Prüfen von Erteilungen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Prüfen von Erteilungen

Erteilungen sind erweiterte Mechanismen zur Definition von Berechtigungen, die Sie oder ein mit AWS KMS integrierter AWS-Service verwenden können, um festzulegen, wie und wann ein KMS-Schlüssel verwendet werden darf. Erteilungen werden einem KMS-Schlüssel angefügt. Jede Erteilung enthält den Prinzipal, dem die Berechtigung zur Verwendung des KMS-Schlüssels erteilt wird, sowie eine Liste der erlaubten Produktionen. Berechtigungen sind eine Alternative zu den Schlüsselrichtlinien und eignen sich für bestimmte Anwendungsfälle. Weitere Informationen finden Sie unter Zuschüsse in AWS KMS.

Um eine Liste der Erteilungen für einen KMS-Schlüssel abzurufen, verwenden Sie die -AWS KMSListGrantsOperation. Sie können die Erteilungen für einen KMS-Schlüssel untersuchen, um zu bestimmen, wer oder was derzeit über diese Erteilungen Zugriff auf den KMS-Schlüssel hat. Das folgende Beispiel ist eine JSON-Darstellung einer Erteilung, die vom Befehl list-grants in der AWS CLI abgerufen wurde.

{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}

Um herauszufinden, wer oder was Zugriff auf den KMS-Schlüssel hat, suchen Sie nach dem "GranteePrincipal"-Element. Im vorherigen Beispiel ist der Empfänger-Prinzipal ein Benutzer der angenommene Rolle, der mit der EC2-Instance i-5d476fab verknüpft ist. Die EC2-Infrastruktur verwendet diese Rolle, um das verschlüsselten EBS-Volume vol-5cccfb4e an die Instance anzufügen. In diesem Fall ist die EC2-Infrastruktur-Rolle berechtigt, den KMS-Schlüssel zu verwenden, da Sie zuvor ein verschlüsseltes EBS-Volume erstellt haben, das von diesem KMS-Schlüssel geschützt wird. Anschließend haben Sie das Volume an eine EC2-Instance angefügt.

Hier ein weiteres Beispiel einer JSON-Darstellung einer Erteilung, die vom Befehl list-grants in der AWS CLI abgerufen wurde. Im folgenden Beispiel ist der Empfänger-Prinzipal ein weiteres AWS-Konto.

{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}