array muss die kms:Decrypt Aktion spezifizieren. Dies ist die einzige AWS KMS Aktion, die die IAM Rolle ausführen darf, um ein mit dem Schlüssel verschlüsseltes Objekt zu entschlüsseln.

Im Folgenden finden Sie ein Beispiel für die Anweisung, die der Richtlinie für einen KMS Schlüssel hinzugefügt werden soll. 

{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Für das obige Beispiel gilt:

  • Das AWS Feld im Principal Element gibt ARN die IAM Rolle im Konto an. Es ermöglicht der Rolle, die in der Richtlinienerklärung angegebene Aktion auszuführen. 123456789012 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto, dem die Rolle und der KMS Schlüssel gehören. IAMRoleName ist ein Beispielname. Ersetzen Sie diesen Wert durch den Namen der IAM Rolle im Konto.

  • Das Action Array gibt die Aktion an, die die IAM Rolle mithilfe des Schlüssels ausführen darf, d. h. den KMS Chiffretext entschlüsseln, der mit dem Schlüssel verschlüsselt ist.

Wo Sie diese Anweisung zu einer wichtigen Richtlinie hinzufügen, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn Sie die Anweisung hinzufügen, stellen Sie sicher, dass die Syntax gültig ist. Wichtige Richtlinien verwenden JSON das Format. Das bedeutet, dass Sie vor oder nach der Anweisung auch ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen.

Ermöglicht den kontoübergreifenden Zugriff auf einen vom Kunden verwalteten Schlüssel

Besitzt ein Konto den AWS KMS key (Schlüsselinhaber) und ein anderes Konto die IAM Rolle (Rolleninhaber), muss der Schlüsselinhaber dem Rolleninhaber kontoübergreifenden Zugriff auf den Schlüssel gewähren. Eine Möglichkeit, dies zu tun, ist die Verwendung eines Zuschusses. Ein Zuschuss ist ein politisches Instrument, das es AWS Prinzipalen ermöglicht, KMS Schlüssel für kryptografische Operationen zu verwenden, sofern die im Zuschuss festgelegten Bedingungen erfüllt sind. Weitere Informationen zu Zuschüssen finden Sie unter Zuschüsse AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Bei diesem Ansatz stellt der Schlüsselinhaber zunächst sicher, dass die Richtlinie des Schlüssels es dem Rolleninhaber ermöglicht, einen Zuschuss für den Schlüssel zu erstellen. Der Rolleninhaber erstellt dann einen Zuschuss für den Schlüssel. Durch die Gewährung werden die entsprechenden Berechtigungen an die IAM Rolle in ihrem Konto delegiert. Sie ermöglicht der Rolle, S3-Objekte zu entschlüsseln, die mit dem Schlüssel verschlüsselt wurden.

Schritt 1: Aktualisieren Sie die Schlüsselrichtlinie

In der Schlüsselrichtlinie sollte der Schlüsselinhaber sicherstellen, dass die Richtlinie eine Erklärung enthält, die es dem Rolleninhaber ermöglicht, einen Zuschuss für die IAM Rolle in seinem Konto (dem des Rolleninhabers) zu erstellen. In dieser Erklärung muss das Principal Element das Konto ARN des Rolleninhabers angeben. Das Action Array muss die kms:CreateGrant Aktion spezifizieren. Ein Condition Block kann den Zugriff auf die angegebene Aktion filtern. Im Folgenden finden Sie ein Beispiel für diese Anweisung in der Richtlinie für einen KMS Schlüssel.

{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}

Für das obige Beispiel gilt:

  • Das AWS Feld im Principal Element gibt das Konto ARN des Rollenbesitzers an. Es ermöglicht dem Konto, die in der Richtlinienerklärung angegebene Aktion auszuführen. 111122223333 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Rollenbesitzers.

  • Das Action Array gibt die Aktion an, die der Rolleninhaber mit dem KMS Schlüssel ausführen darf — eine Zuweisung für den Schlüssel erstellen.

  • Der Condition Block verwendet Bedingungsoperatoren und die folgenden Bedingungsschlüssel, um den Zugriff auf die Aktion zu filtern, die der Rolleninhaber mit dem KMS Schlüssel ausführen darf:

    • kms: GranteePrincipal — Diese Bedingung ermöglicht es dem Rolleninhaber, einen Grant nur für den angegebenen Principal ARN des Empfängers zu erstellen, d. h. für die IAM Rolle in seinem Konto. Darin ARN 111122223333 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Rollenbesitzers. IAMRoleName ist ein Beispielname. Ersetzen Sie diesen Wert durch den Namen der IAM Rolle im Konto des Rollenbesitzers.

    • kms: GrantOperations — Diese Bedingung ermöglicht es dem Rolleninhaber, eine Genehmigung nur zu erstellen, um die Erlaubnis zur Ausführung der AWS KMS Decrypt Aktion zu delegieren (Entschlüsselung des mit dem Schlüssel verschlüsselten Chiffretextes). Dadurch wird verhindert, dass der Rolleninhaber Genehmigungen erstellt, mit denen Berechtigungen zur Ausführung anderer Aktionen mit dem Schlüssel delegiert werden. KMS Diese Decrypt Aktion ist die einzige AWS KMS Aktion, die die IAM Rolle ausführen darf, um ein Objekt zu entschlüsseln, das mit dem Schlüssel verschlüsselt wurde.

Wo der Schlüsselinhaber diese Erklärung zur Schlüsselrichtlinie hinzufügt, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn der Schlüsselinhaber die Anweisung hinzufügt, sollte er sicherstellen, dass die Syntax gültig ist. Wichtige Richtlinien verwenden JSON das Format. Das bedeutet, dass der Schlüsselinhaber vor oder nach der Anweisung auch ein Komma hinzufügen muss, je nachdem, wo er die Anweisung zur Richtlinie hinzufügt. Ausführliche Informationen zur Aktualisierung einer wichtigen Richtlinie finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

Schritt 2: Erstellen Sie einen Zuschuss

Nachdem der Schlüsselinhaber die Schlüsselrichtlinie nach Bedarf aktualisiert hat, erstellt der Rolleninhaber einen Grant für den Schlüssel. Durch die Erteilung werden die entsprechenden Berechtigungen an die IAM Rolle in ihrem Konto (dem des Rollenbesitzers) delegiert. Bevor der Rolleninhaber den Zuschuss erstellt, sollte er überprüfen, ob er die kms:CreateGrant Aktion ausführen darf. Diese Aktion ermöglicht es ihnen, einem bestehenden, vom Kunden verwalteten Betrag einen Zuschuss hinzuzufügen AWS KMS key.

Um den Zuschuss zu erstellen, kann der Rolleninhaber den CreateGrantVorgang von verwenden AWS Key Management Service API. Wenn der Rolleninhaber den Grant erstellt, sollte er die folgenden Werte für die erforderlichen Parameter angeben:

  • KeyId— Der ARN des KMS Schlüssels. Für den kontenübergreifenden Zugriff auf einen KMS Schlüssel muss dieser Wert ein ARN sein. Es kann keine Schlüssel-ID sein.

  • GranteePrincipal— Die ARN IAM Rolle in ihrem Konto. Dieser Wert sollte seinarn:aws:iam::111122223333:role/IAMRoleName, wo 111122223333 ist die Konto-ID für das Konto des Rollenbesitzers und IAMRoleName ist der Name der Rolle.

  • Operations— Die AWS KMS Entschlüsselungsaktion (Decrypt). Dies ist die einzige AWS KMS Aktion, die die IAM Rolle ausführen darf, um ein mit dem Schlüssel verschlüsseltes Objekt zu entschlüsseln. KMS

Wenn der Rollenbesitzer AWS Command Line Interface (AWS CLI) verwendet, kann er den Befehl create-grant ausführen, um den Grant zu erstellen. Im folgenden Beispiel wird gezeigt, wie dies geschieht. Das Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"

Wobei gilt:

  • key-idgibt den KMS Schlüssel an, ARN für den der Zuschuss beantragt werden soll.

  • grantee-principalgibt die IAM Rolle ARN an, die die im Zuschuss angegebene Aktion ausführen darf. Dieser Wert sollte dem durch die kms:GranteePrincipal Bedingung in der Schlüsselrichtlinie ARN angegebenen Wert entsprechen.

  • operationsgibt die Aktion an, die der angegebene Prinzipal aufgrund des Grants ausführen kann — das Entschlüsseln von Chiffretext, der mit dem Schlüssel verschlüsselt ist.

Wird der Befehl erfolgreich ausgeführt, erhalten Sie eine Ausgabe ähnlich der folgenden:

{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Dabei GrantToken handelt es sich um eine eindeutige, nicht geheime, Base64-kodierte Zeichenfolge mit variabler Länge, die den Grant darstellt, der erstellt wurde, und der eindeutige Bezeichner für den Grant ist. GrantId