Bewährte Verfahren für IAM Richtlinien - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Verfahren für IAM Richtlinien

Sicherung des Zugriffs auf AWS KMS keys ist entscheidend für die Sicherheit all Ihrer AWS Ressourcen schätzen. KMSSchlüssel werden verwendet, um viele der sensibelsten Ressourcen in Ihrem AWS-Konto. Nehmen Sie sich Zeit, um die wichtigsten Richtlinien, IAM Richtlinien, Zuschüsse und VPCEndpunktrichtlinien zu entwerfen, die den Zugriff auf Ihre KMS Schlüssel kontrollieren.

Verwenden Sie in IAM Richtlinienerklärungen, die den Zugriff auf KMS Schlüssel kontrollieren, das Prinzip der geringsten Rechte. Erteilen Sie den IAM Prinzipalen nur die Berechtigungen, die sie benötigen, und zwar nur für die KMS Schlüssel, die sie verwenden oder verwalten müssen.

Die folgenden bewährten Methoden gelten für IAM Richtlinien zur Steuerung des Zugriffs auf AWS KMS Schlüssel und Aliase. Allgemeine IAM Richtlinien zu bewährten Verfahren finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Verwenden von Schlüsselrichtlinien

Geben Sie nach Möglichkeit Berechtigungen in wichtigen Richtlinien ein, die sich auf einen KMS Schlüssel auswirken, und nicht in einer IAM Richtlinie, die für viele KMS Schlüssel gelten kann, auch für Schlüssel in anderen AWS-Konten. Dies ist besonders wichtig für vertrauliche Berechtigungen wie kms: PutKeyPolicy und kms:, ScheduleKeyDeletion aber auch für kryptografische Operationen, die bestimmen, wie Ihre Daten geschützt werden.

Beschränken Sie die Erlaubnis CreateKey

Erteilen Sie nur den Prinzipalen die Erlaubnis, Schlüssel (kms: CreateKey) zu erstellen, die sie benötigen. Prinzipale, die einen KMS Schlüssel erstellen, legen auch dessen Schlüsselrichtlinie fest, sodass sie sich selbst und anderen die Erlaubnis geben können, die von ihnen erstellten KMS Schlüssel zu verwenden und zu verwalten. Wenn Sie diese Berechtigung erlauben, sollten Sie sie vielleicht mithilfe von -Richtlinienbedingungen beschränken. Sie können beispielsweise die KeySpec Bedingung kms: verwenden, um die Erlaubnis auf symmetrische KMS Verschlüsselungsschlüssel zu beschränken.

Geben Sie KMS Schlüssel in einer Richtlinie an IAM

Es hat sich bewährt, den Schlüssel ARN jedes KMS Schlüssels, für den die Berechtigung gilt, im Resource Element der Richtlinienerklärung anzugeben. Bei dieser Vorgehensweise werden die Berechtigungen auf die KMS Schlüssel beschränkt, die für den Prinzipal erforderlich sind. Dieses Resource Element listet beispielsweise nur die KMS Schlüssel auf, die der Principal verwenden muss.

"Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" ]

Wenn die Angabe von KMS Schlüsseln nicht praktikabel ist, verwenden Sie einen Resource Wert, der den Zugriff auf KMS Schlüssel in einer vertrauenswürdigen Umgebung einschränkt AWS-Konto und Region, z. B. arn:aws:kms:region:account:key/* Oder beschränken Sie den Zugriff auf KMS Schlüssel in allen Regionen (*) eines vertrauenswürdigen AWS-Konto, wie zum Beispielarn:aws:kms:*:account:key/*.

Sie können keine Schlüssel-ID, einen Aliasnamen oder einen Alias verwenden, ARN um einen KMS Schlüssel im Resource Feld einer IAM Richtlinie darzustellen. Wenn Sie einen Alias angebenARN, gilt die Richtlinie für den Alias, nicht für den KMS Schlüssel. Informationen zu IAM Richtlinien für Aliase finden Sie unter Steuern des Zugriffs auf Aliasse

Vermeiden Sie „Resource“: „*“ in einer Richtlinie IAM

Verwenden Sie Platzhalterzeichen (*) umsichtig. In einer Schlüsselrichtlinie steht das Platzhalterzeichen im Resource Element für den KMS Schlüssel, an den die Schlüsselrichtlinie angehängt ist. In einer IAM Richtlinie wendet jedoch nur ein Platzhalterzeichen im Resource Element ("Resource": "*") die Berechtigungen auf alle KMS Schlüssel insgesamt an AWS-Konten zu deren Nutzung das Konto des Auftraggebers berechtigt ist. Dies kann KMS Schlüssel in anderen Bereichen einschließen AWS-Konten, sowie KMS Schlüssel auf dem Konto des Schulleiters.

Zum Beispiel, um einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto, benötigt ein Principal die Genehmigung durch die KMS Schlüsselrichtlinie des Schlüssels im externen Konto und durch eine IAM Richtlinie in seinem eigenen Konto. Nehmen wir an, ein beliebiges Konto gab Ihnen AWS-Konto kms:Decrypt-Rechte für ihre Schlüssel. KMS Falls ja, würde eine IAM Richtlinie in Ihrem Konto, die einer Rolle kms:Decrypt Berechtigungen für alle KMS Schlüssel ("Resource": "*") erteilt, den IAM Teil der Anforderung erfüllen. Somit können Principals, die diese Rolle übernehmen können, nun Chiffretexte mithilfe des KMS Schlüssels im nicht vertrauenswürdigen Konto entschlüsseln. Einträge zu ihren Vorgängen erscheinen in den CloudTrail Protokollen beider Konten.

Vermeiden Sie insbesondere die Verwendung "Resource": "*" in einer Richtlinienerklärung, die die folgenden API Operationen zulässt. Diese Operationen können für KMS Schlüssel in anderen Bereichen aufgerufen werden AWS-Konten.

Wann "Resource": "*" verwendet werden sollte

Verwenden Sie in einer IAM Richtlinie ein Platzhalterzeichen im Resource Element nur für Berechtigungen, für die es erforderlich ist. Nur die folgenden Berechtigungen erfordern das "Resource": "*"-Element.

Anmerkung

Berechtigungen für Aliasoperationen (kms: CreateAlias, kms: UpdateAlias, kms: DeleteAlias) müssen an den Alias und den KMS Schlüssel angehängt werden. Sie können sie "Resource": "*" in einer IAM Richtlinie verwenden, um die Aliase und die KMS Schlüssel darzustellen, oder Sie können die Aliase und KMS Schlüssel im Resource Element angeben. Beispiele finden Sie unter Steuern des Zugriffs auf Aliasse.

 

Die Beispiele in diesem Thema bieten weitere Informationen und Anleitungen zum Entwerfen von IAM Richtlinien für KMS Schlüssel. Für IAM bewährte Verfahren für alle AWS Ressourcen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.