Übersicht Konfigurieren von Schlüsselrichtlinien Beispiel 1: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel erlauben Beispiel 2: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel über mehrere Konten erlauben Bearbeiten von Schlüsselrichtlinien in der AWS KMS -Konsole

Erforderliche AWS KMS Schlüsselrichtlinie für die Verwendung mit verschlüsselten Volumes

Amazon EC2 Auto Scaling verwendet serviceverknüpfte Rollen, um Berechtigungen an andere zu delegieren AWS-Services. Serviceverknüpfte Amazon EC2 Auto Scaling-Rollen sind vordefiniert und schließen Berechtigungen ein, die Amazon EC2 Auto Scaling zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert. Zu den vordefinierten Berechtigungen gehört auch der Zugriff auf Ihr Von AWS verwaltete Schlüssel. Sie enthalten jedoch keinen Zugriff auf Ihre kundenverwalteten Schlüssel, sodass Sie die volle Kontrolle über diese Schlüssel behalten können.

In diesem Thema wird beschrieben, wie Sie die Schlüsselrichtlinie einrichten, die Sie zum Starten von Auto Scaling-Instances benötigen, wenn Sie einen kundenverwalteten Schlüssel für die Amazon EBS-Verschlüsselung angeben.

Anmerkung

Amazon EC2 Auto Scaling benötigt keine zusätzliche Autorisierung für die Verwendung des standardmäßigen Von AWS verwalteter Schlüssel zum Schützen der verschlüsselten Volumes in Ihrem Konto.

Inhalt

Übersicht

Folgendes AWS KMS keys kann für die Amazon-EBS-Verschlüsselung verwendet werden, wenn Amazon EC2 Auto Scaling Instances startet:

Von AWS verwalteter Schlüssel – Ein Verschlüsselungsschlüssel in Ihrem Konto, den Amazon EBS erstellt, besitzt und verwaltet. Dies ist der Standardverschlüsselungsschlüssel für ein neues Konto. Der Von AWS verwalteter Schlüssel wird für die Verschlüsselung verwendet, es sei denn, Sie geben einen vom Kunden verwalteten Schlüssel an.
Kundenverwalteter Schlüssel – Ein benutzerdefinierter Verschlüsselungsschlüssel, den Sie erstellen, besitzen und verwalten. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.

Hinweis: Der Schlüssel muss symmetrisch sein. Amazon EBS unterstützt keine asymmetrischen vom Kunden verwalteten Schlüssel.

Sie konfigurieren kundenverwaltete Schlüssel, wenn Sie verschlüsselte Snapshots oder eine Startvorlage, die verschlüsselte Volumes angibt, erstellen oder wenn Sie die Verschlüsselung standardmäßig aktivieren.

Konfigurieren von Schlüsselrichtlinien

Ihre KMS-Schlüssel müssen über eine Schlüsselrichtlinie verfügen, mit der Amazon EC2 Auto Scaling-Instances mit Amazon EBS-Volumes starten kann, die mit einem kundenverwalteten Schlüssel verschlüsselt sind.

Nutzen Sie die Beispiele auf dieser Seite zum Konfigurieren einer Schlüsselrichtlinie, um Amazon EC2 Auto Scaling Zugriff auf Ihren kundenverwalteten Schlüssel zu erteilen. Sie können die Schlüsselrichtlinie des kundenverwalteten Schlüssels entweder bei Erstellung des Schlüssels oder zu einem späteren Zeitpunkt ändern.

Sie müssen Ihrer Schlüsselrichtlinie mindestens zwei Richtlinienanweisungen hinzufügen, damit er mit Amazon EC2 Auto Scaling verwendet werden kann.

Die erste Anweisung ermöglicht, dass die im Principal-Element angegebene IAM-Identität den kundenverwalteten Schlüssel direkt verwendet. Sie enthält Berechtigungen zum Ausführen der AWS KMS Encrypt-, -Decrypt, ReEncrypt*-GenerateDataKey*, - und -DescribeKeyOperationen für den Schlüssel.
Die zweite Anweisung ermöglicht es der im -PrincipalElement angegebenen IAM-Identität, die -CreateGrantOperation zum Generieren von Erteilungen zu verwenden, die eine Teilmenge ihrer eigenen Berechtigungen an delegieren AWS-Services , die in AWS KMS oder einen anderen Prinzipal integriert sind. Auf diese Weise können sie den Schlüssel verwenden, um in Ihrem Namen verschlüsselte Ressourcen zu erstellen.

Ändern Sie beim Hinzufügen der neuen Richtlinienanweisungen zur Schlüsselrichtlinie keinen der vorhandenen Anweisungen in der Richtlinie.

Für jedes der folgenden Beispiele werden Argumente, die ersetzt werden müssen, z. B. eine Schlüssel-ID oder der Name einer serviceverknüpften Rolle, als Benutzerplatzhaltertext angezeigt. In den meisten Fällen können Sie den Namen der serviceverknüpften Rolle durch den Namen einer serviceverknüpften Amazon EC2 Auto Scaling-Rolle ersetzen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Informationen zum Erstellen eines Schlüssels mit der AWS CLI finden Sie unter create-key .
Informationen zum Aktualisieren einer Schlüsselrichtlinie mit der AWS CLI finden Sie unter put-key-policy.
Informationen zum Ermitteln einer Schlüssel-ID und des Amazon-Ressourcennamens (ARN) finden Sie unter Die Schlüssel-ID und den ARN finden und im AWS Key Management Service -Benutzerhandbuch.
Weitere Informationen zu Amazon EC2 Auto Scaling-Rollen finden Sie unter Serviceverknüpfte Rollen für Amazon EC2 Auto Scaling.
Informationen zur Amazon-EBS-Verschlüsselung und KMS im Allgemeinen finden Sie unter Amazon-EBS-Verschlüsselung im Amazon-EBS-Benutzerhandbuch und im AWS Key Management Service -Entwicklerhandbuch.

Beispiel 1: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel erlauben

Fügen Sie der Schlüsselrichtlinie des kundenverwalteten Schlüssel die folgenden beiden Richtlinienanweisungen hinzu und ersetzen Sie dabei den Beispiel ARN durch den ARN der entsprechenden serviceverknüpften Rolle, der Zugriff auf den Schlüssel gewährt wird. In diesem Beispiel gewähren Richtlinienabschnitte der serviceverknüpften Rolle mit dem Namen AWSServiceRoleForAutoScaling Berechtigungen zur Verwendung des kundenverwalteten Schlüssel.


{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}


{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}

Beispiel 2: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel über mehrere Konten erlauben

Wenn Sie einen vom Kunden verwalteten Schlüssel in einem anderen Konto als der Auto-Scaling-Gruppe erstellen, müssen Sie eine Berechtigung in Kombination mit der Schlüsselrichtlinie verwenden, um den kontoübergreifenden Zugriff auf den Schlüssel zu ermöglichen.

Es gibt zwei Schritte, die in der folgenden Reihenfolge ausgeführt werden müssen:

Fügen Sie zunächst die folgenden beiden Richtlinienerklärungen zur Schlüsselrichtlinie des vom Kunden verwalteten Schlüssels hinzu. Ersetzen Sie den Beispiel-ARN durch den ARN des anderen Kontos, wobei Sie 111122223333 durch die tatsächliche Konto-ID des ersetzen müssen AWS-Konto , in dem Sie die Auto Scaling-Gruppe erstellen möchten. Damit können Sie einem IAM-Benutzer oder einer IAM-Rolle im angegebenen Konto die Berechtigung erteilen, mit dem folgenden CLI-Befehl eine Berechtigung für den Schlüssel zu erstellen. Dies gewährt jedoch keinen Benutzern Zugriff auf den Schlüssel.


{
   "Sid": "Allow external account 111122223333 use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::111122223333:root"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}


{
   "Sid": "Allow attachment of persistent resources in external account 111122223333",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::111122223333:root"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*"
}

Erstellen Sie dann von dem Konto aus, in dem Sie die Auto-Scaling-Gruppe erstellen möchten, eine Berechtigung, welche die relevanten Berechtigungen an die entsprechende serviceverknüpfte Rolle delegiert. Das Grantee Principal-Element der Berechtigung ist der ARN der dazugehörigen serviceverknüpften Rolle. key-id ist der ARN des Schlüssels.

Im Folgenden finden Sie ein Beispiel für den CLI-Befehl create-a-grant, welcher der serviceverknüpften Rolle namens AWSServiceRoleForAutoScaling im Konto 111122223333 Berechtigungen zur Verwendung des kundenverwalteten Schlüssels im Konto 444455556666 erteilt.
```
aws kms create-grant \
  --region us-west-2 \
  --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
  --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling \
  --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
```
Damit dieser Befehl erfolgreich ist, muss der Benutzer, der die Anforderung stellt, über Berechtigungen für die CreateGrant-Aktion verfügen.

Die folgende IAM-Beispielrichtlinie ermöglicht es einer IAM-Identität (Benutzer oder Rolle) im Konto 111122223333, eine Berechtigung für den vom Kunden verwalteten Schlüssel im Konto 444455556666 zu erstellen.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    }
  ]
}
```
Weitere Informationen über die Erstellung eines Zuschusses für einen KMS-Schlüssel in einem anderen AWS-Konto, finden Sie unter Berechtigungserteilungen in AWS KMS im AWS Key Management Service -Entwicklerhandbuch.

Wichtig
Der Name der serviceverknüpften Rolle, der als Prinzipal des Empfängers angegeben wird, muss der Name einer vorhandenen Rolle sein. Um nach dem Erstellen der Erteilung sicherzustellen, dass die Erteilung Amazon EC2 Auto Scaling erlaubt, den angegebenen KMS-Schlüssel zu verwenden, löschen Sie die serviceverknüpfte Rolle nicht und erstellen Sie diese nicht neu.

Bearbeiten von Schlüsselrichtlinien in der AWS KMS -Konsole

Die Beispiele in den vorherigen Abschnitten zeigen nur, wie einer Schlüsselrichtlinie Anweisungen hinzugefügt werden, was nur eine Möglichkeit darstellt, eine Schlüsselrichtlinie zu ändern. Am einfachsten ändern Sie eine Schlüsselrichtlinie, indem Sie die Standardansicht der AWS KMS Konsole für Schlüsselrichtlinien verwenden und eine IAM-Identität (Benutzer oder Rolle) zu einem der Schlüsselbenutzer für die entsprechende Schlüsselrichtlinie machen. Weitere Informationen finden Sie unter Verwenden der AWS Management Console Standardansicht im AWS Key Management Service -Entwicklerhandbuch.

Wichtig

Gehen Sie vorsichtig vor. Die Standardansichtsrichtlinienanweisungen der Konsole enthalten Berechtigungen zum Ausführen AWS KMS Revoke von Vorgängen am vom Kunden verwalteten Schlüssel. Wenn Sie einem AWS-Konto Zugriff auf einen vom Kunden verwalteten Schlüssel in Ihrem Konto gewähren und versehentlich die Erteilung widerrufen, die ihm diese Berechtigung erteilt hat, können externe Benutzer nicht mehr auf ihre verschlüsselten Daten oder den Schlüssel zugreifen, der zur Verschlüsselung ihrer Daten verwendet wurde.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

Identitäts- und Zugriffsverwaltung