Untersuchen von IAM-Richtlinien - AWS Key Management Service
Untersuchen von IAM-Richtlinien mit dem IAM-RichtliniensimulatorUntersuchen von IAM-Richtlinien mit der IAM-API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Untersuchen von IAM-Richtlinien

Zusätzlich zu den Schlüsselrichtlinien und Berechtigungen können Sie auch IAM-Richtlinien verwenden, um den Zugriff auf einen KMS-Schlüssel zu erlauben. Weitere Informationen darüber, wie IAM-Richtlinien und Schlüsselrichtlinien zusammen funktionieren, finden Sie unter Fehlerbehebung beim Schlüsselzugriff.

Um zu bestimmen, welche Prinzipale derzeit über IAM-Richtlinien auf einen KMS-Schlüssel zugreifen können, verwenden Sie das browserbasierte IAM-Richtliniensimulator-Tool. Alternativ können Sie Anforderungen an die IAM-API durchführen.

Untersuchen von IAM-Richtlinien mit dem IAM-Richtliniensimulator

Mit dem IAM-Richtliniensimulator können Sie erfahren, welche Prinzipale über eine IAM-Richtlinie Zugriff auf einen KMS-Schlüssel haben.

So verwenden Sie den IAM-Richtliniensimulator, um den Zugriff auf einen KMS-Schlüssel zu bestimmen

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie den IAM-Richtliniensimulator unter https://policysim.aws.amazon.com/.

  2. Wählen Sie im Feld Benutzer, Gruppen und Rollen den Benutzer, Gruppe oder Rolle, deren Richtlinien Sie simulieren möchten.

  3. (Optional) Deaktivieren Sie das Kontrollkästchen neben den Richtlinien, die Sie von der Simulation auslassen möchten. Um alle Richtlinien zu simulieren, markieren Sie alle Richtlinien.

  4. Führen Sie im Bereich Richtliniensimulator die folgenden Schritte aus:

    1. Wählen Sie für Service wählen die Option Key Management Service.

    2. Um spezifische AWS KMS-Aktionen für die Select actions (Aktionen auswählen) zu simulieren, wählen Sie die zu simulierende Aktionen aus. Um alle AWS KMS-Aktionen zu simulieren, wählen Sie Select All (Alle auswählen) aus.

  5. (Optional) Der Richtliniensimulator simuliert standardmäßig einen Zugriff auf alle KMS-Schlüssel. Um den Zugriff auf einen bestimmten KMS-Schlüssel zu simulieren, wählen Sie Simulation Settings (Simulationseinstellungen) und geben Sie dann den Amazon-Ressourcennamen (ARN) des zu simulierenden KMS-Schlüssels ein.

  6. Wählen Sie Run Simulation (Simulation ausführen).

Sie können die Ergebnisse der Simulation im Abschnitt Ergebnisse sehen. Wiederholen Sie die Schritte 2 bis 6 für alle Benutzer, Gruppen und Rollen im AWS-Konto.

Untersuchen von IAM-Richtlinien mit der IAM-API

Sie können mit der IAM-API programmgesteuert IAM-Richtlinien untersuchen. Die folgenden Schritte bieten eine allgemeine Übersicht darüber:

  1. Verwenden Sie für jede , die als Prinzipal in der Schlüsselrichtlinie AWS-Konto aufgeführt ist (d. h. für jeden AWS Kontoprinzipal, der in diesem Format angegeben ist: "Principal": {"AWS": "arn:aws:iam::111122223333:root"}), die - ListUsers und -ListRolesOperationen in der IAM-API, um alle Benutzer und Rollen im Konto abzurufen.

  2. Verwenden Sie für jeden Benutzer und jede Rolle in der Liste die -SimulatePrincipalPolicyOperation in der IAM-API, wobei Sie die folgenden Parameter übergeben:

    • Geben Sie für PolicySourceArn den Amazon-Ressourcennamen (ARN) für einen Benutzer oder eine Rolle aus der Liste an. Sie können nur jeweils einen PolicySourceArn pro SimulatePrincipalPolicy-Anforderung angeben. Deshalb müssen Sie diese Operation mehrfach aufrufen – jeweils einmal für jeden Benutzer und jede Rolle in der Liste.

    • Geben Sie für die Liste ActionNames alle zu simulierende AWS KMS-API-Aktionen an. Um alle AWS KMS-API-Aktionen zu simulieren, verwenden Sie kms:*. Um einzelne AWS KMS-API-Aktionen zu testen, stellen Sie jeder API-Aktion "kms:" voran, z. B. "kms:ListKeys". Eine vollständige Liste aller AWS KMS-API-Aktionen finden Sie unter Aktionen in der AWS Key Management Service-API-Referenz.

    • (Optional) Um zu bestimmen, ob die Benutzer oder Rollen Zugriff auf bestimmte KMS-Schlüssel haben, verwenden Sie den ResourceArns-Parameter, um eine Liste der Amazon-Ressourcennamen (ARNs) der KMS-Schlüssel anzugeben. Vermeiden Sie den ResourceArns-Parameter, um zu prüfen, ob die Benutzer oder Rollen Zugriff auf irgendwelche KMS-Schlüssel haben.

IAM antwortet auf jede SimulatePrincipalPolicy-Anforderung mit einer Bewertungsentscheidung: allowed, explicitDeny, oder implicitDeny. Für jede Antwort mit der Bewertung allowed enthält die Antwort den Namen der spezifischen AWS KMS-API-Produktion, die zulässig ist. Darüber hinaus enthält sie den ARN des KMS-Schlüssels, der in der Bewertung verwendet wurde, falls vorhanden.