Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen

Sie können Benutzern oder Rollen in einem anderen Konto AWS-Konto die Verwendung eines KMS Schlüssels gestatten. Für den kontoübergreifenden Zugriff ist eine entsprechende Genehmigung in der Schlüsselrichtlinie des KMS Schlüssels und in einer IAM Richtlinie im Konto des externen Benutzers erforderlich.

Die kontenübergreifende Berechtigung gilt nur für die folgenden Operationen:

Wenn Sie einem Benutzer in einem anderen Konto die Berechtigung für andere Operationen erteilen, haben diese Berechtigungen keine Auswirkungen. Wenn Sie beispielsweise einem Prinzipal in einem anderen Konto die ListKeyskms-Berechtigung in einer IAM Richtlinie oder die ScheduleKeyDeletionkms-Berechtigung für einen KMS Schlüssel in einer Schlüsselrichtlinie erteilen, schlagen die Versuche des Benutzers, diese Operationen für Ihre Ressourcen aufzurufen, immer noch fehl.

Einzelheiten zur Verwendung von KMS Schlüsseln in verschiedenen Konten für AWS KMS Operationen finden Sie in der Spalte Kontoübergreifende Verwendung im Ordner AWS KMS Berechtigungen undKMSSchlüssel in anderen Konten verwenden. In jeder API Beschreibung in der Referenz gibt es auch einen Abschnitt zur kontoübergreifenden Verwendung.AWS Key Management Service API

Warnung

Seien Sie vorsichtig, wenn Sie den Hauptbenutzern die Erlaubnis geben, Ihre KMS Schlüssel zu verwenden. Wenn möglich, befolgen Sie dem Prinzip der geringsten Berechtigung. Gewähren Sie Benutzern nur Zugriff auf die KMS Schlüssel, die sie nur für die von ihnen benötigten Operationen benötigen.

Seien Sie außerdem vorsichtig bei der Verwendung eines unbekannten KMS Schlüssels, insbesondere eines KMS Schlüssels in einem anderen Konto. Böswillige Benutzer geben Ihnen möglicherweise die Erlaubnis, ihren KMS Schlüssel zu verwenden, um Informationen über Sie oder Ihr Konto abzurufen.

Weitere Informationen zur Verwendung von Richtlinien zum Steuern des Zugriffs auf die Ressourcen in Ihrem Konto finden Sie unter Bewährte Verfahren für IAM Richtlinien.

Um Benutzern und Rollen in einem anderen Konto die Erlaubnis zur Verwendung eines KMS Schlüssels zu erteilen, müssen Sie zwei verschiedene Arten von Richtlinien verwenden:

  • Die Schlüsselrichtlinie für den KMS Schlüssel muss dem externen Konto (oder den Benutzern und Rollen im externen Konto) die Erlaubnis geben, den KMS Schlüssel zu verwenden. Die Schlüsselrichtlinie befindet sich in dem Konto, dem der KMS Schlüssel gehört.

  • IAMRichtlinien im externen Konto müssen die wichtigsten Richtlinienberechtigungen an die Benutzer und Rollen delegieren. Diese Richtlinien werden im externen Konto festgelegt und erteilen Berechtigungen für Benutzer und Rollen in diesem Konto.

Die Schlüsselrichtlinie bestimmt, wer Zugriff auf den KMS Schlüssel haben kann. Die IAM Richtlinie bestimmt, wer Zugriff auf den KMS Schlüssel hat. Weder die Schlüsselrichtlinie noch die IAM Richtlinie allein reichen aus — Sie müssen beide ändern.

Um die Schlüsselrichtlinie zu bearbeiten, können Sie die Richtlinienansicht in den Operationen AWS Management Console oder oder verwenden. CreateKeyPutKeyPolicy

Hilfe zum Bearbeiten von IAM Richtlinien finden Sie unterIAMRichtlinien verwenden mit AWS KMS.

Ein Beispiel, das zeigt, wie die Schlüsselrichtlinie und die IAM Richtlinien zusammenarbeiten, um die Verwendung eines KMS Schlüssels in einem anderen Konto zu ermöglichen, finden Sie unterBeispiel 2: Der Benutzer übernimmt die Rolle mit der Erlaubnis, einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto.

Sie können die daraus resultierenden kontenübergreifenden AWS KMS Operationen mit dem KMS Schlüssel in Ihren AWS CloudTrail Protokollen einsehen. Vorgänge, bei denen KMS Schlüssel in anderen Konten verwendet werden, werden sowohl im Konto des Anrufers als auch im Konto des KMS Schlüsselbesitzers protokolliert.

Anmerkung

Die Beispiele in diesem Thema zeigen, wie Sie eine IAM Schlüsselrichtlinie und eine Richtlinie zusammen verwenden, um den Zugriff auf einen KMS Schlüssel bereitzustellen und zu beschränken. Diese allgemeinen Beispiele sollen nicht die Berechtigungen darstellen, die für einen bestimmten KMS Schlüssel AWS-Service erforderlich sind. Informationen zu den Berechtigungen, die für einen AWS-Service erforderlich sind, finden Sie im Thema Verschlüsselung in der Servicedokumentation.

Schritt 1: Hinzufügen einer Schlüsselrichtlinienanweisung im lokalen Konto

Die Schlüsselrichtlinie für einen KMS Schlüssel ist die wichtigste Determinante dafür, wer auf den KMS Schlüssel zugreifen kann und welche Operationen sie ausführen können. Die Schlüsselrichtlinie befindet sich immer in dem Konto, dem der KMS Schlüssel gehört. Im Gegensatz zu IAM Richtlinien geben Schlüsselrichtlinien keine Ressource an. Die Ressource ist der KMS Schlüssel, der der Schlüsselrichtlinie zugeordnet ist. Bei der Bereitstellung kontoübergreifender Berechtigungen muss die Schlüsselrichtlinie für den KMS Schlüssel dem externen Konto (oder den Benutzern und Rollen im externen Konto) die Erlaubnis geben, den KMS Schlüssel zu verwenden.

Um einem externen Konto die Erlaubnis zur Verwendung des KMS Schlüssels zu erteilen, fügen Sie der Schlüsselrichtlinie eine Erklärung hinzu, die das externe Konto spezifiziert. Geben Sie im Principal Element der Schlüsselrichtlinie den Amazon-Ressourcennamen (ARN) des externen Kontos ein.

Wenn Sie in einer Schlüsselrichtlinie ein externes Konto angeben, können IAM Administratoren des externen Kontos IAM Richtlinien verwenden, um diese Berechtigungen an beliebige Benutzer und Rollen im externen Konto zu delegieren. Sie können auch entscheiden, welche der in der Schlüsselrichtlinie angegebenen Aktionen die Benutzer und Rollen ausführen dürfen.

Dem externen Konto und seinen Prinzipalen erteilte Berechtigungen sind nur wirksam, wenn das externe Konto in der Region aktiviert ist, die den KMS Schlüssel und die zugehörige Schlüsselrichtlinie hostet. Informationen zu Regionen, die standardmäßig nicht aktiviert sind („Opt-In-Regionen“), finden Sie unter Verwalten von AWS-Regionen in Allgemeine AWS-Referenz.

Angenommen, Sie möchten dem Konto die Verwendung eines symmetrischen KMS Verschlüsselungsschlüssels im Konto 444455556666 ermöglichen. 111122223333 Fügen Sie dazu der Schlüsselrichtlinie für das Key-in-Konto 111122223333 eine Richtlinienanweisung wie die im folgenden Beispiel hinzu. KMS Diese Richtlinienerklärung erteilt dem externen Konto die Erlaubnis444455556666, den KMS Schlüssel für kryptografische Operationen für symmetrische KMS Verschlüsselungsschlüssel zu verwenden.

Anmerkung

Das folgende Beispiel stellt ein Beispiel für eine Schlüsselrichtlinie für die gemeinsame Nutzung eines KMS Schlüssels mit einem anderen Konto dar. Ersetzen Sie das Beispiel SidPrincipal, und die Action Werte durch gültige Werte für die beabsichtigte Verwendung Ihres KMS Schlüssels.

{ "Sid": "Allow an external account to use this KMS key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }

Anstatt dem externen Konto die Berechtigung zu erteilen, können Sie bestimmte externe Benutzer und Rollen in der Schlüsselrichtlinie angeben. Diese Benutzer und Rollen können den KMS Schlüssel jedoch erst verwenden, wenn die IAM Administratoren des externen Kontos ihren Identitäten die richtigen IAM Richtlinien zugewiesen haben. Die IAM Richtlinien können allen oder einem Teil der externen Benutzer und Rollen, die in der Schlüsselrichtlinie angegeben sind, Berechtigungen gewähren. Und sie können alle oder eine Teilmenge der Aktionen zulassen, die in der Schlüsselrichtlinie angegeben sind.

Durch die Angabe von Identitäten in einer Schlüsselrichtlinie werden die Berechtigungen eingeschränkt, die IAM Administratoren im externen Konto gewähren können. Die Richtlinienverwaltung mit zwei Konten wird jedoch komplexer. Angenommen, Sie müssen einen Benutzer oder eine Rolle hinzufügen. Sie müssen diese Identität der Schlüsselrichtlinie in dem Konto hinzufügen, dem der KMS Schlüssel gehört, und IAM Richtlinien im Konto der Identität erstellen.

Um bestimmte externe Benutzer oder Rollen in einer Schlüsselrichtlinie anzugeben, geben Sie im Principal Element den Amazon-Ressourcennamen (ARN) eines Benutzers oder einer Rolle im externen Konto ein.

Das folgende Beispiel für eine wichtige Richtlinienerklärung ermöglicht es ExampleRole einem Konto beispielsweise, einen KMS Schlüssel für ein Konto 444455556666 zu verwenden111122223333. Diese wichtige Richtlinienanweisung erteilt dem externen Konto die Erlaubnis444455556666, den KMS Schlüssel für kryptografische Operationen für symmetrische KMS Verschlüsselungsschlüssel zu verwenden.

Anmerkung

Das folgende Beispiel stellt ein Beispiel für eine Schlüsselrichtlinie für die gemeinsame Nutzung eines KMS Schlüssels mit einem anderen Konto dar. Ersetzen Sie das Beispiel SidPrincipal, und die Action Werte durch gültige Werte für die beabsichtigte Verwendung Ihres KMS Schlüssels.

{ "Sid": "Allow an external account to use this KMS key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:role/ExampleRole" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
Anmerkung

Setzen Sie den Prinzipal nicht auf ein Sternchen (*) in einer Schlüsselrichtlinienanweisung, die Berechtigungen erlaubt, es sei denn, Sie verwenden Bedingungen, um die Schlüsselrichtlinie einzuschränken. Ein Sternchen gibt jede Identität in jeder AWS-Konto Berechtigung zur Verwendung des KMS Schlüssels an, sofern dies nicht in einer anderen Richtlinienerklärung ausdrücklich verweigert wird. Benutzer in anderen Ländern AWS-Konten können Ihren KMS Schlüssel immer dann verwenden, wenn sie über entsprechende Berechtigungen in ihrem eigenen Konto verfügen.

Sie müssen auch entscheiden, welche Berechtigungen Sie dem externen Konto erteilen möchten. Möglicherweise möchten Sie Benutzern beispielsweise die Erlaubnis geben, den Schlüssel zu entschlüsseln, aber nicht zu verschlüsseln, oder die Erlaubnis, den KMS Schlüssel einzusehen, ihn aber nicht zu verwenden. Eine Liste der Berechtigungen für KMS Schlüssel finden Sie unter. AWS KMS Berechtigungen

Festlegung der Schlüsselrichtlinie beim Erstellen eines KMS Schlüssels

Wenn Sie den CreateKeyVorgang zum Erstellen eines KMS Schlüssels verwenden, können Sie seinen Policy Parameter verwenden, um eine Schlüsselrichtlinie anzugeben, die einem externen Konto oder externen Benutzern und Rollen die Berechtigung zur Verwendung des KMS Schlüssels erteilt.

Wenn Sie einen KMS Schlüssel in der erstellen AWS Management Console, erstellen Sie auch die zugehörige Schlüsselrichtlinie. Wenn Sie Identitäten in den Abschnitten „Schlüsseladministratoren“ und „Schlüsselbenutzer“ auswählen, AWS KMS fügt der Schlüsselrichtlinie des KMS Schlüssels Richtlinienerklärungen für diese Identitäten hinzu. Im Abschnitt Key Users (Schlüsselbenutzer) können Sie auch externe Konten als Schlüsselbenutzer hinzufügen.

Wenn Sie die Konto-ID eines externen Kontos eingeben, werden der Schlüsselrichtlinie zwei Anweisungen AWS KMS hinzugefügt. Diese Aktion wirkt sich nur auf die Schlüsselrichtlinie aus. Benutzer und Rollen im externen Konto können den KMS Schlüssel erst verwenden, wenn Sie IAM Richtlinien anhängen, um ihnen einige oder alle dieser Berechtigungen zu erteilen.

Die erste wichtige Richtlinienerklärung erteilt dem externen Konto die Erlaubnis, den KMS Schlüssel für kryptografische Operationen zu verwenden. Die zweite wichtige Richtlinienerklärung ermöglicht es dem externen Konto, Zuweisungen für den KMS Schlüssel zu erstellen, einzusehen und zu widerrufen, aber nur, wenn die Anfrage von einem AWS Dienst kommt, der in integriert AWS KMS ist. Diese Berechtigungen ermöglichen es anderen AWS Diensten, die Benutzerdaten verschlüsseln, den KMS Schlüssel zu verwenden. Diese Berechtigungen sind für KMS Schlüssel konzipiert, die Benutzerdaten in Diensten verschlüsseln AWS

Schritt 2: Fügen Sie dem externen Konto IAM Richtlinien hinzu

Die Schlüsselrichtlinie in dem Konto, dem der KMS Schlüssel gehört, legt den gültigen Bereich für Berechtigungen fest. Benutzer und Rollen im externen Konto können den KMS Schlüssel jedoch erst verwenden, wenn Sie IAM Richtlinien anhängen, die diese Berechtigungen delegieren, oder Zuweisungen verwenden, um den Zugriff auf den KMS Schlüssel zu verwalten. Die IAM Richtlinien werden im externen Konto festgelegt.

Wenn die Schlüsselrichtlinie die Erlaubnis für das externe Konto erteilt, können Sie IAM Richtlinien an jeden Benutzer oder jede Rolle im Konto anhängen. Wenn die Schlüsselrichtlinie jedoch bestimmten Benutzern oder Rollen Berechtigungen gewährt, kann die IAM Richtlinie diese Berechtigungen nur allen oder einem Teil der angegebenen Benutzer und Rollen gewähren. Wenn eine IAM Richtlinie anderen externen Benutzern oder Rollen KMS Schlüsselzugriff gewährt, hat dies keine Auswirkung.

Die Schlüsselrichtlinie schränkt auch die in der IAM Richtlinie enthaltenen Aktionen ein. Die IAM Richtlinie kann alle oder einen Teil der in der Schlüsselrichtlinie angegebenen Aktionen delegieren. Wenn die IAM Richtlinie Aktionen auflistet, die nicht in der Schlüsselrichtlinie angegeben sind, sind diese Berechtigungen nicht wirksam.

Die folgende IAM Beispielrichtlinie ermöglicht es dem Prinzipal, das KMS Key-in-Konto 111122223333 für kryptografische Operationen zu verwenden. Um diese Berechtigung Benutzern und Rollen im Konto 444455556666 zu erteilen, fügen Sie die Richtlinie den Benutzern oder Rollen im Konto 444455556666 an.

Anmerkung

Das folgende Beispiel stellt eine IAM Beispielrichtlinie für die gemeinsame Nutzung eines KMS Schlüssels mit einem anderen Konto dar. Ersetzen Sie das Beispiel SidResource, und die Action Werte durch gültige Werte für die beabsichtigte Verwendung Ihres KMS Schlüssels.

{ "Sid": "AllowUseOfKeyInAccount111122223333", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }

Beachten Sie die folgenden Details über diese Richtlinie:

  • Im Gegensatz zu wichtigen Richtlinien enthalten IAM Grundsatzerklärungen dieses Principal Element nicht. Bei IAM Richtlinien ist das Prinzip die Identität, mit der die Richtlinie verknüpft ist.

  • Das Resource Element in der IAM Richtlinie identifiziert den KMS Schlüssel, den der Prinzipal verwenden kann. Um einen KMS Schlüssel anzugeben, fügen Sie seinen Schlüssel ARN zum Resource Element hinzu.

  • Sie können mehr als einen KMS Schlüssel für das Resource Element angeben. Wenn Sie jedoch keine bestimmten KMS Schlüssel im Resource Element angeben, können Sie versehentlich Zugriff auf mehr KMS Schlüssel gewähren, als Sie beabsichtigen.

  • Damit der externe Benutzer den KMS Schlüssel mit AWS Diensten verwenden kann, die in integriert sind AWS KMS, müssen Sie möglicherweise der Schlüsselrichtlinie oder der Richtlinie Berechtigungen hinzufügen. IAM Details hierzu finden Sie unter Zulassen der Verwendung von externen KMS Schlüsseln mit AWS-Services.

Weitere Informationen zum Arbeiten mit IAM Richtlinien finden Sie unterIAM-Richtlinien.

Zulassen der Verwendung von externen KMS Schlüsseln mit AWS-Services

Sie können einem Benutzer mit einem anderen Konto die Erlaubnis geben, Ihren KMS Schlüssel mit einem Dienst zu verwenden, der in integriert ist AWS KMS. Beispielsweise kann ein Benutzer mit einem externen Konto Ihren KMS Schlüssel verwenden, um die Objekte in einem Amazon S3 S3-Bucket oder die Geheimnisse zu verschlüsseln, in denen sie gespeichert sind. AWS Secrets Manager

Die Schlüsselrichtlinie muss dem externen Benutzer oder dem Konto des externen Benutzers die Erlaubnis geben, den KMS Schlüssel zu verwenden. Darüber hinaus müssen Sie IAM Richtlinien an die Identität anhängen, die dem Benutzer die Erlaubnis zur Verwendung des geben AWS-Service. Der Dienst erfordert möglicherweise auch, dass Benutzer über zusätzliche Berechtigungen in der Schlüsselrichtlinie oder IAM -richtlinie verfügen. Eine Liste der Berechtigungen, die für einen vom Kunden verwalteten Schlüssel AWS-Service erforderlich sind, finden Sie unter dem Thema Datenschutz im Kapitel Sicherheit des Benutzer- oder Entwicklerhandbuchs für den Dienst.

KMSSchlüssel in anderen Konten verwenden

Wenn Sie berechtigt sind, einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto, können Sie den KMS Schlüssel in AWS Management Console, AWS SDKs AWS CLI, und verwenden AWS Tools for PowerShell.

Verwenden Sie die folgenden KMS Schlüsselkennungen, um einen Schlüssel in einem anderen Konto in einem Shell-Befehl oder einer API Shell-Anfrage zu identifizieren.

Wenn Sie nur eine Schlüssel-ID oder einen Aliasnamen eingeben, wird AWS davon ausgegangen, dass sich der KMS Schlüssel in Ihrem Konto befindet.

Die AWS KMS Konsole zeigt keine KMS Schlüssel anderer Konten an, auch wenn Sie die Erlaubnis haben, sie zu verwenden. Außerdem enthalten die KMS in den Konsolen anderer AWS Dienste angezeigten Schlüssellisten keine KMS Schlüssel anderer Konten.

Um einen KMS Schlüssel in einem anderen Konto in der Konsole eines AWS Dienstes anzugeben, müssen Sie den Schlüssel ARN oder den Alias ARN des KMS Schlüssels eingeben. Die erforderliche Schlüssel-ID variiert je nach Dienst und kann je nach Servicekonsole und deren API Betrieb unterschiedlich sein. Weitere Informationen finden Sie in der Service-Dokumentation.