Bewährte Methoden für IAM-Richtlinien

Die Sicherung des Zugriffs auf AWS KMS keys ist entscheidend für die Sicherheit all Ihrer AWS Ressourcen. KMS-Schlüssel werden verwendet, um viele der sensibelsten Ressourcen in Ihrem zu schützen AWS-Konto. Nehmen Sie sich Zeit, um die Schlüsselrichtlinien, IAM-Richtlinien, Erteilungen und VPC-Endpunktrichtlinien zu entwerfen, die den Zugriff auf Ihre KMS-Schlüssel steuern.

Wenden Sie in IAM-Richtlinienanweisungen, die den Zugriff auf KMS-Schlüssel steuern, das Prinzip der geringsten Berechtigung an. Geben Sie IAM-Prinzipalen nur die Berechtigungen ein, die sie nur für die KMS-Schlüssel benötigen, die sie verwenden oder verwalten müssen.

Die folgenden bewährten Methoden gelten für IAM-Richtlinien, die den Zugriff auf AWS KMS Schlüssel und Aliase steuern. Eine allgemeine Anleitung zu bewährten IAM-Richtlinien finden Sie unter Bewährte Methoden zur Sicherheit in IAM im IAM-Benutzerhandbuch.

Verwenden von Schlüsselrichtlinien

Stellen Sie nach Möglichkeit Berechtigungen, die sich auf einen KMS-Schlüssel auswirken, in einer Schlüsselrichtlinie bereit anstatt in einer IAM-Richtlinie, die auf viele KMS-Schlüssel angewendet werden kann, einschließlich derjenigen in anderen AWS-Konten. Dies ist besonders wichtig für vertrauliche Berechtigungen wie kms: PutKeyPolicy und kms:, ScheduleKeyDeletion aber auch für kryptografische Operationen, die bestimmen, wie Ihre Daten geschützt werden.

Beschränken Sie die Erlaubnis CreateKey

Erteilen Sie nur den Prinzipalen die Erlaubnis, Schlüssel (kms: CreateKey) zu erstellen, die sie benötigen. Prinzipale, die einen KMS-Schlüssel erstellen, legen auch seine Schlüsselrichtlinie fest, damit sie sich selbst und anderen die Berechtigung zur Verwendung und Verwaltung der von ihnen erstellten KMS-Schlüssel erteilen können. Wenn Sie diese Berechtigung erlauben, sollten Sie sie vielleicht mithilfe von -Richtlinienbedingungen beschränken. Sie können beispielsweise die KeySpec Bedingung kms: verwenden, um die Erlaubnis auf KMS-Schlüssel mit symmetrischer Verschlüsselung zu beschränken.

Angeben von KMS-Schlüsseln in einer IAM-Richtlinie

Geben Sie als bewährte Methode den Schüssel-ARN jedes KMS-Schlüssels an, für den die Berechtigung im Resource-Element der Richtlinienanweisung gilt. Diese Methode beschränkt die Berechtigung auf die KMS-Schlüssel, die vom Prinzipal benötigt werden. Dieses Resource-Element listet beispielsweise nur den KMS-Schlüssel auf, den der Prinzipal verwenden muss.

"Resource": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
]

Wenn die Angabe von KMS-Schlüsseln nicht praktikabel ist, verwenden Sie einen Resource Wert, der den Zugriff auf KMS-Schlüssel in einer vertrauenswürdigen AWS-Konto Region einschränkt, z. B. arn:aws:kms:region:account:key/* Oder beschränken Sie den Zugriff auf KMS-Schlüssel in allen Regionen (*) einer vertrauenswürdigen Person AWS-Konto, z. B. arn:aws:kms:*:account:key/*

Sie können keine Schlüssel-ID, Aliasnamen oder Alias-ARN verwenden, um einen KMS-Schlüssel in dem Resource-Feld einer IAM-Richtlinie darzustellen. Wenn Sie einen Alias-ARN angeben, gilt die Richtlinie für den Alias und nicht für den KMS-Schlüssel. Weitere allgemeine Informationen zu IAM-Richtlinien für Aliase finden Sie unter Steuern des Zugriffs auf Aliasse

Vermeiden Sie "Resource": "*" in einer IAM-Richtlinie

Verwenden Sie Platzhalterzeichen (*) umsichtig. In einer Schlüsselrichtlinie stellt das Platzhalterzeichen in dem Resource-Element den KMS-Schlüssel dar, an den die Schlüsselrichtlinie angefügt ist. In einer IAM-Richtlinie wendet jedoch nur ein Platzhalterzeichen im Resource Element ("Resource": "*") die Berechtigungen auf alle KMS-Schlüssel an, zu deren Verwendung AWS-Konten das Konto des Prinzipalbenutzers berechtigt ist. Dies kann KMS-Schlüssel in anderen Bereichen AWS-Konten sowie KMS-Schlüssel im Konto des Prinzipals umfassen.

Um beispielsweise einen KMS-Schlüssel in einem anderen zu verwenden AWS-Konto, benötigt ein Principal die Genehmigung durch die Schlüsselrichtlinie des KMS-Schlüssels im externen Konto und durch eine IAM-Richtlinie in seinem eigenen Konto. Angenommen, ein beliebiges Konto erteilte Ihrem AWS-Konto die kms:Decrypt-Berechtigung für seine KMS-Schlüssel. In diesem Fall würde eine IAM-Richtlinie in Ihrem Konto, die einer Rolle die kms:Decrypt-Berechtigung für alle KMS-Schlüssel ("Resource": "*") erteilt, den IAM-Teil der Anforderung erfüllen. Daher können Prinzipale, die diese Rolle übernehmen können, nun Chiffretexte mit dem KMS-Schlüssel im nicht-vertrauenswürdigen Konto entschlüsseln. Einträge für ihre Operationen werden in den CloudTrail Protokollen beider Konten angezeigt.

Vermeiden Sie insbesondere die Verwendung von "Resource": "*" in einer Richtlinienanweisung, die die folgenden API-Operationen zulässt. Diese Operationen können für KMS-Schlüssel in anderen Ländern aufgerufen werden AWS-Konten.

• DescribeKey

• GetKeyRotationStatus

• Kryptografische Operationen (Verschlüsseln, Entschlüsseln,,, GenerateDataKey,, GenerateDataKeyPair, GenerateDataKeyWithoutPlaintextGenerateDataKeyPairWithoutPlaintext, Signieren GetPublicKeyReEncrypt, Überprüfen)

• CreateGrant, ListGrants, ListRetirableGrants, RetireGrant, RevokeGrant

Wann "Resource": "*" verwendet werden sollte

Verwenden Sie in einer IAM-Richtlinie ein Platzhalterzeichen im Resource-Element nur für Berechtigungen, die es erfordern. Nur die folgenden Berechtigungen erfordern das "Resource": "*"-Element.

• km: CreateKey

• km: GenerateRandom

• km: ListAliases

• km: ListKeys

• Berechtigungen für benutzerdefinierte Schlüsselspeicher wie kms: CreateCustomKeyStore und kms: ConnectCustomKeyStore.

Anmerkung

Berechtigungen für Aliasoperationen (kms: CreateAlias, kms: UpdateAlias, kms: DeleteAlias) müssen an den Alias und den KMS-Schlüssel angehängt werden. Sie können die "Resource": "*" in einer IAM-Richtlinie verwenden, um die Aliase und die KMS-Schlüssel darzustellen, oder geben Sie die Aliase und KMS-Schlüssel im Resource-Element an. Beispiele finden Sie unter Steuern des Zugriffs auf Aliasse.

 

Die Beispiele in diesem Thema enthalten weitere Informationen und Anleitungen zum Entwerfen von IAM-Richtlinien für KMS-Schlüssel. Allgemeine Hinweise zu AWS KMS bewährten Verfahren finden Sie in den AWS Key Management Service Best Practices (PDF). Bewährte IAM-Methoden für alle AWS Ressourcen finden Sie unter Bewährte Methoden zur Sicherheit in IAM im IAM-Benutzerhandbuch.