Schlüsselrichtlinien in AWS KMS

Eine Schlüsselrichtlinie ist eine Ressourcenrichtlinie für einen AWS KMS key. Schlüsselrichtlinien sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Jeder KMS-Schlüssel muss genau eine Schlüsselrichtlinie haben. Die Anweisungen im Schlüsselrichtliniendokument legen fest, wer über eine Berechtigung zur Verwendung des KMS-Schlüssels verfügt, und wie diese Verwendung erfolgen kann. Sie können den Zugriff auf den KMS-Schlüssel auch mithilfe von IAM-Richtlinien und Erteilungen steuern, jeder KMS-Schlüssel muss aber über ein Schlüsselrichtliniendokument verfügen.

Kein AWS-Prinzipal, einschließlich des Konto-Root-Benutzers oder des Schlüsselerstellers, hat Berechtigungen für einen KMS-Schlüssel, es sei denn, er wird in einer Schlüsselrichtlinie, einer IAM-Richtlinie oder einer Berechtigungserteilung ausdrücklich zugelassen und niemals verweigert.

Wenn die Schlüsselrichtlinie es nicht ausdrücklich erlaubt, können Sie keine IAM-Richtlinien verwenden, um den Zugriff auf einen KMS-Schlüssel zu erlauben. Ohne Berechtigung der Schlüsselrichtlinie haben IAM-Richtlinien, die Berechtigungen erlauben, keine Auswirkungen. (Sie können eine IAM-Richtlinie verwenden, um eine Berechtigung für einen KMS-Schlüssel ohne Berechtigung einer Schlüsselrichtlinie zu verweigern.) Die Standardschlüsselrichtlinie aktiviert IAM-Richtlinien. Um IAM-Richtlinien in Ihrer Schlüsselrichtlinie zu aktivieren, fügen Sie die unter Erlaubt den Zugriff auf das AWS-Konto und aktiviert IAM-Richtlinien beschriebene Richtlinienanweisung hinzu .

Im Gegensatz zu IAM-Richtlinien, die global sind, sind Schlüsselrichtlinien regional. Eine wichtige Richtlinie steuert den Zugriff nur auf einen KMS-Schlüssel in derselben Region. Es hat keine Auswirkungen auf KMS-Schlüssel in anderen Regionen.

Themen

• Erstellen einer Schlüsselrichtlinie
• Standardschlüsselrichtlinie
• Anzeigen einer Schlüsselrichtlinie
• Ändern einer Schlüsselrichtlinie
• Berechtigungen für AWS-Services