Verwenden von IAM-Richtlinien mit AWS KMS - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von IAM-Richtlinien mit AWS KMS

Sie können IAM-Richtlinien zusammen mit Schlüsselrichtlinien, Erteilungen und VPC-Endpunktrichtlinien zum Steuern des Zugriffs auf Ihre AWS KMS keys in AWS KMS verwenden.

Anmerkung

Um mit einer IAM-Richtlinie den Zugriff auf einen KMS-Schlüssel zu steuern, muss die Schlüsselrichtlinie für den KMS-Schlüssel dem Konto die Berechtigung erteilen, IAM-Richtlinien zu nutzen. Insbesondere muss die Schlüsselrichtlinie die Richtlinienanweisung enthalten, die IAM-Richtlinien aktiviert.

In diesem Abschnitt wird erläutert, wie Sie mithilfe von IAM-Richtlinien den Zugriff auf AWS KMS-Operationen steuern. Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch.

Alle KMS-Schlüssel müssen eine Schlüsselrichtlinie haben. IAM-Richtlinien sind optional. Um mit einer IAM-Richtlinie den Zugriff auf einen KMS-Schlüssel zu steuern, muss die Schlüsselrichtlinie für den KMS-Schlüssel dem Konto die Berechtigung erteilen, IAM-Richtlinien zu nutzen. Insbesondere muss die Schlüsselrichtlinie die Richtlinienanweisung enthalten, die IAM-Richtlinien aktiviert.

IAM-Richtlinien können den Zugriff auf jede AWS KMS-Produktion steuern. Im Gegensatz zu Schlüsselrichtlinien können IAM-Richtlinien den Zugriff auf mehrere KMS-Schlüssel steuern und Berechtigungen für die Operationen mehrerer verwandter AWS-Services bereitstellen. IAM-Richtlinien sind jedoch besonders nützlich, um den Zugriff auf Operationen wie zu steuern, die nicht durch eine Schlüsselrichtlinie gesteuert werden könnenCreateKey, da sie keinen bestimmten KMS-Schlüssel betreffen.

Wenn Sie über einen Amazon Virtual Private Cloud (Amazon VPC)-Endpunkt auf AWS KMS zugreifen, können Sie auch eine VPC-Endpunkt-Richtlinie verwenden, um den Zugriff auf Ihre AWS KMS-Ressourcen während der Nutzung des Endpunkts zu beschränken. Wenn Sie beispielsweise den VPC-Endpunkt verwenden, können Sie nur den Prinzipalen in Ihrem AWS-Konto den Zugriff auf Ihre kundenverwalteten Schlüssel erlauben. Details hierzu finden Sie unter Steuern des Zugriffs auf einen VPC-Endpunkt.

Hilfe beim Schreiben und Formatieren eines JSON-Richtliniendokuments finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.

Themen