Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von IAM-Richtlinien mit AWS KMS
Sie können IAM-Richtlinien zusammen mit wichtigen Richtlinien, Zuschüssen und VPC-Endpunktrichtlinien verwenden, um den Zugriff auf Ihr AWS KMS keys IN zu kontrollieren. AWS KMS
Anmerkung
Um mit einer IAM-Richtlinie den Zugriff auf einen KMS-Schlüssel zu steuern, muss die Schlüsselrichtlinie für den KMS-Schlüssel dem Konto die Berechtigung erteilen, IAM-Richtlinien zu nutzen. Insbesondere muss die Schlüsselrichtlinie die Richtlinienanweisung enthalten, die IAM-Richtlinien aktiviert.
In diesem Abschnitt wird erklärt, wie Sie mithilfe von IAM-Richtlinien den Zugriff auf Vorgänge steuern können. AWS KMS Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch.
Alle KMS-Schlüssel müssen eine Schlüsselrichtlinie haben. IAM-Richtlinien sind optional. Um mit einer IAM-Richtlinie den Zugriff auf einen KMS-Schlüssel zu steuern, muss die Schlüsselrichtlinie für den KMS-Schlüssel dem Konto die Berechtigung erteilen, IAM-Richtlinien zu nutzen. Insbesondere muss die Schlüsselrichtlinie die Richtlinienanweisung enthalten, die IAM-Richtlinien aktiviert.
IAM-Richtlinien können den Zugriff auf jeden AWS KMS Vorgang steuern. Im Gegensatz zu wichtigen Richtlinien können IAM-Richtlinien den Zugriff auf mehrere KMS-Schlüssel steuern und Berechtigungen für den Betrieb mehrerer verwandter AWS Dienste bereitstellen. IAM-Richtlinien sind jedoch besonders nützlich, um den Zugriff auf Vorgänge zu kontrollieren, z. B. solche CreateKey, die nicht durch eine Schlüsselrichtlinie gesteuert werden können, da sie keinen bestimmten KMS-Schlüssel beinhalten.
Wenn Sie AWS KMS über einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt zugreifen, können Sie auch eine VPC-Endpunktrichtlinie verwenden, um den Zugriff auf Ihre AWS KMS Ressourcen zu beschränken, wenn Sie den Endpunkt verwenden. Wenn Sie beispielsweise den VPC-Endpunkt verwenden, gestatten Sie möglicherweise nur den Prinzipalen in Ihrem AWS-Konto Zugriff auf Ihre vom Kunden verwalteten Schlüssel. Einzelheiten finden Sie unter VPC-Endpunktrichtlinien.
Hilfe beim Schreiben und Formatieren eines JSON-Richtliniendokuments finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.
Sie können IAM-Richtlinien auf folgende Weisen verwenden:
-
Fügen Sie einer Rolle eine Berechtigungsrichtlinie für Verbund- oder kontoübergreifende Berechtigungen hinzu — Sie können einer IAM-Rolle eine IAM-Richtlinie zuordnen, um einen Identitätsverbund zu aktivieren, kontoübergreifende Berechtigungen zuzulassen oder Anwendungen, die auf Instances ausgeführt werden, Berechtigungen zu erteilen. EC2 Weitere Informationen zu den verschiedenen Anwendungsfällen für IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.
-
Anfügen einer Berechtigungsrichtlinie an einen Benutzer oder ein Gruppe – Sie können eine Richtlinie anfügen, die es einem Benutzer oder einer Gruppe von Benutzern erlaubt, AWS KMS -Operationen aufzurufen. In den bewährten Methoden von IAM wird jedoch empfohlen, nach Möglichkeit Identitäten mit temporären Anmeldeinformationen, z. B. IAM-Rollen, zu verwenden.
Das folgende Beispiel zeigt eine IAM-Richtlinie mit Berechtigungen. AWS KMS Diese Richtlinie erlaubt es den IAM-Identitäten, denen sie angefügt ist, eine Liste aller KMS-Schlüssel und -Aliasen abzurufen.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }
Wie alle IAM-Richtlinien enthält diese Richtlinie kein Principal-Element. Wenn Sie einer IAM-Identität eine IAM-Richtlinie anfügen, erhält diese Identität die in der Richtlinie angegebenen Berechtigungen.
Eine Tabelle mit allen AWS KMS API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unterBerechtigungsreferenz.
Mehreren IAM-Prinzipalen Zugriff auf einen KMS-Schlüssel gewähren
IAM-Gruppen sind keine gültigen Prinzipale in einer Schlüsselrichtlinie. Um mehreren Benutzern und Rollen den Zugriff auf einen KMS-Schlüssel zu erlauben, führen Sie einen der folgenden Schritte aus:
-
Verwenden Sie eine IAM-Rolle als Prinzipal in der Schlüsselrichtlinie. Je nach Bedarf können mehrere autorisierte Benutzer die Rolle übernehmen. Weitere Informationen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.
Sie können zwar mehrere IAM-Benutzer in einer Schlüsselrichtlinie auflisten, diese Vorgehensweise wird jedoch nicht empfohlen, da Sie die Schlüsselrichtlinie jedes Mal aktualisieren müssen, wenn sich die Liste der autorisierten Benutzer ändert. Bewährte IAM-Methoden raten außerdem von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
-
Verwenden Sie eine IAM-Richtlinie, um einer IAM-Gruppe eine Berechtigung zu erteilen. Stellen Sie dazu sicher, dass die Schlüsselrichtlinie die Anweisung enthält, die es IAM-Richtlinien ermöglicht, den Zugriff auf den KMS-Schlüssel zu erlauben, eine IAM-Richtlinie zu erstellen, die den Zugriff auf den KMS-Schlüssel erlaubt, diese Richtlinie dann einer IAM-Gruppe anzuhängen, die die autorisierten IAM-Benutzer enthält. Bei diesem Ansatz müssen Sie keine Richtlinien ändern, wenn sich die Liste der autorisierten Benutzer ändert. Stattdessen müssen Sie einfach nur die Benutzer zu der entsprechenden IAM-Gruppe hinzufügen oder daraus entfernen. Weitere Informationen finden Sie unter IAM-Benutzergruppen im IAM-Benutzerhandbuch.
Weitere Informationen darüber, wie AWS KMS wichtige Richtlinien und IAM-Richtlinien zusammenarbeiten, finden Sie unterProblembehandlung bei AWS KMS Berechtigungen.
