Ändern einer Schlüsselrichtlinie - AWS Key Management Service
So Ändern Sie eine Schlüsselrichtlinie:Mehreren IAM-Prinzipalen Zugriff auf einen KMS-Schlüssel gewähren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern einer Schlüsselrichtlinie

Sie können die Schlüsselrichtlinie für einen KMS-Schlüssel in Ihrem ändern, AWS-Konto indem Sie die PutKeyPolicy Operation AWS Management Console oder verwenden. Sie können diese Methoden nicht verwenden, um die Schlüsselrichtlinie eines KMS-Schlüssels in einem anderen AWS-Konto zu ändern.

Beachten Sie beim Ändern einer Schlüsselrichtlinie die folgenden Regeln:

  • Sie können die Schlüsselrichtlinie für einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel anzeigen, aber ändern können Sie nur die Schlüsselrichtlinie für einen vom Kunden verwalteten Schlüssel. Die Richtlinien von Von AWS verwaltete Schlüssel werden von dem AWS-Service erstellt und verwaltet, der den KMS-Schlüssel in Ihrem Konto erstellt hat. Sie können die Schlüsselrichtlinie für einen AWS-eigener Schlüssel nicht anzeigen oder ändern.

  • Sie können IAM-Benutzer, IAM-Rollen und AWS-Konten (Root-Benutzer) zur Schlüsselrichtlinie hinzufügen oder daraus entfernen und die Aktionen ändern, die diesen Prinzipalen erlaubt oder verweigert werden. Weitere Informationen zu den Möglichkeiten, um Prinzipale und Berechtigungen in einer Schlüsselrichtlinie festzulegen, finden Sie unter Schlüsselrichtlinien.

  • Sie können keine IAM-Gruppen zu einer Schlüsselrichtlinie hinzufügen, aber Sie können mehrere IAM-Benutzer und IAM-Rollen hinzufügen. Weitere Informationen finden Sie unter Mehreren IAM-Prinzipalen Zugriff auf einen KMS-Schlüssel gewähren.

  • Wenn Sie externe AWS-Konten zu einer Schlüsselrichtlinie hinzufügen, müssen Sie auch IAM-Richtlinien in den externen Konten verwenden, um IAM-Benutzern, -Gruppen oder -Rollen in diesen Konten Berechtigungen zu gewähren. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  • Das sich ergebende Schlüssel-Richtliniendokument darf 32 KB (32.768 Bytes) nicht überschreiten.

So Ändern Sie eine Schlüsselrichtlinie:

Es gibt drei Möglichkeiten zum Ändern einer Schlüsselrichtlinie, die in den folgenden Abschnitten erläutert werden.

Verwendung der AWS Management Console-Standardansicht

Sie können die Konsole verwenden, um eine Schlüsselrichtlinie mit einer grafischen Benutzeroberfläche mit dem Namen Standardansicht zu ändern.

Wenn die folgenden Schritte nicht dem entsprechen, was Sie in der Konsole sehen, kann dies bedeuten, dass diese Schlüsselrichtlinie nicht durch die Konsole erstellt wurde. Es kann auch bedeuten, dass die Schlüsselrichtlinie auf eine Weise geändert wurde, die von der Standardansicht der Konsole nicht unterstützt wird. Befolgen Sie in diesem Fall die Schritte unter Verwendung der AWS Management Console-Richtlinienansicht oder Verwenden der AWS KMS-API.

  1. Zeigen Sie die Schlüsselrichtlinie für einen kundenverwalteten KMS-Schlüssel wie unter Anzeigen einer Schlüsselrichtlinie (Konsole) beschrieben an. (Sie können die Schlüsselrichtlinien von Von AWS verwaltete Schlüssel nicht ändern.)

  2. Entscheiden Sie, was geändert werden soll.

    • Um Schlüsseladministratoren hinzuzufügen oder zu entfernen und festzulegen, ob sie den KMS-Schlüssel löschen dürfen oder nicht, verwenden Sie die Steuerelemente im Bereich Key Administrators (Schlüsseladministratoren) der Seite. Schlüsseladministratoren verwalten den KMS-Schlüssel. Dies umfasst die Aktivierung und Deaktivierung, das Festlegen der Schlüsselrichtlinie und das Aktivieren der Schlüsseldrehung.

    • Um Schlüsselbenutzer hinzuzufügen oder zu entfernen und festzulegen, ob externe AWS-Konten den KMS-Schlüssel verwenden dürfen oder nicht, verwenden Sie die Steuerelemente im Bereich Key users (Schlüsselbenutzer) auf der Seite. Schlüsselbenutzer können den KMS-Schlüssel in kryptografischen Produktionen verwenden, wie beispielsweise der Verschlüsselung, Entschlüsselung, erneuten Verschlüsselung und Generierung von Datenschlüsseln.

Verwendung der AWS Management Console-Richtlinienansicht

Sie können die Konsole verwenden, um ein Schlüsselrichtliniendokument über die Richtlinienansicht der Konsole zu ändern.

  1. Zeigen Sie die Schlüsselrichtlinie für einen kundenverwalteten KMS-Schlüssel wie unter Anzeigen einer Schlüsselrichtlinie (Konsole) beschrieben an. (Sie können die Schlüsselrichtlinien von Von AWS verwaltete Schlüssel nicht ändern.)

  2. Wählen Sie im Abschnitt Key Policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  3. Bearbeiten Sie das Schlüsselrichtliniendokument und wählen Sie dann Save Changes (Änderungen speichern) aus.

Verwenden der AWS KMS-API

Sie können die -PutKeyPolicyOperation verwenden, um die Schlüsselrichtlinie eines KMS-Schlüssels in Ihrem zu ändernAWS-Konto. Sie können diese API nicht für einen KMS-Schlüssel in einem anderen AWS-Konto verwenden.

  1. Verwenden Sie die -GetKeyPolicyOperation, um das vorhandene Schlüsselrichtliniendokument abzurufen, und speichern Sie dann das Schlüsselrichtliniendokument in einer -Datei. Beispielcode in mehreren Programmiersprachen finden Sie unter Abrufen einer Schlüsselrichtlinie.

  2. Öffnen Sie das Schlüsselrichtliniendokument in Ihrem bevorzugten Texteditor, bearbeiten Sie das Schlüsselrichtliniendokument und speichern Sie dann die Datei.

  3. Verwenden Sie die -PutKeyPolicyOperation, um das aktualisierte Schlüsselrichtliniendokument auf den KMS-Schlüssel anzuwenden. Beispielcode in mehreren Programmiersprachen finden Sie unter Einstellen einer Schlüsselrichtlinie.

Ein Beispiel für das Kopieren einer Schlüsselrichtlinie von einem KMS-Schlüssel in einen anderen finden Sie im GetKeyPolicy Beispiel in der -AWS CLIBefehlsreferenz.

Mehreren IAM-Prinzipalen Zugriff auf einen KMS-Schlüssel gewähren

IAM-Gruppen sind keine gültigen Prinzipale in einer Schlüsselrichtlinie. Um mehreren Benutzern und Rollen den Zugriff auf einen KMS-Schlüssel zu erlauben, führen Sie einen der folgenden Schritte aus:

  • Verwenden Sie eine IAM-Rolle als Prinzipal in der Schlüsselrichtlinie. Je nach Bedarf können mehrere autorisierte Benutzer die Rolle übernehmen. Weitere Informationen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

    Sie können zwar mehrere IAM-Benutzer in einer Schlüsselrichtlinie auflisten, diese Vorgehensweise wird jedoch nicht empfohlen, da Sie die Schlüsselrichtlinie jedes Mal aktualisieren müssen, wenn sich die Liste der autorisierten Benutzer ändert. Bewährte IAM-Methoden raten außerdem von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

  • Verwenden Sie eine IAM-Richtlinie, um einer IAM-Gruppe eine Berechtigung zu erteilen. Stellen Sie dazu sicher, dass die Schlüsselrichtlinie die Anweisung enthält, die es IAM-Richtlinien ermöglicht, den Zugriff auf den KMS-Schlüssel zu erlauben, eine IAM-Richtlinie zu erstellen, die den Zugriff auf den KMS-Schlüssel erlaubt, diese Richtlinie dann einer IAM-Gruppe anzuhängen, die die autorisierten IAM-Benutzer enthält. Bei diesem Ansatz müssen Sie keine Richtlinien ändern, wenn sich die Liste der autorisierten Benutzer ändert. Stattdessen müssen Sie einfach nur die Benutzer zu der entsprechenden IAM-Gruppe hinzufügen oder daraus entfernen. Weitere Informationen finden Sie unter IAM-Benutzergruppen im IAM-Benutzerhandbuch.

Weitere Informationen darüber, wie AWS KMS-Schlüsselrichtlinien und IAM-Richtlinien zusammen funktionieren, finden Sie unter Fehlerbehebung beim Schlüsselzugriff.