Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS-verwaltete Richtlinie für Hauptbenutzer
Sie können eine von AWSKeyManagementServicePowerUser verwaltete Richtlinie verwenden, um IAM-Prinzipalen in Ihrem Konto die Berechtigungen eines Hauptbenutzers zu gewähren. Hauptbenutzer können KMS-Schlüssel erstellen, die von ihnen erstellten KMS-Schlüssel verwenden und verwalten sowie alle KMS-Schlüssel und IAM-Identitäten anzeigen. Benutzer mit der von AWSKeyManagementServicePowerUser verwalteten Richtlinie können auch Berechtigungen aus anderen Quellen erhalten, darunter Schlüsselrichtlinien, andere IAM-Richtlinien und Erteilungen.
AWSKeyManagementServicePowerUser ist eine AWS-verwaltete IAM-Richtlinie. Weitere Informationen zu verwalteten AWS-Richtlinien finden Sie unter Verwaltete AWS-Richtlinien im IAM-Benutzerhandbuch.
Anmerkung
Berechtigungen in dieser Richtlinie, die für einen KMS-Schlüssel spezifisch sind, wie z. B. kms:TagResource und kms:GetKeyRotationStatus, sind nur dann wirksam, wenn die Schlüsselrichtlinie für diesen KMS-Schlüssel dem AWS-Konto ausdrücklich erlaubt, IAM-Richtlinie zur Steuerung des Zugriffs auf den Schlüssel zu verwenden. Um festzustellen, ob sich eine Berechtigung auf einen KMS-Schlüssel bezieht, siehe AWS KMS -Berechtigungen und suchen Sie in der Spalte Ressourcen nach dem Wert KMS-Schlüssel.
Mit dieser Richtlinie erhält ein Hauptbenutzer Berechtigungen für jeden KMS-Schlüssel mit einer Schlüsselrichtlinie, die den Vorgang zulässt. Für kontoübergreifende Berechtigungen wie kms:DescribeKey und kms:ListGrants kann dies KMS-Schlüssel in nicht vertrauenswürdigen AWS-Konten einschließen. Details dazu finden Sie unter Bewährte Methoden für IAM-Richtlinien und Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben. Um festzustellen, ob eine Berechtigung für KMS-Schlüssel in anderen Konten gültig ist, siehe AWS KMS -Berechtigungen und suchen Sie in der Spalte Kontoübergreifende Verwendung nach dem Wert Ja.
Damit Prinzipale die AWS KMSKonsole fehlerfrei anzeigen können, benötigt der Prinzipal die Berechtigung tag:GetResources , die nicht in der AWSKeyManagementServicePowerUser Richtlinie enthalten ist. Sie können diese Berechtigung in einer separaten IAM-Richtlinie erlauben.
Die von AWSKeyManagementServicePower
-
Erlaubt es Prinzipalen, KMS-Schlüssel zu erstellen. Da dieser Prozess das Festlegen der Schlüsselrichtlinie beinhaltet, können Hauptbenutzer sich selbst und anderen die Berechtigung zur Verwendung und Verwaltung der von ihnen erstellten KMS-Schlüssel erteilen.
-
Erlaubt es Benutzern, Aliase und Tags auf allen KMS-Schlüsseln zu erstellen und zu löschen. Wenn Sie ein Tag oder einen Alias ändern, wird die Berechtigung zur Verwendung und Verwaltung des KMS-Schlüssels erteilt oder verweigert. Details hierzu finden Sie unter ABAC für AWS KMS.
-
Erlaubt es Benutzern, detaillierte Informationen zu allen KMS-Schlüsseln zu erhalten, einschließlich ihres Schlüssel-ARN, der kryptografischen Konfiguration, der Schlüsselrichtlinie, Aliase, Tags und Drehungsstatus.
-
Erlaubt es Benutzern, IAM-Benutzer, -Gruppen und -Rollen aufzulisten.
-
Diese Richtlinie erlaubt es Prinzipalen nicht, KMS-Schlüssel zu verwenden oder zu verwalten, die sie nicht erstellt haben. Sie können jedoch Aliase und Tags auf allen KMS-Schlüsseln ändern, was ihnen die Berechtigung zur Verwendung oder Verwaltung eines KMS-Schlüssels erlauben oder verweigern kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
