Konfigurationsoptionen für das Abrufen sensibler Datenproben mit Macie-Ergebnissen - Amazon Macie
Bestimmen, welche Zugriffsmethode verwendet werden sollVerwenden von IAM Benutzeranmeldedaten für den Zugriff auf betroffene ObjekteÜbernahme einer IAM Rolle für den Zugriff auf betroffene ObjekteKonfiguration einer IAM Rolle für den Zugriff auf betroffene ObjekteBetroffene Objekte entschlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurationsoptionen für das Abrufen sensibler Datenproben mit Macie-Ergebnissen

Sie können Amazon Macie optional konfigurieren und verwenden, um Stichproben vertraulicher Daten abzurufen und offenzulegen, die Macie in einzelnen Ergebnissen meldet. Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten im entsprechenden Ermittlungsergebnis für sensible Daten, um das Vorkommen sensibler Daten im betroffenen Amazon Simple Storage Service (Amazon S3) -Objekt zu lokalisieren. Macie extrahiert dann Proben dieser Vorkommnisse aus dem betroffenen Objekt. Macie verschlüsselt die extrahierten Daten mit einem AWS Key Management Service (AWS KMS), den Sie angeben, speichert die verschlüsselten Daten vorübergehend in einem Cache und gibt die Daten in Ihren Ergebnissen für die Suche zurück. Kurz nach dem Extrahieren und Verschlüsseln löscht Macie die Daten dauerhaft aus dem Cache, es sei denn, eine zusätzliche Aufbewahrung ist vorübergehend erforderlich, um ein Betriebsproblem zu lösen.

Macie verwendet die mit dem Dienst verknüpfte Macie-Rolle für Ihr Konto nicht, um sensible Datenproben für betroffene S3-Objekte zu finden, abzurufen, zu verschlüsseln oder offenzulegen. Stattdessen verwendet Macie Einstellungen und Ressourcen, die Sie für Ihr Konto konfigurieren. Wenn Sie die Einstellungen in Macie konfigurieren, geben Sie an, wie auf die betroffenen S3-Objekte zugegriffen werden soll. Sie geben auch an, welche AWS KMS key um die Samples zu verschlüsseln. Sie können die Einstellungen in allen AWS-Regionen wo Macie derzeit mit Ausnahme der Regionen Asien-Pazifik (Osaka) und Israel (Tel Aviv) verfügbar ist.

Um auf betroffene S3-Objekte zuzugreifen und sensible Datenproben von ihnen abzurufen, haben Sie zwei Möglichkeiten. Sie können Macie so konfigurieren, dass AWS Identity and Access Management (IAM) Benutzeranmeldedaten oder eine IAM Rolle übernehmen:

  • IAMBenutzeranmeldedaten verwenden — Bei dieser Option verwendet jeder Benutzer Ihres Kontos seine individuelle IAM Identität, um die Beispiele zu finden, abzurufen, zu verschlüsseln und offenzulegen. Das bedeutet, dass ein Benutzer sensible Datenproben abrufen und offenlegen kann, um festzustellen, ob er auf die erforderlichen Ressourcen und Daten zugreifen und die erforderlichen Aktionen ausführen darf.

  • Eine IAM Rolle übernehmen — Mit dieser Option erstellen Sie eine IAM Rolle, die den Zugriff an Macie delegiert. Sie stellen außerdem sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Macie übernimmt dann die Rolle, wenn ein Benutzer Ihres Kontos entscheidet, sensible Datenproben zu finden, abzurufen, zu verschlüsseln und offenzulegen, um eine Entdeckung zu machen.

Sie können beide Konfigurationen mit jeder Art von Macie-Konto verwenden — dem delegierten Macie-Administratorkonto für eine Organisation, einem Macie-Mitgliedskonto in einer Organisation oder einem eigenständigen Macie-Konto.

In den folgenden Themen werden Optionen, Anforderungen und Überlegungen erläutert, anhand derer Sie festlegen können, wie Sie die Einstellungen und Ressourcen für Ihr Konto konfigurieren. Dazu gehören auch die Vertrauens- und Berechtigungsrichtlinien, die einer IAM Rolle zugewiesen werden sollen. Weitere Empfehlungen und Beispiele für Richtlinien, mit denen Sie Beispiele für sensible Daten abrufen und offenlegen können, finden Sie im folgenden Blogbeitrag auf der AWS Sicherheitsblog: So verwenden Sie Amazon Macie, um eine Vorschau sensibler Daten in S3-Buckets anzuzeigen.

Bestimmen Sie, welche Zugriffsmethode verwendet werden soll

Bei der Entscheidung, welche Konfiguration für Sie am besten geeignet ist AWS Umgebung, eine wichtige Überlegung ist, ob Ihre Umgebung mehrere Amazon Macie Macie-Konten umfasst, die als Organisation zentral verwaltet werden. Wenn Sie der delegierte Macie-Administrator für eine Organisation sind, kann die Konfiguration von Macie für die Übernahme einer IAM Rolle den Abruf sensibler Datenproben aus betroffenen S3-Objekten für Konten in Ihrer Organisation rationalisieren. Mit diesem Ansatz erstellen Sie eine IAM Rolle in Ihrem Administratorkonto. Sie erstellen auch eine IAM Rolle in jedem entsprechenden Mitgliedskonto. Die Rolle in Ihrem Administratorkonto delegiert den Zugriff auf Macie. Die Rolle in einem Mitgliedskonto delegiert den kontoübergreifenden Zugriff auf die Rolle in Ihrem Administratorkonto. Falls implementiert, können Sie dann mithilfe der Rollenverkettung auf die betroffenen S3-Objekte für Ihre Mitgliedskonten zugreifen.

Überlegen Sie auch, wer standardmäßig direkten Zugriff auf einzelne Ergebnisse hat. Um sensible Datenproben für ein Ergebnis abzurufen und offenzulegen, muss ein Benutzer zunächst Zugriff auf das Ergebnis haben:

  • Jobs zur Erkennung sensibler Daten — Nur das Konto, das einen Job erstellt, kann auf die Ergebnisse zugreifen, die der Job liefert. Wenn Sie über ein Macie-Administratorkonto verfügen, können Sie einen Job zur Analyse von Objekten in S3-Buckets für jedes Konto in Ihrer Organisation konfigurieren. Daher können Ihre Jobs Ergebnisse für Objekte in Buckets liefern, die Ihren Mitgliedskonten gehören. Wenn Sie ein Mitgliedskonto oder ein eigenständiges Macie-Konto haben, können Sie einen Job so konfigurieren, dass nur Objekte in Buckets analysiert werden, die Ihrem Konto gehören.

  • Automatisierte Erkennung sensibler Daten — Nur das Macie-Administratorkonto kann auf Ergebnisse zugreifen, die die automatische Erkennung für Konten in ihrem Unternehmen generiert. Mitgliedskonten können nicht auf diese Ergebnisse zugreifen. Wenn Sie ein eigenständiges Macie-Konto haben, können Sie nur für Ihr eigenes Konto auf Ergebnisse zugreifen, die durch automatische Erkennung generiert werden.

Wenn Sie planen, mithilfe einer IAM Rolle auf betroffene S3-Objekte zuzugreifen, sollten Sie auch Folgendes berücksichtigen:

  • Um das Vorkommen vertraulicher Daten in einem Objekt zu lokalisieren, muss das entsprechende Erkennungsergebnis vertraulicher Daten in einem S3-Objekt gespeichert werden, das Macie mit einem Hash-basierten Nachrichtenauthentifizierungscode () signiert hat HMAC AWS KMS key. Macie muss in der Lage sein, die Integrität und Authentizität der Ergebnisse der Entdeckung sensibler Daten zu überprüfen. Andernfalls übernimmt Macie nicht die IAM Rolle beim Abrufen sensibler Datenproben. Dies ist eine zusätzliche Schutzmaßnahme, um den Zugriff auf Daten in S3-Objekten für ein Konto einzuschränken.

  • Um sensible Datenproben von einem Objekt abzurufen, das verschlüsselt ist und von einem Kunden verwaltet wird AWS KMS key, muss die IAM Rolle berechtigt sein, Daten mit dem Schlüssel zu entschlüsseln. Genauer gesagt muss die Richtlinie des Schlüssels es der Rolle ermöglichen, die kms:Decrypt Aktion auszuführen. Bei anderen Arten der serverseitigen Verschlüsselung sind keine zusätzlichen Berechtigungen oder Ressourcen erforderlich, um ein betroffenes Objekt zu entschlüsseln. Weitere Informationen finden Sie unter Betroffene S3-Objekte werden entschlüsselt.

  • Um sensible Datenproben von einem Objekt für ein anderes Konto abzurufen, müssen Sie derzeit der delegierte Macie-Administrator für das Konto im jeweiligen Konto sein AWS-Region. Außerdem:

    • Macie muss derzeit für das Mitgliedskonto in der entsprechenden Region aktiviert sein.

    • Das Mitgliedskonto muss über eine IAM Rolle verfügen, die den kontoübergreifenden Zugriff an eine IAM Rolle in Ihrem Macie-Administratorkonto delegiert. Der Name der Rolle muss in Ihrem Macie-Administratorkonto und im Mitgliedskonto identisch sein.

    • Die Vertrauensrichtlinie für die IAM Rolle im Mitgliedskonto muss eine Bedingung enthalten, die die richtige externe ID für Ihre Konfiguration angibt. Diese ID ist eine eindeutige alphanumerische Zeichenfolge, die Macie automatisch generiert, nachdem Sie die Einstellungen für Ihr Macie-Administratorkonto konfiguriert haben. Informationen zur Verwendung externer IDs Vertrauensrichtlinien finden Sie unter Zugriff auf AWS-Konten Eigentum Dritter in der AWS Identity and Access Management Benutzerleitfaden.

    • Wenn die IAM Rolle im Mitgliedskonto alle Macie-Anforderungen erfüllt, muss das Mitgliedskonto keine Macie-Einstellungen konfigurieren und aktivieren, damit Sie sensible Datenproben von Objekten für das Konto abrufen können. Macie verwendet nur die Einstellungen und die IAM Rolle in Ihrem Macie-Administratorkonto und die IAM Rolle im Mitgliedskonto.

      Tipp

      Wenn Ihr Konto Teil einer großen Organisation ist, erwägen Sie die Verwendung eines AWS CloudFormation Vorlage und Stack-Set zur Bereitstellung und Verwaltung der IAM Rollen für Mitgliedskonten in Ihrer Organisation. Informationen zum Erstellen und Verwenden von Vorlagen und Stack-Sets finden Sie in AWS CloudFormation Benutzerleitfaden.

      Um eine CloudFormation Vorlage zu überprüfen und optional herunterzuladen, die als Ausgangspunkt dienen kann, können Sie die Amazon Macie Macie-Konsole verwenden. Wählen Sie im Navigationsbereich der Konsole unter Einstellungen die Option Reveal samples aus. Wählen Sie „Bearbeiten“ und anschließend „Rollenberechtigungen und CloudFormation Vorlage für Mitglieder anzeigen“.

Die nachfolgenden Themen in diesem Abschnitt enthalten zusätzliche Details und Überlegungen zu den einzelnen Konfigurationstypen. Bei IAM Rollen umfasst dies die Vertrauens- und Berechtigungsrichtlinien, die einer Rolle zugewiesen werden sollen. Wenn Sie sich nicht sicher sind, welcher Konfigurationstyp für Ihre Umgebung am besten geeignet ist, fragen Sie Ihren AWS Administrator um Unterstützung.

Verwenden von IAM Benutzeranmeldedaten für den Zugriff auf betroffene S3-Objekte

Wenn Sie Amazon Macie so konfigurieren, dass sensible Datenproben mithilfe von IAM Benutzeranmeldedaten abgerufen werden, verwendet jeder Benutzer Ihres Macie-Kontos seine IAM Identität, um Stichproben für einzelne Ergebnisse zu lokalisieren, abzurufen, zu verschlüsseln und offenzulegen. Dies bedeutet, dass ein Benutzer sensible Datenproben für einen Befund abrufen und offenlegen kann, sofern seine IAM Identität Zugriff auf die erforderlichen Ressourcen und Daten hat, und die erforderlichen Aktionen ausführen kann. Alle erforderlichen Aktionen sind angemeldet AWS CloudTrail.

Um Stichproben sensibler Daten für ein bestimmtes Ergebnis abzurufen und aufzudecken, muss ein Benutzer Zugriff auf die folgenden Daten und Ressourcen haben: den Befund, das entsprechende Ermittlungsergebnis vertraulicher Daten, den betroffenen S3-Bucket und das betroffene S3-Objekt. Sie müssen auch berechtigt sein, das zu verwenden AWS KMS key die gegebenenfalls zum Verschlüsseln des betroffenen Objekts verwendet wurde, und AWS KMS key die Sie Macie für die Verschlüsselung sensibler Datenproben konfigurieren. Wenn IAM Richtlinien, Ressourcenrichtlinien oder andere Berechtigungseinstellungen den erforderlichen Zugriff verweigern, kann der Benutzer keine Stichproben für das Ergebnis abrufen und anzeigen.

Um diese Art von Konfiguration einzurichten, führen Sie die folgenden allgemeinen Aufgaben aus:

  1. Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben.

  2. Konfigurieren Sie die AWS KMS key zur Verschlüsselung sensibler Datenproben.

  3. Überprüfen Sie Ihre Berechtigungen für die Konfiguration der Einstellungen in Macie.

  4. Konfigurieren und aktivieren Sie die Einstellungen in Macie.

Informationen zur Ausführung dieser Aufgaben finden Sie unterKonfiguration von Macie zum Abrufen sensibler Datenproben für Befunde.

Übernahme einer IAM Rolle für den Zugriff auf betroffene S3-Objekte

Um Amazon Macie so zu konfigurieren, dass sensible Datenproben abgerufen werden, indem Sie eine IAM Rolle übernehmen, erstellen Sie zunächst eine IAM Rolle, die den Zugriff auf Amazon Macie delegiert. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Anforderungen erfüllen, damit Macie die Rolle übernehmen kann. Wenn ein Benutzer Ihres Macie-Kontos dann entscheidet, sensible Datenproben für einen Befund abzurufen und offenzulegen, übernimmt Macie die Rolle, die Proben aus dem betroffenen S3-Objekt abzurufen. Macie übernimmt die Rolle nur, wenn ein Benutzer sich dafür entscheidet, Proben für einen Befund abzurufen und offenzulegen. Um die Rolle zu übernehmen, verwendet Macie die AssumeRoleBedienung des AWS Security Token Service (AWS STS). API Alle erforderlichen Aktionen sind angemeldet AWS CloudTrail.

Um Stichproben sensibler Daten für ein bestimmtes Ergebnis abzurufen und offenzulegen, muss ein Benutzer Zugriff auf den Befund, das entsprechende Ergebnis der Entdeckung sensibler Daten und die AWS KMS key die Sie für die Verschlüsselung sensibler Datenproben von Macie konfigurieren. Die IAM Rolle muss Macie den Zugriff auf den betroffenen S3-Bucket und das betroffene S3-Objekt ermöglichen. Die Rolle muss außerdem berechtigt sein, das zu verwenden AWS KMS key das wurde verwendet, um das betroffene Objekt zu verschlüsseln, falls zutreffend. Wenn IAM Richtlinien, Ressourcenrichtlinien oder andere Berechtigungseinstellungen den erforderlichen Zugriff verweigern, kann der Benutzer keine Beispiele für das Ergebnis abrufen und anzeigen.

Führen Sie die folgenden allgemeinen Aufgaben aus, um diese Art von Konfiguration einzurichten. Wenn Sie ein Mitgliedskonto in einer Organisation haben, entscheiden Sie gemeinsam mit Ihrem Macie-Administrator, ob und wie Sie die Einstellungen und Ressourcen für Ihr Konto konfigurieren müssen.

  1. Definieren Sie Folgendes:

    • Der Name der IAM Rolle, die Macie übernehmen soll. Wenn Ihr Konto Teil einer Organisation ist, muss dieser Name für das delegierte Macie-Administratorkonto und jedes entsprechende Mitgliedskonto in der Organisation identisch sein. Andernfalls kann der Macie-Administrator nicht auf die betroffenen S3-Objekte für ein entsprechendes Mitgliedskonto zugreifen.

    • Der Name der IAM Berechtigungsrichtlinie, die der IAM Rolle zugewiesen werden soll. Wenn Ihr Konto Teil einer Organisation ist, empfehlen wir, dass Sie für jedes entsprechende Mitgliedskonto in der Organisation denselben Richtliniennamen verwenden. Dadurch können die Bereitstellung und Verwaltung der Rolle in Mitgliedskonten optimiert werden.

  2. Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben.

  3. Konfigurieren Sie die AWS KMS key zur Verschlüsselung sensibler Datenproben.

  4. Überprüfen Sie Ihre Berechtigungen für das Erstellen von IAM Rollen und das Konfigurieren der Einstellungen in Macie.

  5. Wenn Sie der delegierte Macie-Administrator für eine Organisation sind oder über ein eigenständiges Macie-Konto verfügen:

    1. Erstellen und konfigurieren Sie die IAM Rolle für Ihr Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Anforderungen erfüllen, damit Macie die Rolle übernehmen kann. Einzelheiten zu diesen Anforderungen finden Sie im nächsten Thema.

    2. Konfigurieren und aktivieren Sie die Einstellungen in Macie. Macie generiert dann eine externe ID für die Konfiguration. Wenn Sie der Macie-Administrator einer Organisation sind, notieren Sie sich diese ID. In der Vertrauensrichtlinie für die IAM Rolle in jedem Ihrer jeweiligen Mitgliedskonten muss diese ID angegeben sein.

  6. Wenn Sie ein Mitgliedskonto in einer Organisation haben:

    1. Fragen Sie Ihren Macie-Administrator nach der externen ID, die Sie in der Vertrauensrichtlinie für die IAM Rolle in Ihrem Konto angeben müssen. Überprüfen Sie außerdem den Namen der IAM Rolle und die zu erstellende Berechtigungsrichtlinie.

    2. Erstellen und konfigurieren Sie die IAM Rolle für Ihr Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Anforderungen erfüllen, damit Ihr Macie-Administrator die Rolle übernehmen kann. Einzelheiten zu diesen Anforderungen finden Sie im nächsten Thema.

    3. (Optional) Wenn Sie sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abrufen und offenlegen möchten, konfigurieren und aktivieren Sie die Einstellungen in Macie. Wenn Sie möchten, dass Macie eine IAM Rolle beim Abrufen der Samples übernimmt, erstellen und konfigurieren Sie zunächst eine zusätzliche IAM Rolle in Ihrem Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für diese zusätzliche Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Konfigurieren Sie dann die Einstellungen in Macie und geben Sie den Namen dieser zusätzlichen Rolle an. Einzelheiten zu den Richtlinienanforderungen für die Rolle finden Sie im nächsten Thema.

Informationen zur Ausführung dieser Aufgaben finden Sie unterKonfiguration von Macie zum Abrufen sensibler Datenproben für Befunde.

Konfiguration einer IAM Rolle für den Zugriff auf betroffene S3-Objekte

Um mithilfe einer IAM Rolle auf betroffene S3-Objekte zuzugreifen, erstellen und konfigurieren Sie zunächst eine Rolle, die den Zugriff an Amazon Macie delegiert. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Wie Sie dabei vorgehen, hängt von der Art Ihres Macie-Kontos ab.

In den folgenden Abschnitten finden Sie Einzelheiten zu den Vertrauens- und Berechtigungsrichtlinien, die der IAM Rolle für jeden Macie-Kontotyp zugewiesen werden müssen. Wählen Sie den Abschnitt für den Kontotyp aus, den Sie haben.

Anmerkung

Wenn Sie ein Mitgliedskonto in einer Organisation haben, müssen Sie möglicherweise zwei IAM Rollen für Ihr Konto erstellen und konfigurieren:

  • Damit Ihr Macie-Administrator sensible Datenproben von betroffenen S3-Objekten für Ihr Konto abrufen und offenlegen kann, erstellen und konfigurieren Sie eine Rolle, die Ihr Administratorkonto übernehmen kann. Wählen Sie für diese Informationen den Abschnitt Macie-Mitgliedskonto aus.

  • Um sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abzurufen und offenzulegen, erstellen und konfigurieren Sie eine Rolle, die Macie übernehmen kann. Wählen Sie für diese Informationen den Abschnitt Eigenständiges Macie-Konto aus.

Bevor Sie eine der IAM Rollen erstellen und konfigurieren, sollten Sie mit Ihrem Macie-Administrator die passende Konfiguration für Ihr Konto festlegen.

Ausführliche Informationen IAM zur Erstellung der Rolle finden Sie unter Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien in der AWS Identity and Access Management Benutzerleitfaden.

Wenn Sie der delegierte Macie-Administrator für eine Organisation sind, verwenden Sie zunächst den IAM Richtlinien-Editor, um die Berechtigungsrichtlinie für die Rolle zu erstellen. IAM Die Richtlinie sollte wie folgt lauten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}

Wo IAMRoleName ist der Name der IAM Rolle, die Macie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten für die Konten Ihrer Organisation übernehmen soll. Ersetzen Sie diesen Wert durch den Namen der Rolle, die Sie für Ihr Konto erstellen und die Erstellung für entsprechende Mitgliedskonten in Ihrer Organisation planen. Dieser Name muss für Ihr Macie-Administratorkonto und jedes entsprechende Mitgliedskonto identisch sein.

Anmerkung

In der vorherigen Berechtigungsrichtlinie verwendet das Resource Element in der ersten Anweisung ein Platzhalterzeichen (*). Auf diese Weise kann eine angehängte IAM Entität Objekte aus allen S3-Buckets abrufen, die Ihrem Unternehmen gehören. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise den Zugriff nur auf Objekte in einem Bucket mit dem Namen zuzulassen amzn-s3-demo-bucket1, ändern Sie das Element in:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"

Sie können auch den Zugriff auf Objekte in bestimmten S3-Buckets für einzelne Konten einschränken. Geben Sie dazu ARNs im Resource Element der Berechtigungsrichtlinie für die IAM Rolle in jedem entsprechenden Konto einen Bucket an. Weitere Informationen und Beispiele finden Sie unter IAMJSONRichtlinienelemente: Ressource im AWS Identity and Access Management Benutzerleitfaden.

Nachdem Sie die Berechtigungsrichtlinie für die IAM Rolle erstellt haben, erstellen und konfigurieren Sie die Rolle. Wenn Sie dazu die IAM Konsole verwenden, wählen Sie Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen Entitätstyp für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Wo accountID ist die Konto-ID für Ihr AWS-Konto. Ersetzen Sie diesen Wert durch Ihre 12-stellige Konto-ID.

In der vorherigen Vertrauensrichtlinie:

  • Das Principal Element gibt den Dienstprinzipal an, den Macie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten verwendet,. reveal-samples.macie.amazonaws.com

  • Das Action Element spezifiziert die Aktion, die der Dienstprinzipal ausführen darf, die AssumeRoleOperation des AWS Security Token Service (AWS STS) API.

  • Das Condition Element definiert eine Bedingung, die den Kontextschlüssel aws: SourceAccount global condition verwendet. Diese Bedingung bestimmt, welches Konto die angegebene Aktion ausführen kann. In diesem Fall kann Macie die Rolle nur für das angegebene Konto übernehmen (accountID). Die Bedingung trägt dazu bei, dass Macie nicht als verwirrter Stellvertreter bei Geschäften mit AWS STS.

Nachdem Sie die Vertrauensrichtlinie für die IAM Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte ausIAM, um die Erstellung und Konfiguration der Rolle abzuschließen. Wenn Sie fertig sind, konfigurieren und aktivieren Sie die Einstellungen in Macie.

Wenn Sie ein Macie-Mitgliedskonto haben und Ihrem Macie-Administrator ermöglichen möchten, sensible Datenproben von betroffenen S3-Objekten für Ihr Konto abzurufen und offenzulegen, fragen Sie zunächst Ihren Macie-Administrator nach den folgenden Informationen:

  • Der Name der zu erstellenden IAM Rolle. Der Name muss für Ihr Konto und das Macie-Administratorkonto für Ihre Organisation identisch sein.

  • Der Name der IAM Berechtigungsrichtlinie, die der Rolle zugewiesen werden soll.

  • Die externe ID, die in der Vertrauensrichtlinie für die Rolle angegeben werden soll. Diese ID muss die externe ID sein, die Macie für die Konfiguration Ihres Macie-Administrators generiert hat.

Nachdem Sie diese Informationen erhalten haben, verwenden Sie den IAM Richtlinien-Editor, um die Berechtigungsrichtlinie für die Rolle zu erstellen. Die Richtlinie sollte wie folgt lauten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Die oben genannte Berechtigungsrichtlinie ermöglicht es einer angehängten IAM Entität, Objekte aus allen S3-Buckets für Ihr Konto abzurufen. Das liegt daran, dass das Resource Element in der Richtlinie ein Platzhalterzeichen (*) verwendet. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise den Zugriff nur auf Objekte in einem Bucket mit dem Namen zuzulassen amzn-s3-demo-bucket2, ändern Sie das Element in:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"

Weitere Informationen und Beispiele finden Sie unter IAMJSONRichtlinienelemente: Ressource in der AWS Identity and Access Management Benutzerleitfaden.

Nachdem Sie die Berechtigungsrichtlinie für die IAM Rolle erstellt haben, erstellen Sie die Rolle. Wenn Sie die Rolle mithilfe der IAM Konsole erstellen, wählen Sie Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen Entitätstyp für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::administratorAccountID:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}

Ersetzen Sie in der vorherigen Richtlinie die Platzhalterwerte durch die richtigen Werte für Ihre AWS Umgebung, wo:

  • administratorAccountID ist die 12-stellige Konto-ID für das Macie-Administratorkonto.

  • IAMRoleName ist der Name der IAM Rolle in Ihrem Macie-Administratorkonto. Es sollte der Name sein, den Sie von Ihrem Macie-Administrator erhalten haben.

  • externalID ist die externe ID, die Sie von Ihrem Macie-Administrator erhalten haben.

Im Allgemeinen ermöglicht die Vertrauensrichtlinie Ihrem Macie-Administrator, die Rolle des Abrufs und der Offenlegung sensibler Datenproben von betroffenen S3-Objekten für Ihr Konto zu übernehmen. Das Principal Element gibt die IAM Rolle ARN einer Rolle im Konto Ihres Macie-Administrators an. Dies ist die Rolle, die Ihr Macie-Administrator verwendet, um sensible Datenproben für die Konten Ihrer Organisation abzurufen und offenzulegen. Der Condition Block definiert zwei Bedingungen, die weiter bestimmen, wer die Rolle übernehmen kann:

  • Die erste Bedingung gibt eine externe ID an, die für die Konfiguration Ihrer Organisation eindeutig ist. Weitere Informationen zu extern IDs finden Sie unter Zugriff auf AWS-Konten Eigentum Dritter in der AWS Identity and Access Management Benutzerleitfaden.

  • Die zweite Bedingung verwendet den globalen Bedingungskontextschlüssel aws: PrincipalOrg ID. Der Wert für den Schlüssel ist eine dynamische Variable, die den eindeutigen Bezeichner für eine Organisation in darstellt AWS Organizations (${aws:ResourceOrgID}). Die Bedingung schränkt den Zugriff nur auf Konten ein, die Teil derselben Organisation sind AWS Organizations. Wenn Sie Ihrer Organisation beigetreten sind, indem Sie eine Einladung in Macie angenommen haben, entfernen Sie diese Bedingung aus der Richtlinie.

Nachdem Sie die Vertrauensrichtlinie für die IAM Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte ausIAM, um die Erstellung und Konfiguration der Rolle abzuschließen. Konfigurieren und geben Sie keine Einstellungen für die Rolle in Macie ein.

Wenn Sie ein eigenständiges Macie-Konto oder ein Macie-Mitgliedskonto haben und sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abrufen und offenlegen möchten, verwenden Sie zunächst den IAM Richtlinien-Editor, um die Berechtigungsrichtlinie für die Rolle zu erstellen. IAM Die Richtlinie sollte wie folgt lauten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

In der vorherigen Berechtigungsrichtlinie verwendet das Resource Element ein Platzhalterzeichen (*). Auf diese Weise kann eine angehängte IAM Entität Objekte aus allen S3-Buckets für Ihr Konto abrufen. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise den Zugriff nur auf Objekte in einem Bucket mit dem Namen zuzulassen amzn-s3-demo-bucket3, ändern Sie das Element in:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"

Weitere Informationen und Beispiele finden Sie unter IAMJSONRichtlinienelemente: Ressource in der AWS Identity and Access Management Benutzerleitfaden.

Nachdem Sie die Berechtigungsrichtlinie für die IAM Rolle erstellt haben, erstellen Sie die Rolle. Wenn Sie die Rolle mithilfe der IAM Konsole erstellen, wählen Sie Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen Entitätstyp für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Wo accountID ist die Konto-ID für Ihr AWS-Konto. Ersetzen Sie diesen Wert durch Ihre 12-stellige Konto-ID.

In der vorherigen Vertrauensrichtlinie:

  • Das Principal Element gibt den Dienstprinzipal an, den Macie beim Abrufen und Aufdecken sensibler Datenproben von betroffenen S3-Objekten verwendet,. reveal-samples.macie.amazonaws.com

  • Das Action Element spezifiziert die Aktion, die der Dienstprinzipal ausführen darf, die AssumeRoleOperation des AWS Security Token Service (AWS STS) API.

  • Das Condition Element definiert eine Bedingung, die den Kontextschlüssel aws: SourceAccount global condition verwendet. Diese Bedingung bestimmt, welches Konto die angegebene Aktion ausführen kann. Dadurch kann Macie die Rolle nur für das angegebene Konto übernehmen (accountID). Die Bedingung trägt dazu bei, dass Macie nicht als verwirrter Stellvertreter bei Geschäften mit AWS STS.

Nachdem Sie die Vertrauensrichtlinie für die IAM Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte ausIAM, um die Erstellung und Konfiguration der Rolle abzuschließen. Wenn Sie fertig sind, konfigurieren und aktivieren Sie die Einstellungen in Macie.

Betroffene S3-Objekte werden entschlüsselt

Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Für die meisten dieser Optionen sind keine zusätzlichen Ressourcen oder Berechtigungen erforderlich, damit ein IAM Benutzer oder eine Rolle sensible Datenproben von einem betroffenen Objekt entschlüsseln und abrufen kann. Dies ist der Fall bei einem Objekt, das mithilfe einer serverseitigen Verschlüsselung mit einem von Amazon S3 verwalteten Schlüssel oder einem AWS Verwaltet AWS KMS key.

Wenn jedoch ein S3-Objekt mit einem vom Kunden verwalteten verschlüsselt ist AWS KMS key, sind zusätzliche Berechtigungen erforderlich, um sensible Datenproben aus dem Objekt zu entschlüsseln und abzurufen. Genauer gesagt muss die Schlüsselrichtlinie für den KMS Schlüssel es dem IAM Benutzer oder der Rolle ermöglichen, die kms:Decrypt Aktion auszuführen. Andernfalls tritt ein Fehler auf und Amazon Macie ruft keine Proben aus dem Objekt ab. Informationen dazu, wie Sie einem IAM Benutzer diesen Zugriff gewähren, finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS in der AWS Key Management Service Leitfaden für Entwickler.

Wie dieser Zugriff für eine IAM Rolle bereitgestellt wird, hängt davon ab, ob das Konto, dem die AWS KMS key besitzt auch die Rolle:

  • Wenn der KMS Schlüssel und die Rolle demselben Konto gehören, muss ein Benutzer des Kontos die Richtlinie für den Schlüssel aktualisieren.

  • Wenn ein Konto der KMS Schlüssel und ein anderes Konto die Rolle besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontenübergreifenden Zugriff auf den Schlüssel gewähren.

In diesem Thema wird beschrieben, wie Sie diese Aufgaben für eine IAM Rolle ausführen, die Sie zum Abrufen sensibler Datenproben aus S3-Objekten erstellt haben. Es enthält auch Beispiele für beide Szenarien. Informationen zur Gewährung des Zugriffs auf vom Kunden verwaltete AWS KMS keys weitere Szenarien finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS in der AWS Key Management Service Leitfaden für Entwickler.

Erlauben Sie demselben Konto den Zugriff auf einen vom Kunden verwalteten Schlüssel

Wenn dasselbe Konto beide besitzt AWS KMS key und die IAM Rolle, ein Benutzer des Kontos muss der Richtlinie des Schlüssels eine Erklärung hinzufügen. Die zusätzliche Anweisung muss es der IAM Rolle ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln. Ausführliche Informationen zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Leitfaden für Entwickler.

In der Erklärung:

  • Das Principal Element muss den Amazon-Ressourcennamen (ARN) der IAM Rolle angeben.

  • Das Action Array muss die kms:Decrypt Aktion spezifizieren. Dies ist die einzige AWS KMS Aktion, die die IAM Rolle ausführen darf, um ein Objekt zu entschlüsseln, das mit dem Schlüssel verschlüsselt wurde.

Im Folgenden finden Sie ein Beispiel für die Anweisung, die der Richtlinie für einen KMS Schlüssel hinzugefügt werden soll. 

{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Für das obige Beispiel gilt:

  • Das AWS Feld im Principal Element gibt ARN die IAM Rolle im Konto an. Es ermöglicht der Rolle, die in der Richtlinienerklärung angegebene Aktion auszuführen. 123456789012 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto, dem die Rolle und der KMS Schlüssel gehören. IAMRoleName ist ein Beispielname. Ersetzen Sie diesen Wert durch den Namen der IAM Rolle im Konto.

  • Das Action Array gibt die Aktion an, die die IAM Rolle mithilfe des Schlüssels ausführen darf, d. h. den KMS Chiffretext entschlüsseln, der mit dem Schlüssel verschlüsselt ist.

Wo Sie diese Anweisung zu einer wichtigen Richtlinie hinzufügen, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn Sie die Anweisung hinzufügen, stellen Sie sicher, dass die Syntax gültig ist. Wichtige Richtlinien verwenden JSON das Format. Das bedeutet, dass Sie vor oder nach der Anweisung auch ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen.

Ermöglicht den kontoübergreifenden Zugriff auf einen vom Kunden verwalteten Schlüssel

Wenn ein Konto die besitzt AWS KMS key (Schlüsselinhaber) und ein anderes Konto besitzt die IAM Rolle (Rolleninhaber), muss der Schlüsselinhaber dem Rolleninhaber kontoübergreifenden Zugriff auf den Schlüssel gewähren. Eine Möglichkeit, dies zu tun, ist die Verwendung eines Zuschusses. Ein Zuschuss ist ein politisches Instrument, das es ermöglicht AWS Auftraggeber dürfen KMS Schlüssel für kryptografische Operationen verwenden, sofern die im Zuschuss festgelegten Bedingungen erfüllt sind. Weitere Informationen zu Zuschüssen finden Sie unter Zuschüsse in AWS KMS in der AWS Key Management Service Leitfaden für Entwickler.

Bei diesem Ansatz stellt der Schlüsselinhaber zunächst sicher, dass die Richtlinie des Schlüssels es dem Rolleninhaber ermöglicht, einen Zuschuss für den Schlüssel zu erstellen. Der Rolleninhaber erstellt dann einen Zuschuss für den Schlüssel. Durch die Gewährung werden die entsprechenden Berechtigungen an die IAM Rolle in ihrem Konto delegiert. Sie ermöglicht der Rolle, S3-Objekte zu entschlüsseln, die mit dem Schlüssel verschlüsselt wurden.

Schritt 1: Aktualisieren Sie die Schlüsselrichtlinie

In der Schlüsselrichtlinie sollte der Schlüsselinhaber sicherstellen, dass die Richtlinie eine Erklärung enthält, die es dem Rolleninhaber ermöglicht, einen Zuschuss für die IAM Rolle in seinem Konto (dem des Rolleninhabers) zu erstellen. In dieser Erklärung muss das Principal Element das Konto ARN des Rolleninhabers angeben. Das Action Array muss die kms:CreateGrant Aktion spezifizieren. Ein Condition Block kann den Zugriff auf die angegebene Aktion filtern. Im Folgenden finden Sie ein Beispiel für diese Anweisung in der Richtlinie für einen KMS Schlüssel.

{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}

Für das obige Beispiel gilt:

  • Das AWS Feld im Principal Element gibt das Konto ARN des Rollenbesitzers an. Es ermöglicht dem Konto, die in der Richtlinienerklärung angegebene Aktion auszuführen. 111122223333 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Rollenbesitzers.

  • Das Action Array gibt die Aktion an, die der Rolleninhaber mit dem KMS Schlüssel ausführen darf — eine Zuweisung für den Schlüssel erstellen.

  • Der Condition Block verwendet Bedingungsoperatoren und die folgenden Bedingungsschlüssel, um den Zugriff auf die Aktion zu filtern, die der Rolleninhaber mit dem KMS Schlüssel ausführen darf:

    • kms: GranteePrincipal — Diese Bedingung ermöglicht es dem Rolleninhaber, einen Grant nur für den angegebenen Principal ARN des Empfängers zu erstellen, d. h. für die IAM Rolle in seinem Konto. Darin ARN 111122223333 ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Rollenbesitzers. IAMRoleName ist ein Beispielname. Ersetzen Sie diesen Wert durch den Namen der IAM Rolle im Konto des Rollenbesitzers.

    • kms: GrantOperations — Diese Bedingung ermöglicht es dem Rolleninhaber, eine Genehmigung nur zu erstellen, um die Erlaubnis zur Ausführung von Aufgaben zu delegieren AWS KMS DecryptAktion (Chiffretext entschlüsseln, der mit dem Schlüssel verschlüsselt ist). Dadurch wird verhindert, dass der Rolleninhaber Grants erstellt, mit denen Berechtigungen zur Ausführung anderer Aktionen mit dem Schlüssel delegiert werden. KMS Die Decrypt Aktion ist die einzige AWS KMS Aktion, die die IAM Rolle ausführen darf, um ein Objekt zu entschlüsseln, das mit dem Schlüssel verschlüsselt wurde.

Wo der Schlüsselinhaber diese Aussage zur Schlüsselrichtlinie hinzufügt, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn der Schlüsselinhaber die Anweisung hinzufügt, sollte er sicherstellen, dass die Syntax gültig ist. Wichtige Richtlinien verwenden JSON das Format. Das bedeutet, dass der Schlüsselinhaber vor oder nach der Anweisung auch ein Komma hinzufügen muss, je nachdem, wo er die Anweisung zur Richtlinie hinzufügt. Ausführliche Informationen zur Aktualisierung einer wichtigen Richtlinie finden Sie unter Ändern einer wichtigen Richtlinie in der AWS Key Management Service Leitfaden für Entwickler.

Schritt 2: Einen Zuschuss erstellen

Nachdem der Schlüsselinhaber die Schlüsselrichtlinie nach Bedarf aktualisiert hat, erstellt der Rolleninhaber einen Grant für den Schlüssel. Durch die Gewährung werden die entsprechenden Berechtigungen an die IAM Rolle in ihrem Konto (dem des Rollenbesitzers) delegiert. Bevor der Rolleninhaber den Zuschuss erstellt, sollte er überprüfen, ob er die kms:CreateGrant Aktion ausführen darf. Diese Aktion ermöglicht es ihnen, einem bestehenden, vom Kunden verwalteten Betrag einen Zuschuss hinzuzufügen AWS KMS key.

Um den Zuschuss zu erstellen, kann der Rolleninhaber den CreateGrantVorgang des AWS Key Management Service API. Wenn der Rolleninhaber den Grant erstellt, sollte er die folgenden Werte für die erforderlichen Parameter angeben:

  • KeyId— Der ARN des KMS Schlüssels. Für den kontenübergreifenden Zugriff auf einen KMS Schlüssel muss dieser Wert ein ARN sein. Es kann keine Schlüssel-ID sein.

  • GranteePrincipal— Die ARN IAM Rolle in ihrem Konto. Dieser Wert sollte seinarn:aws:iam::111122223333:role/IAMRoleName, wo 111122223333 ist die Konto-ID für das Konto des Rollenbesitzers und IAMRoleName ist der Name der Rolle.

  • Operations— Die AWS KMS Aktion entschlüsseln (Decrypt). Das ist das einzige AWS KMS Aktion, die die IAM Rolle ausführen darf, um ein Objekt zu entschlüsseln, das mit dem KMS Schlüssel verschlüsselt wurde.

Wenn der Rolleninhaber das verwendet AWS Command Line Interface (AWS CLI), können sie den Befehl create-grant ausführen, um den Grant zu erstellen. Im folgenden Beispiel wird gezeigt, wie dies geschieht. Das Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"

Wobei gilt:

  • key-idgibt den KMS Schlüssel an, ARN für den der Zuschuss beantragt werden soll.

  • grantee-principalgibt die IAM Rolle ARN an, die die im Zuschuss angegebene Aktion ausführen darf. Dieser Wert sollte dem Wert entsprechen, der in der kms:GranteePrincipal Bedingung in der Schlüsselrichtlinie ARN angegeben ist.

  • operationsgibt die Aktion an, die der angegebene Prinzipal aufgrund des Grants ausführen kann — das Entschlüsseln von Chiffretext, der mit dem Schlüssel verschlüsselt ist.

Wird der Befehl erfolgreich ausgeführt, erhalten Sie eine Ausgabe ähnlich der folgenden:

{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Dabei GrantToken handelt es sich um eine eindeutige, nicht geheime, Base64-kodierte Zeichenfolge mit variabler Länge, die den Grant darstellt, der erstellt wurde, und der eindeutige Bezeichner für den Grant ist. GrantId