KMSSchlüsselzugriff und Berechtigungen - AWS Key Management Service
KMSwichtige Richtlinien KMSwichtige Zuschüsse

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KMSSchlüsselzugriff und Berechtigungen

Für die Nutzung AWS KMS benötigen Sie Anmeldeinformationen, mit denen Sie Ihre Anfragen authentifizieren AWS können. Die Anmeldeinformationen müssen Berechtigungen für den Zugriff auf AWS Ressourcen AWS KMS keys und Aliase enthalten. Kein AWS Principal hat Berechtigungen für einen KMS Schlüssel, es sei denn, diese Berechtigung wird ausdrücklich erteilt und niemals verweigert. Es gibt keine implizite oder automatische Erlaubnis, einen KMS Schlüssel zu verwenden oder zu verwalten.

Um den Zugriff auf Ihre KMS Schlüssel zu kontrollieren, können Sie die folgenden Richtlinienmechanismen verwenden.

  • Schlüsselrichtlinie — Jeder KMS Schlüssel hat eine Schlüsselrichtlinie. Dies ist der wichtigste Mechanismus zur Steuerung des Zugriffs auf einen KMS Schlüssel. Sie können die Schlüsselrichtlinie allein zur Zugriffskontrolle verwenden, was bedeutet, dass der gesamte Umfang des Zugriffs auf den KMS Schlüssel in einem einzigen Dokument (der Schlüsselrichtlinie) definiert ist. Weitere Informationen zur Verwendung von Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinien.

  • IAMRichtlinien — Sie können IAM Richtlinien in Kombination mit den wichtigsten Richtlinien und Zuschüssen verwenden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Wenn Sie den Zugriff auf diese Weise steuern, können Sie alle Berechtigungen für Ihre IAM Identitäten in IAM verwalten. Um mithilfe einer IAM Richtlinie den Zugriff auf einen KMS Schlüssel zu ermöglichen, muss die Schlüsselrichtlinie dies ausdrücklich zulassen. Weitere Informationen zur Verwendung von IAM Richtlinien finden Sie unterIAMRichtlinien.

  • Zuschüsse — Sie können Zuschüsse in Kombination mit den wichtigsten IAM Richtlinien und Richtlinien verwenden, um den Zugriff auf einen KMS Schlüssel zu ermöglichen. Wenn Sie den Zugriff auf diese Weise steuern, können Sie den Zugriff auf den KMS Schlüssel in der Schlüsselrichtlinie zulassen und es Identitäten ermöglichen, ihren Zugriff an andere zu delegieren. Weitere Informationen zur Verwendung von Zugriffserteilungen finden Sie unter Zuschüsse in AWS KMS.

KMSwichtige Richtlinien

Die wichtigste Methode zur Verwaltung des Zugriffs auf Ihre AWS KMS Ressourcen sind Richtlinien. Richtlinien sind Dokumente, in denen beschrieben wird, welche Prinzipale auf welche Ressourcen zugreifen können. Richtlinien, die mit einer IAM Identität verknüpft sind, werden als identitätsbasierte Richtlinien (oder IAMRichtlinien) bezeichnet, und Richtlinien, die mit anderen Arten von Ressourcen verknüpft sind, werden als Ressourcenrichtlinien bezeichnet. AWS KMS Ressourcenrichtlinien für KMS Schlüssel werden als Schlüsselrichtlinien bezeichnet.

Alle KMS Schlüssel haben eine Schlüsselrichtlinie. Wenn Sie keinen angeben, AWS KMS erstellt er einen für Sie. Welche Standardschlüsselrichtlinie AWS KMS verwendet wird, hängt davon ab, ob Sie den Schlüssel in der AWS KMS Konsole erstellen oder die verwenden AWS KMS API. Es wird empfohlen, die Standard-Schlüsselrichtlinie so zu bearbeiten, dass sie den Anforderungen Ihrer Organisation für Berechtigungen mit den geringsten Rechten entspricht.

Sie können nur die Schlüsselrichtlinie verwenden, um den Zugriff zu kontrollieren, wenn sich der Schlüssel und der IAM Principal in demselben AWS Konto befinden. Das bedeutet, dass der gesamte Umfang des Zugriffs auf den KMS Schlüssel in einem einzigen Dokument (der Schlüsselrichtlinie) definiert ist. Wenn jedoch ein Anrufer in einem Konto auf einen Schlüssel in einem anderen Konto zugreifen muss, können Sie die Schlüsselrichtlinie nicht allein verwenden, um den Zugriff zu gewähren. Im kontoübergreifenden Szenario muss dem Benutzer oder der Rolle des Anrufers eine IAM Richtlinie zugewiesen werden, die es dem Anrufer ausdrücklich erlaubt, den Anruf zu tätigen. API

Sie können Richtlinien auch in Kombination mit wichtigen IAM Richtlinien und Zuschüssen verwenden, um den Zugriff auf einen Schlüssel zu kontrollieren. KMS Um den Zugriff auf einen KMS Schlüssel mithilfe einer IAM Richtlinie zu kontrollieren, muss die Schlüsselrichtlinie dem Konto die Erlaubnis zur Verwendung von IAM Richtlinien erteilen. Sie können entweder eine wichtige Richtlinienerklärung angeben, die IAM Richtlinien aktiviert, oder Sie können in der Schlüsselrichtlinie explizit zulässige Prinzipale angeben.

Achten Sie beim Schreiben von Richtlinien darauf, dass Sie über strenge Kontrollen verfügen, die einschränken, wer die folgenden Aktionen ausführen kann:

  • Richtlinien aktualisieren, erstellen und löschen IAM sowie KMS wichtige Richtlinien

  • Fügen Sie IAM Richtlinien an Benutzer, Rollen und Gruppen an und trennen Sie sie

  • Hängen Sie KMS wichtige Richtlinien an Ihre Schlüssel an und trennen Sie sie KMS

KMSwichtige Zuschüsse

AWS KMS Unterstützt neben wichtigen IAM politischen Maßnahmen auch Zuschüsse. Zuschüsse bieten eine flexible und leistungsstarke Möglichkeit, Berechtigungen zu delegieren. Mithilfe von Zuschüssen können Sie IAM Principals in Ihrem AWS Konto oder in anderen Konten zeitlich begrenzten KMS Schlüsselzugriff gewähren. AWS Wir empfehlen, zeitlich begrenzten Zugriff zu gewähren, wenn Sie die Namen der Principals zum Zeitpunkt der Erstellung der Richtlinien nicht kennen oder wenn sich die Principals, für die Zugriff erforderlich ist, häufig ändern. Der Principal des Empfängers kann sich im selben Konto wie der KMS Schlüssel oder in einem anderen Konto befinden. Wenn sich der Schulleiter und der KMS Schlüssel auf unterschiedlichen Konten befinden, müssen Sie zusätzlich zum Zuschuss eine IAM Richtlinie angeben. Zuschüsse erfordern eine zusätzliche Verwaltung, da Sie einen anrufen müssenAPI, um den Zuschuss zu beantragen und den Zuschuss zurückzuziehen oder zu widerrufen, wenn er nicht mehr benötigt wird.

In den folgenden Themen finden Sie Einzelheiten dazu, wie Sie AWS Identity and Access Management (IAM) und AWS KMS Berechtigungen verwenden können, um Ihre Ressourcen zu schützen, indem Sie kontrollieren, wer darauf zugreifen kann.