Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs auf Aliasse
Wenn Sie einen Alias erstellen oder ändern, wirken Sie sich auf den Alias und den zugehörigen KMS Schlüssel aus. Daher müssen Prinzipale, die Aliase verwalten, über die Berechtigung verfügen, den Alias-Vorgang für den Alias und für alle betroffenen KMS Schlüssel aufzurufen. Sie können diese Berechtigungen mithilfe wichtiger Richtlinien, IAMRichtlinien und Zuschüsse bereitstellen.
Anmerkung
Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung zum Verwalten von Tags und Aliasen erteilen. Wenn Sie eine Markierung oder einen Alias ändern, wird dadurch die Berechtigung für den kundenverwalteten Schlüssel erteilt oder verweigert. Details dazu finden Sie unter ABACfür AWS KMS und Verwenden Sie Aliase, um den Zugriff auf Schlüssel zu KMS steuern.
Informationen zur Steuerung des Zugriffs auf alle AWS KMS Vorgänge finden Sie unterBerechtigungsreferenz.
Berechtigungen zum Erstellen und Verwalten von Aliasen funktionieren wie folgt.
km: CreateAlias
Um einen Alias zu erstellen, benötigt der Principal die folgenden Berechtigungen sowohl für den Alias als auch für den zugehörigen KMS Schlüssel.
-
kms:CreateAlias
für den Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie an, die dem Prinzipal zugewiesen ist, der den Alias erstellen darf.Die folgende Beispiel-Richtlinienanweisung gibt einen bestimmten Alias in einem
Resource
-Element an. Sie können jedoch mehrere Alias auflisten ARNs oder ein Aliasmuster angeben, z. B. „test*“. Sie können auch einenResource
-Wert von"*"
angeben, um dem Prinzipal zu erlauben, einen Alias im Konto und der Region zu erstellen. Die Berechtigung zum Erstellen eines Aliasses kann auch in einerkms:Create*
-Berechtigung für alle Ressourcen in einem Konto und einer Region enthalten sein.{ "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
-
kms:CreateAlias
für den KMS Schlüssel. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer Richtlinie, die von der IAM Schlüsselrichtlinie delegiert wurde, bereitgestellt werden.{ "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:CreateAlias", "kms:DescribeKey" ], "Resource": "*" }
Sie können Bedingungsschlüssel verwenden, um die Anzahl der KMS Schlüssel einzuschränken, die Sie einem Alias zuordnen können. Sie können beispielsweise den KeySpec Bedingungsschlüssel kms: verwenden, um es dem Prinzipal zu ermöglichen, Aliase nur für asymmetrische KMS Schlüssel zu erstellen. Eine vollständige Liste der Bedingungsschlüssel, mit denen Sie die kms:CreateAlias
Zugriffsrechte auf KMS Schlüsselressourcen einschränken können, finden Sie unter. AWS KMS Berechtigungen
km: ListAliases
Um Aliase für das Konto und die Region auflisten zu können, muss der Hauptbenutzer in einer IAM Richtlinie über die kms:ListAliases
entsprechende Genehmigung verfügen. Da sich diese Richtlinie nicht auf einen bestimmten KMS Schlüssel oder eine Aliasressource bezieht, muss "*" der Wert des Ressourcenelements in der Richtlinie
Die folgende IAM Richtlinienerklärung erteilt dem Prinzipal beispielsweise die Erlaubnis, alle KMS Schlüssel und Aliase im Konto und in der Region aufzulisten.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }
km: UpdateAlias
Um den KMS Schlüssel zu ändern, der einem Alias zugeordnet ist, benötigt der Principal drei Berechtigungselemente: eines für den Alias, eines für den aktuellen KMS Schlüssel und eines für den neuen KMS Schlüssel.
Angenommen, Sie möchten den test-key
Alias vom KMS Schlüssel mit der Schlüssel-ID 1234abcd-12ab-34cd-56ef-1234567890ab in den KMS Schlüssel mit der Schlüssel-ID 0987dcba-09fe-87dc-65ba-ab0987654321 ändern. Fügen Sie in diesem Fall ähnliche Richtlinienanweisungen wie in den Beispielen in diesem Abschnitt ein.
-
kms:UpdateAlias
für den Alias. Sie IAM erteilen diese Berechtigung in einer Richtlinie, die dem Prinzipal zugeordnet ist. Die folgende IAM Richtlinie spezifiziert einen bestimmten Alias. Sie können jedoch mehrere Alias auflisten ARNs oder ein Aliasmuster angeben, z."test*"
B. Sie können auch einenResource
-Wert von"*"
angeben, um dem Prinzipal zu erlauben, einen Alias im Konto und der Region zu aktualisieren.{ "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:UpdateAlias", "kms:ListAliases", "kms:ListKeys" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
-
kms:UpdateAlias
für den KMS Schlüssel, der derzeit mit dem Alias verknüpft ist. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer Richtlinie, die von der IAM Schlüsselrichtlinie delegiert wurde, bereitgestellt werden.{ "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }
-
kms:UpdateAlias
für den KMS Schlüssel, den die Operation dem Alias zuordnet. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer Richtlinie, die von der IAM Schlüsselrichtlinie delegiert wurde, bereitgestellt werden.{ "Sid": "Key policy for 0987dcba-09fe-87dc-65ba-ab0987654321", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }
Sie können Bedingungsschlüssel verwenden, um einen oder beide KMS Schlüssel in einem UpdateAlias
Vorgang einzuschränken. Sie können beispielsweise den ResourceAliases Bedingungsschlüssel kms: verwenden, damit der Prinzipal Aliase nur dann aktualisieren kann, wenn der KMS Zielschlüssel bereits einen bestimmten Alias hat. Eine vollständige Liste der Bedingungsschlüssel, mit denen Sie die kms:UpdateAlias
Berechtigungen für eine KMS Schlüsselressource einschränken können, finden Sie unterAWS KMS Berechtigungen.
km: DeleteAlias
Um einen Alias zu löschen, benötigt der Principal Berechtigungen für den Alias und den zugehörigen KMS Schlüssel.
Wie immer sollten Sie Vorsicht walten lassen, wenn Sie Prinzipalen die Berechtigung zum Löschen einer Ressource erteilen. Das Löschen eines Alias hat jedoch keine Auswirkung auf den zugehörigen KMS Schlüssel. Es kann zwar zu einem Fehler in einer Anwendung führen, die auf dem Alias beruht, aber wenn Sie versehentlich einen Alias löschen, können Sie ihn neu erstellen.
-
kms:DeleteAlias
für den Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie an, die dem Prinzipal zugewiesen ist, der den Alias löschen darf.Die folgende Beispiel-Richtlinienanweisung gibt einen bestimmten Alias in einem
Resource
-Element an. Sie können jedoch mehrere Alias auflisten ARNs oder ein Aliasmuster angeben, z. B. Sie können auch denResource
Wert von angeben"test*"
,"*"
damit der Prinzipal alle Alias im Konto und in der Region löschen kann.{ "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
-
kms:DeleteAlias
für den zugehörigen KMS Schlüssel. Diese Berechtigung muss in einer Schlüsselrichtlinie oder in einer Richtlinie, die von der IAM Schlüsselrichtlinie delegiert wurde, bereitgestellt werden.{ "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/KMSAdminUser" }, "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias", "kms:DescribeKey" ], "Resource": "*" }
Begrenzen von Alias-Berechtigungen
Sie können Bedingungsschlüssel verwenden, um Aliasberechtigungen einzuschränken, wenn es sich bei der Ressource um einen KMS Schlüssel handelt. Die folgende IAM Richtlinie erlaubt beispielsweise Alias-Operationen für KMS Schlüssel in einem bestimmten Konto und einer bestimmten Region. Sie verwendet jedoch den KeyOrigin Bedingungsschlüssel kms:, um die Berechtigungen weiter auf KMS Schlüssel mit Schlüsselmaterial von zu beschränken AWS KMS.
Eine vollständige Liste der Bedingungsschlüssel, mit denen Sie Aliasberechtigungen für eine KMS Schlüsselressource einschränken können, finden Sie unterAWS KMS Berechtigungen.
{ "Sid": "IAMPolicyKeyPermissions", "Effect": "Allow", "Resource": "arn:aws:kms:us-west-2:111122223333:key/*", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Condition": { "StringEquals": { "kms:KeyOrigin": "AWS_KMS" } } }
Sie können keine Bedingungsschlüssel in einer Richtlinienanweisung verwenden, bei der die Ressource ein Alias ist. Um die Aliase einzuschränken, die ein Principal verwalten kann, verwenden Sie den Wert des Resource
Elements der IAM Richtlinienanweisung, das den Zugriff auf den Alias steuert. Die folgenden Richtlinienanweisungen ermöglichen es dem Prinzipal beispielsweise, jeden Alias in der Region AWS-Konto und zu erstellen, zu aktualisieren oder zu löschen, sofern der Alias nicht mit Restricted
beginnt.
{ "Sid": "IAMPolicyForAnAliasAllow", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/*" }, { "Sid": "IAMPolicyForAnAliasDeny", "Effect": "Deny", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/Restricted*" }