AWS globale Bedingungsschlüssel - AWS Key Management Service
Verwenden der IP-AdressbedingungVerwendung von VPC- und VPC-Endpunkt-Bedingungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS globale Bedingungsschlüssel

AWS definiert globale Bedingungsschlüssel, eine Reihe von Schlüsseln für Richtlinienbedingungen für alle AWS Dienste, die IAM für die Zugriffskontrolle verwenden. AWS KMS unterstützt alle globalen Bedingungsschlüssel. Sie können sie in AWS KMS wichtigen Richtlinien und IAM-Richtlinien verwenden.

Sie können beispielsweise den PrincipalArn globalen Bedingungsschlüssel aws: verwenden, um den Zugriff auf einen AWS KMS key (KMS-Schlüssel) nur dann zuzulassen, wenn der Principal in der Anfrage durch den Amazon-Ressourcennamen (ARN) im Bedingungsschlüsselwert repräsentiert wird. Um die attributebasierte Zugriffskontrolle (ABAC) in zu unterstützen AWS KMS, können Sie den globalen Bedingungsschlüssel aws:ResourceTag/tag-key in einer IAM-Richtlinie verwenden, um den Zugriff auf KMS-Schlüssel mit einem bestimmten Tag zu ermöglichen.

Um zu verhindern, dass ein AWS Dienst in einer Richtlinie, in der der Principal ein AWS Dienstprinzipal ist, als verwirrter Stellvertreter verwendet wird, können Sie die globalen Bedingungsschlüssel oder verwenden. aws:SourceArnaws:SourceAccount Details hierzu finden Sie unter Verwenden der Bedingungsschlüssel aws:SourceArn oder aws:SourceAccount.

Informationen zu AWS globalen Bedingungsschlüsseln, einschließlich der Anforderungstypen, in denen sie verfügbar sind, finden Sie unter AWS Globale Bedingungskontextschlüssel im IAM-Benutzerhandbuch. Beispiele für die Verwendung globaler Bedingungsschlüssel in IAM-Richtlinien finden Sie unter Steuern des Zugriffs auf Anforderungen und Steuern von Tag-Schlüsseln im IAM-Benutzerhandbuch.

Die folgenden Themen bieten spezielle Anleitungen für die Verwendung von Bedingungsschlüsseln basierend auf IP-Adressen und VPC-Endpunkten.

Verwenden der IP-Adressbedingung in Richtlinien mit AWS KMS -Berechtigungen

Sie können AWS KMS es verwenden, um Ihre Daten in einem integrierten AWS Service zu schützen. Seien Sie jedoch vorsichtig, wenn Sie die Operatoren für die aws:SourceIp IP-Adressbedingung oder den Bedingungsschlüssel in derselben Richtlinienerklärung angeben, die den Zugriff AWS KMS gewährt oder verweigert. Beispielsweise beschränkt die Richtlinie in AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP AWS Aktionen auf Anfragen aus dem angegebenen IP-Bereich.

Betrachten Sie folgendes Szenario:

  1. Sie fügen einer IAM-Identität eine Richtlinie wie die folgende hinzu AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP. Sie legen als Wert für den aws:SourceIp-Bedingungsschlüssel den IP-Adressbereich für das Unternehmen des Benutzers fest. Dieser IAM-Identität wurden andere Richtlinien angefügt, die es ihr erlauben, Amazon EBS, Amazon EC2 und AWS KMS zu verwenden.

  2. Die Identität versucht, ein verschlüsseltes EBS-Volume an eine EC2-Instance anzufügen. Diese Aktion schlägt aufgrund eines Autorisierungsfehlers fehl, obwohl der Benutzer zur Verwendung aller relevanten Services berechtigt ist.

Schritt 2 schlägt fehl, weil die Anfrage AWS KMS zur Entschlüsselung des verschlüsselten Datenschlüssels des Volumes von einer IP-Adresse stammt, die mit der Amazon EC2 EC2-Infrastruktur verknüpft ist. Dieser Schritt wird nur erfolgreich durchgeführt, wenn die Anforderung von der IP-Adresse des ursprünglichen Benutzers stammt. Da die Richtlinie in Schritt 1 explizit alle Anforderungen von anderen als den angegebenen IP-Adressen ablehnt, wird die Berechtigung für Amazon EC2 zum Entschlüsseln des verschlüsselten Datenschlüssels des EBS-Datenträgers abgelehnt.

Weiterhin ist der Bedingungsschlüssel aws:sourceIP nicht wirksam, wenn die Anforderung von einem Amazon-VPC-Endpunkt kommt. Um Anforderungen an einen VPC-Endpunkt, einschließlich eines AWS KMS -VPC-Endpunkts zu beschränken, verwenden Sie die aws:sourceVpce- oder aws:sourceVpc-Bedingungsschlüssel. Weitere Informationen finden Sie unter VPC-Endpunkte – Steuern der Nutzung von Endpunkten im Amazon VPC-Benutzerhandbuch.

Verwenden von VPC-Endpunkt-Bedingungen in Richtlinien mit AWS KMS -Berechtigungen

AWS KMS unterstützt Amazon Virtual Private Cloud (Amazon VPC) -Endpunkte, die von betrieben werden. AWS PrivateLink Sie können die folgenden globalen Bedingungsschlüssel in wichtigen Richtlinien und IAM-Richtlinien verwenden, um den Zugriff auf AWS KMS Ressourcen zu steuern, wenn die Anfrage von einer VPC kommt oder einen VPC-Endpunkt verwendet. Details hierzu finden Sie unter Verwenden eines VPC-Endpunkts in einer Richtlinienanweisung.

  • aws:SourceVpc beschränkt den Zugriff auf Anforderungen von der angegebenen VPC.

  • aws:SourceVpce beschränkt den Zugriff auf Anforderungen vom angegebenen VPC-Endpunkt.

Wenn Sie diese Bedingungsschlüssel verwenden, um den Zugriff auf KMS-Schlüssel zu steuern, verweigern Sie möglicherweise versehentlich den Zugriff auf AWS Dienste, die in Ihrem Namen verwendet werden. AWS KMS

Seien Sie sorgsam darum bemüht, eine Situation wie das IP-Adressen-Bedingungsschlüssel Beispiel zu vermeiden. Wenn Sie Anfragen für einen KMS-Schlüssel auf einen VPC- oder VPC-Endpunkt beschränken, schlagen Aufrufe AWS KMS von einem integrierten Service wie Amazon S3 oder Amazon EBS möglicherweise fehl. Dies kann auch dann vorkommen, wenn die Quell-Anforderung letztendlich von der VPC oder dem VPC-Endpunkt stammt.