Steuern des Zugriffs auf HMAC-KMS-Schlüssel - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern des Zugriffs auf HMAC-KMS-Schlüssel

Um den Zugriff auf einen HMAC-KMS-Schlüssel zu steuern, verwenden Sie eine Schlüsselrichtlinie, die für jeden KMS-Schlüssel erforderlich ist. Sie können auch IAM-Richtlinien und Erteilungen verwenden.

Die Standardschlüsselrichtlinie für HMAC-Schlüssel, die in der AWS KMS-Konsole erstellt wird, gibt wichtigen Benutzern die Berechtigung zum Aufrufen der GenerateMac- und VerifyMac-Operationen. Es enthält jedoch nicht die Schlüsselrichtlinie entwickelt für die Verwendung von Erteilungen mit AWS-Services. Wenn Sie HMAC-Schlüssel mit dem CreateKey-Operation erstellen, müssen Sie diese Berechtigungen in der Schlüsselrichtlinie oder einer IAM-Richtlinie angeben.

Sie können Globale Bedingungsschlüssel von AWS und AWS KMS-Bedingungsschlüssel zum Verfeinern und Beschränken von Berechtigungen auf HMAC-Schlüssel verwenden. Sie können beispielsweise die kms:ResourceAliases-Bedingungsschlüssel zur Steuerung des Zugriffs auf AWS KMS-Operationen basierend auf den Aliasen, die mit einem HMAC-Schlüssel verknüpft sind, verwenden. Folgende AWS KMS-Richtlinienbedingungen sind nützlich für Richtlinien zu HMAC-Schlüsseln.

  • Verwenden Sie einen kms:MacAlgorithm-Bedingungsschlüssel, um die Algorithmen zu begrenzen, die die Prinzipale anfordern können, wenn sie GenerateMac- und VerifyMac-Operationen aufrufen. Sie können beispielsweise zulassen, dass Prinzipale die GenerateMac-Operationen aufrufen, aber nur wenn der MAC-Algorithmus in der Anforderung HMAC_SHA_384 ist.

  • Verwenden Sie einen kms:KeySpec-Bedingungsschlüssel, um zu erlauben oder zu verhindern, dass Prinzipale bestimmte Arten von HMAC-Schlüsseln erstellen. Um beispielsweise Prinzipalen zu erlauben, nur HMAC-Schlüssel zu erstellen, können Sie die -CreateKeyOperation zulassen, aber die -kms:KeySpecBedingung verwenden, um nur Schlüssel mit einer -HMAC_384Schlüsselspezifikation zuzulassen.

    Sie können auch den kms:KeySpec-Bedingungsschlüssel verwenden, um den Zugriff auf andere Operationen auf einen KMS-Schlüssel basierend auf der Schlüsseleigenschaft des Schlüssels verwenden. Sie können beispielsweise zulassen, dass Prinzipale das Löschen von Schlüsseln nur für KMS-Schlüssel mit einer HMAC_256-Schlüsselspezifikation planen und stornieren.

  • Verwenden Sie einen kms:KeyUsage-Bedingungsschlüssel, um zu erlauben oder zu verhindern, dass Prinzipale jegliche Arten von HMAC-Schlüsseln erstellen. Um beispielsweise Prinzipalen zu erlauben, nur HMAC-Schlüssel zu erstellen, können Sie die -CreateKeyOperation zulassen, aber die -kms:KeyUsageBedingung verwenden, um nur Schlüssel mit einer GENERATE_VERIFY_MAC Schlüsselnutzung zuzulassen.

    Sie können auch den kms:KeyUsage-Bedingungsschlüssel verwenden, um den Zugriff auf andere Operationen auf einen KMS-Schlüssel basierend auf der Schlüsseleigenschaft des Schlüssels zu steuern. Sie können beispielsweise Prinzipalen nur die Aktivierung und Deaktivierung von KMS-Schlüsseln mit einer GENERATE_VERIFY_MAC-Schlüsselverwendung erlauben.

Sie können auch Erteilungen für GenerateMac- und VerifyMac-Operationen, die Erteilungsoperationen sind, erstellen. In einer Erteilung für einen HMAC-Schlüssel können Sie jedoch keine Verschlüsselungskontext-Erteilungs-Einschränkungen verwenden. Das HMAC-Tag-Format unterstützt keine Verschlüsselungskontextwerte.