Prüfen von Erteilungen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Prüfen von Erteilungen

Zuschüsse sind erweiterte Mechanismen zur Festlegung von Berechtigungen, mit denen Sie oder ein integrierter AWS Dienst festlegen AWS KMS können, wie und wann ein KMS Schlüssel verwendet werden kann. Grants sind mit einem KMS Schlüssel verknüpft, und jeder Grant enthält den Principal, der die Erlaubnis zur Verwendung des KMS Schlüssels erhält, sowie eine Liste der erlaubten Operationen. Berechtigungen sind eine Alternative zu den Schlüsselrichtlinien und eignen sich für bestimmte Anwendungsfälle. Weitere Informationen finden Sie unter Zuschüsse in AWS KMS.

Verwenden Sie die AWS KMS ListGrantsOperation, um eine Liste der Grants für einen KMS Schlüssel abzurufen. Sie können die Grants nach einem KMS Schlüssel durchsuchen, um festzustellen, wer oder was derzeit Zugriff auf die Nutzung des KMS Schlüssels über diese Grants hat. Im Folgenden wird beispielsweise ein Grant JSON dargestellt, der mit dem Befehl list-grants in der abgerufen wurde. AWS CLI

{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}

Um herauszufinden, wer oder was Zugriff auf den KMS Schlüssel hat, suchen Sie nach dem "GranteePrincipal" Element. Im vorherigen Beispiel handelt es sich beim Principal des Empfängers um einen Benutzer mit angenommener Rolle, der der EC2 Instanz i-5d476fab zugeordnet ist. Die EC2 Infrastruktur verwendet diese Rolle, um das verschlüsselte EBS Volume vol-5cccfb4e an die Instance anzuhängen. In diesem Fall ist die EC2 Infrastrukturrolle berechtigt, den KMS Schlüssel zu verwenden, da Sie zuvor ein verschlüsseltes EBS Volume erstellt haben, das durch diesen Schlüssel geschützt ist. KMS Anschließend haben Sie das Volume an eine EC2 Instance angehängt.

Im Folgenden finden Sie ein weiteres Beispiel für eine JSON Darstellung eines Zuschusses, der mit dem Befehl list-grants in der abgerufen wurde. AWS CLI Im folgenden Beispiel ist der Schulleiter des Stipendiaten ein weiterer. AWS-Konto

{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}