Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zuschüsse in AWS KMS
Ein Zuschuss ist ein politisches Instrument, das es AWS Prinzipalen ermöglicht, KMS Schlüssel für kryptografische Operationen zu verwenden. Außerdem können sie damit einen KMS Schlüssel (DescribeKey
) einsehen und Zuschüsse erstellen und verwalten. Bei der Autorisierung des Zugriffs auf einen KMS Schlüssel werden Zuschüsse zusammen mit wichtigen Richtlinien und IAMRichtlinien berücksichtigt. Zuschüsse werden häufig für temporäre Berechtigungen verwendet, da Sie eine erstellen, ihre Berechtigungen verwenden und sie löschen können, ohne Ihre wichtigsten Richtlinien oder IAM Richtlinien zu ändern.
Zuschüsse werden häufig von AWS Diensten verwendet, die sich integrieren, AWS KMS um Ihre Daten im Ruhezustand zu verschlüsseln. Der Service erstellt eine Erteilung im Namen eines Benutzers im Konto, verwendet seine Berechtigungen und hebt die Erteilung auf, sobald die Aufgabe abgeschlossen ist. Einzelheiten darüber, wie AWS Dienste Zuschüsse verwenden, finden Sie unter dem Thema Verschlüsselung im Ruhezustand im Benutzer- oder Entwicklerhandbuch des jeweiligen Dienstes.
Erteilungen sind ein sehr flexibler und nützlicher Zugriffsteuerungs-Mechanismus. Wenn Sie einen Grant für einen KMS Schlüssel erstellen, ermöglicht der Grant-Principal dem Principal, die angegebenen Grant-Operationen anhand des KMS Schlüssels aufzurufen, sofern alle im Grant angegebenen Bedingungen erfüllt sind.
-
Jeder Grant ermöglicht den Zugriff auf genau einen KMS Schlüssel. Sie können einen Grant für einen KMS Schlüssel in einem anderen erstellen AWS-Konto.
-
Ein Grant kann den Zugriff auf einen KMS Schlüssel ermöglichen, den Zugriff jedoch nicht verweigern.
-
Jede Erteilung hat einen Empfänger-Prinzipal. Der Principal des Empfängers kann eine oder mehrere Identitäten in demselben AWS-Konto wie der KMS Schlüssel oder in einem anderen Konto repräsentieren.
-
Eine Erteilung kann nur Erteilungs-Operationen erlauben. Die Zuschussoperationen müssen durch den im Zuschuss enthaltenen KMS Schlüssel unterstützt werden. Wenn Sie einen Vorgang angeben, der nicht unterstützt wird, schlägt die CreateGrantAnforderung mit einer
ValidationError
Ausnahme fehl. -
Der Principal des Empfängers kann die ihm durch die Gewährung gewährten Berechtigungen verwenden, ohne den Zuschuss genau so angeben zu müssen, als ob die Berechtigungen aus einer wichtigen Richtlinie oder IAM Richtlinie stammen würden. Da es sich jedoch um AWS KMS API ein Konsistenzmodell handelt, kann es beim Erstellen, Zurückziehen oder Widerrufen einer Zuweisung zu einer kurzen Verzögerung kommen, bis die Änderung vollständig verfügbar ist. AWS KMS Um die Berechtigungen in einer Erteilung sofort zu verwenden, verwenden Sie einen Erteilungs-Token.
-
Ein autorisierter Prinzipal kann die Erteilung löschen, (aufheben oder widerrufen). Durch das Löschen einer Erteilung entfallen alle Berechtigungen, die durch die Erteilung erlaubt wurden. Sie müssen nicht herausfinden, welche Richtlinien hinzugefügt oder entfernt werden sollen, um die Erteilung rückgängig zu machen.
-
AWS KMS begrenzt die Anzahl der Grants für jeden KMS Schlüssel. Details hierzu finden Sie unter Zuschüsse pro KMS Schlüssel: 50.000.
Seien Sie vorsichtig, wenn Sie Erteilungen erstellen und anderen die Berechtigung zum Erstellen von Erteilungen erteilen. Die Genehmigung zur Erstellung von Zuschüssen hat Auswirkungen auf die Sicherheit, ähnlich wie die PutKeyPolicy Erlaubnis, Richtlinien festzulegen, mit dem kms:.
-
Benutzer mit der Berechtigung, Berechtigungen für einen KMS Schlüssel (
kms:CreateGrant
) zu erstellen, können eine Erteilung verwenden, um Benutzern und Rollen, einschließlich AWS Diensten, die Verwendung des KMS Schlüssels zu ermöglichen. Bei den Prinzipalen kann es sich um eigene Identitäten AWS-Konto oder um Identitäten in einem anderen Konto oder einer anderen Organisation handeln. -
Zuschüsse können nur eine Teilmenge von Vorgängen ermöglichen. AWS KMS Mithilfe von Zuschüssen können Prinzipale den KMS Schlüssel einsehen, ihn für kryptografische Operationen verwenden und Grants erstellen und zurückziehen. Details dazu finden Sie unter Erteilungs-Operationen. Sie können auch Erteilungs-Einschränkungen verwenden, um die Berechtigungen in einer Erteilung für eine Schlüssel mit symmetrischer Verschlüsselung einzuschränken.
-
Principals können über eine wichtige Richtlinie oder Richtlinie die Erlaubnis zur Erstellung von Zuschüssen erhalten. IAM Principals, die im Rahmen einer Richtlinie eine
kms:CreateGrant
Genehmigung erhalten, können Zuschüsse für jeden Grant-Vorgang auf der Grundlage des KMS Schlüssels erstellen. Diese Prinzipale müssen nicht über die Berechtigung verfügen, die sie für den Schlüssel erteilen. Wenn Sie diekms:CreateGrant
-Berechtigung in einer Richtlinie erlauben, können Sie Richtlinienbedingungen verwenden, um diese Berechtigung einzuschränken. -
Prinzipale können auch die Berechtigung erhalten, Erteilungen aus einer Erteilung zu erstellen. Diese Prinzipale können nur die Berechtigungen delegieren, die ihnen erteilt wurden, auch wenn sie über andere Berechtigungen aus einer Richtlinie verfügen. Details hierzu finden Sie unter Genehmigung erteilen CreateGrant .
Konzepte für Erteilungen
Um Erteilungen effektiv nutzen zu können, müssen Sie die Begriffe und Konzepte verstehen, die AWS KMS verwendet.
- Einschränkungen für Erteilungen
-
Eine Bedingung, die die Berechtigungen in der Erteilung einschränkt. AWS KMS Unterstützt derzeit Gewährungsbeschränkungen, die auf dem Verschlüsselungskontext in der Anforderung für einen kryptografischen Vorgang basieren. Details hierzu finden Sie unter Verwenden von Erteilungs-Einschränkungen.
- Erteilungs-ID
-
Die eindeutige Kennung einer Gewährung für einen KMS Schlüssel. Sie können eine Grant-ID zusammen mit einer Schlüssel-ID verwenden, um einen Zuschuss in einer RetireGrantRevokeGrantOR-Anfrage zu identifizieren.
- Erteilungs-Operationen
-
Die AWS KMS Vorgänge, die Sie in einem Zuschuss zulassen können. Wenn Sie andere Operationen angeben, schlägt die CreateGrantAnfrage mit einer
ValidationError
Ausnahme fehl. Dies sind auch die Operationen, die einen Erteilungs-Token akzeptieren. Ausführliche Informationen über diese Berechtigungen finden Sie unter AWS KMS Berechtigungen.Diese Erteilungs-Operationen stellen tatsächlich die Berechtigung zur Verwendung der Produktion dar. Daher gilt, dass Sie für die
ReEncrypt
-ProduktionReEncryptFrom
,ReEncryptTo
, oder beideReEncrypt*
angeben können.Die Erteilungs-Operationen sind:
-
Kryptografische Operationen
-
Andere Produktionen
Die Zuschussvorgänge, die Sie zulassen, müssen durch den KMS Schlüssel im Zuschuss unterstützt werden. Wenn Sie einen Vorgang angeben, der nicht unterstützt wird, schlägt die CreateGrantAnforderung mit einer
ValidationError
Ausnahme fehl. Beispielsweise können Zuschüsse für symmetrische KMS Verschlüsselungsschlüssel die Operationen Signieren, VerifizierenGenerateMac
oderVerifyMac
nicht zulassen. Zuschüsse für asymmetrische KMS Schlüssel dürfen keine Operationen zulassen, die Datenschlüssel oder Datenschlüsselpaare generieren. -
- Erteilungs-Token
-
Es AWS KMS API folgt ein eventuelles Konsistenzmodell. Wenn Sie eine Erteilung erstellen, kann es zu einer kurzen Verzögerung kommen, bis die Änderung in AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Wenn Sie versuchen, eine Erteilung zu verwenden, bevor sie sich vollständig im System verbreitet hat, erhalten Sie möglicherweise eine Zugriffsverweigerungsmeldung. Mit einem Erteilungs-Token können Sie auf die Erteilung verweisen und die Erteilungs-Berechtigungen sofort verwenden.
Ein Berechtigungserteilungs-Token ist eine eindeutige, nicht-geheime, base64-kodierte Zeichenfolge mit variabler Länge, die eine Erteilung darstellt. Sie können den Erteilungs-Token verwenden, um die Erteilung in jeder Erteilungs-Produktion zu identifizieren. Da der Token-Wert jedoch ein Hash-Digest ist, zeigt er keine Details über die Erteilung an.
Ein Erteilungs-Token darf nur so lange verwendet werden, bis sich die Erteilung vollständig in AWS KMS ausgebreitet hat. Danach kann der Empfänger-Prinzipal die Berechtigung in der Erteilung ohne Angabe eines Grant-Token oder eines anderen Beweises für die Erteilung verwenden. Sie können jederzeit ein Grant-Token verwenden, aber sobald der Grant letztendlich konsistent ist, AWS KMS verwendet es den Grant, um die Berechtigungen zu bestimmen, nicht das Grant-Token.
Mit dem folgenden Befehl wird die GenerateDataKeyOperation beispielsweise aufgerufen. Es verwendet ein Grant-Token, um den Grant darzustellen, der dem Aufrufer (dem Principal des Empfängers) die Erlaubnis erteilt, den angegebenen
GenerateDataKey
KMS Schlüssel aufzurufen.$
aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --key-spec AES_256 \ --grant-token $token
Sie können den Erteilungs-Token verwenden, um eine Erteilung in Operationen zu identifizieren, die Erteilungen verwalten. Beispielsweise kann der ausscheidende Schulleiter bei einem Aufruf der Operation ein Grant-Token verwenden. RetireGrant
$
aws kms retire-grant \ --grant-token $token
CreateGrant
ist die einzige Produktion, die ein Erteilungs-Token zurückgibt. Sie können kein Grant-Token aus einem anderen AWS KMS Vorgang oder aus dem CloudTrail Protokollereignis für den CreateGrant Vorgang abrufen. Die ListRetirableGrantsOperationen ListGrantsund geben die Grant-ID zurück, aber kein Grant-Token.Details hierzu finden Sie unter Verwenden eines Erteilungs-Token.
- Erteilender Prinzipal
-
Die Identitäten, die die in der Erteilung angegebenen Berechtigungen erhalten. Jede Erteilung hat einen Empfänger-Prinzipal, aber der Empfänger-Prinzipal kann mehrere Identitäten repräsentieren.
Der Prinzipal des Empfängers kann ein beliebiger AWS Prinzipal sein, einschließlich eines AWS-Konto (Root-) IAMBenutzers, einer IAMRolle, einer Verbundrolle oder eines verbundenen Benutzers oder eines Benutzers mit angenommener Rolle. Der Principal des Empfängers kann sich im selben Konto wie der KMS Schlüssel oder in einem anderen Konto befinden. Der Principal des Stipendiaten kann jedoch kein Dienstprinzipal, keine IAMGruppe oder eine AWS Organisation sein.
Anmerkung
IAMbewährte Methoden raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
- Außerbetriebnahme (einer Erteilung)
-
Beendet eine Erteilung. Sie können eine Erteilung aufheben, wenn Sie die Berechtigungen nicht mehr brauchen.
Wenn Sie eine Erteilung widerrufen oder außer Betrieb nehmen, wird die Erteilung gelöscht. Die Außerbetriebnahme erfolgt jedoch durch einen Prinzipal, der in der Erteilung angegeben ist. Das Widerrufen erfolgt in der Regel durch einen Schlüsseladministrator. Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.
- Außerbetriebnahme eines Prinzipals
-
Ein Prinzipal, der eine Erteilung aufheben kann. Sie können einen ausscheidenden Prinzipal in einer Erteilung angeben, jedoch ist es nicht erforderlich. Bei dem ausscheidenden Prinzipal kann es sich um einen beliebigen AWS Prinzipal AWS-Konten handeln, einschließlich IAM Benutzern, IAM Rollen, Verbundbenutzern und Benutzern mit angenommenen Rollen. Der ausscheidende Hauptbenutzer kann sich in demselben Konto wie der KMS Schlüssel oder in einem anderen Konto befinden.
Anmerkung
IAMbewährte Methoden raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
Zusätzlich zu dem im Zuschuss angegebenen ausscheidenden Hauptschuldner kann ein Zuschuss auch von dem Land zurückgezogen werden, AWS-Konto in dem der Zuschuss gewährt wurde. Wenn die Erteilung die
RetireGrant
-Produktion erlaubt, kann der Empfänger-Prinzipal die Erteilung aufheben. Außerdem kann der AWS-Konto oder ein Schulleiter, der in den Ruhestand geht AWS-Konto , die Genehmigung, einen Zuschuss in den Ruhestand zu setzen, an einen IAM Schulleiter derselben Institution delegieren. AWS-Konto Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen. - Widerrufen (einer Erteilung)
-
Beendet eine Erteilung. Sie widerrufen eine Erteilung, um aktiv die Berechtigung abzulehnen, die die Erteilung erlaubt.
Wenn Sie eine Erteilung widerrufen oder außer Betrieb nehmen, wird die Erteilung gelöscht. Die Außerbetriebnahme erfolgt jedoch durch einen Prinzipal, der in der Erteilung angegeben ist. Das Widerrufen erfolgt in der Regel durch einen Schlüsseladministrator. Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.
- Letztendliche Konsistenz (für Erteilungen)
-
Es AWS KMS API folgt ein eventuelles Konsistenzmodell
. Wenn Sie eine Erteilung erstellen, aufheben oder widerrufen, kann es zu einer kurzen Verzögerung kommen, bevor die Änderung in allen Bereichen von AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Diese kurze Verzögerung kann Ihnen auffallen, wenn Sie unerwartete Fehler erhalten. Wenn Sie beispielsweise versuchen, einen neuen Zuschuss zu verwalten oder die Berechtigungen in einem neuen Zuschuss zu verwenden, bevor der Zuschuss allgemein bekannt ist AWS KMS, erhalten Sie möglicherweise die Fehlermeldung Zugriff verweigert. Wenn Sie eine Erteilung aufheben oder widerrufen, kann der Empfänger-Prinzipal seine Berechtigungen möglicherweise für einen kurzen Zeitraum verwenden, bis die Erteilung vollständig gelöscht wurde. Die typische Strategie besteht darin, die Anfrage erneut zu versuchen, und einige AWS SDKs beinhalten automatische Backoff- und Wiederholungslogik.
AWS KMS verfügt über Funktionen, um diese kurze Verzögerung zu minimieren.
-
Um die Berechtigungen in einer neuen Erteilung sofort zu verwenden, verwenden Sie einen Erteilungs-Token. Sie können einen Erteilungs-Token verwenden, um die Erteilung in jeder Erteilungs-Produktion zu identifizieren. Detaillierte Anweisungen finden Sie unter Verwenden eines Erteilungs-Token.
-
Der CreateGrantVorgang verfügt über einen
Name
Parameter, der verhindert, dass bei Wiederholungsvorgängen doppelte Zuschüsse erstellt werden.
Anmerkung
Erteilungs-Token ersetzen die Gültigkeit der Erteilung, bis alle Endpunkte im Service mit dem neuen Erteilungsstatus aktualisiert wurden. In den meisten Fällen wird die letztendliche Konsistenz innerhalb von fünf Minuten erreicht.
Weitere Informationen finden Sie unter AWS KMS Letztendliche Konsistenz.
-