Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erforderliche KMS-Schlüsselrichtlinie für die Verwendung mit verschlüsselten EBS-Volumes auf PCS AWS
AWS PCS verwendet dienstbezogene Rollen, um Berechtigungen an andere zu delegieren. AWS-Services Die dienstgebundene AWS PCS-Rolle ist vordefiniert und umfasst Berechtigungen, die AWS PCS benötigt, um andere AWS-Services in Ihrem Namen anzurufen. Die vordefinierten Berechtigungen umfassen auch den Zugriff auf Ihre, Von AWS verwaltete Schlüssel aber nicht auf Ihre vom Kunden verwalteten Schlüssel.
In diesem Thema wird beschrieben, wie Sie die Schlüsselrichtlinie einrichten, die zum Starten von Instances erforderlich ist, wenn Sie einen vom Kunden verwalteten Schlüssel für die Amazon EBS-Verschlüsselung angeben.
Anmerkung
AWS PCS benötigt keine zusätzliche Autorisierung, um die Standardeinstellung Von AWS verwalteter Schlüssel zum Schutz der verschlüsselten Volumes in Ihrem Konto zu verwenden.
Inhalt
Übersicht
Sie können Folgendes AWS KMS keys für die Amazon EBS-Verschlüsselung verwenden, wenn AWS PCS Instances startet:
-
Von AWS verwalteter Schlüssel— Ein Verschlüsselungsschlüssel in Ihrem Konto, das Amazon EBS erstellt, besitzt und verwaltet. Dies ist der Standardverschlüsselungsschlüssel für ein neues Konto. Amazon EBS verwendet den Von AWS verwalteter Schlüssel für die Verschlüsselung, sofern Sie keinen vom Kunden verwalteten Schlüssel angeben.
-
Vom Kunden verwalteter Schlüssel — Ein benutzerdefinierter Verschlüsselungsschlüssel, den Sie erstellen, besitzen und verwalten. Weitere Informationen finden Sie unter Erstellen eines KMS-Schlüssels im AWS Key Management Service Entwicklerhandbuch.
Anmerkung
Der Schlüssel muss symmetrisch sein. Amazon EBS unterstützt keine asymmetrischen, vom Kunden verwalteten Schlüssel.
Sie konfigurieren vom Kunden verwaltete Schlüssel, wenn Sie verschlüsselte Snapshots oder eine Startvorlage erstellen, die verschlüsselte Volumes spezifiziert, oder wenn Sie die Verschlüsselung standardmäßig aktivieren.
Konfigurieren von Schlüsselrichtlinien
Ihre KMS-Schlüssel müssen über eine Schlüsselrichtlinie verfügen, die es AWS PCS ermöglicht, Instances mit Amazon EBS-Volumes zu starten, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind.
Verwenden Sie die Beispiele auf dieser Seite, um eine Schlüsselrichtlinie zu konfigurieren, die AWS PCS Zugriff auf Ihren vom Kunden verwalteten Schlüssel gewährt. Sie können die Schlüsselrichtlinie des vom Kunden verwalteten Schlüssels bei der Erstellung des Schlüssels oder zu einem späteren Zeitpunkt ändern.
Die Schlüsselrichtlinie muss die folgenden Aussagen enthalten:
-
Eine Anweisung, die es der im
PrincipalElement angegebenen IAM-Identität ermöglicht, den vom Kunden verwalteten Schlüssel direkt zu verwenden. Sie umfasst Berechtigungen zur Ausführung der AWS KMSEncrypt,,DecryptReEncrypt*GenerateDataKey*, undDescribeKey-Operationen mit dem Schlüssel. -
Eine Anweisung, die es der im
PrincipalElement angegebenen IAM-Identität ermöglicht, denCreateGrantVorgang zur Generierung von Zuschüssen zu verwenden, die eine Teilmenge ihrer eigenen Berechtigungen an Personen delegieren AWS-Services , die in AWS KMS oder einen anderen Principal integriert sind. Auf diese Weise können sie den Schlüssel verwenden, um in Ihrem Namen verschlüsselte Ressourcen zu erstellen.
Ändern Sie keine vorhandenen Aussagen in der Richtlinie, wenn Sie die neuen Richtlinienerklärungen zu Ihrer wichtigsten Richtlinie hinzufügen.
Weitere Informationen finden Sie unter:
-
create-key in der Befehlsreferenz AWS CLI
-
put-key-policy in der AWS CLI Befehlsreferenz
-
Finden Sie die Schlüssel-ID und den Schlüssel-ARN im AWS Key Management Service Entwicklerhandbuch
-
Amazon EBS-Verschlüsselung im Amazon EBS-Benutzerhandbuch
-
AWS Key Management Serviceim Entwicklerhandbuch AWS Key Management Service
Beispiel 1: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel erlauben
Fügen Sie der Schlüsselrichtlinie des vom Kunden verwalteten Schlüssels die folgenden Richtlinienerklärungen hinzu. Ersetzen Sie den Beispiel-ARN durch den ARN Ihrer AWSServiceRoleForPCS serviceverknüpften Rolle. Diese Beispielrichtlinie erteilt der serviceverknüpften Rolle (AWSServiceRoleForPCS) von AWS PCS die Berechtigung, den vom Kunden verwalteten Schlüssel zu verwenden.
{ "Sid": "Allow service-linked role use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }
Beispiel 2: Schlüsselrichtlinienabschnitte, welche Zugriff auf den kundenverwalteten Schlüssel über mehrere Konten erlauben
Wenn Sie einen vom Kunden verwalteten Schlüssel in einem anderen Konto als Ihrem AWS PCS-Cluster erstellen, müssen Sie einen Grant in Kombination mit der Schlüsselrichtlinie verwenden, um kontoübergreifenden Zugriff auf den Schlüssel zu ermöglichen.
Um Zugriff auf den Schlüssel zu gewähren
-
Fügen Sie der Schlüsselrichtlinie des vom Kunden verwalteten Schlüssels die folgenden Richtlinienerklärungen hinzu. Ersetzen Sie den Beispiel-ARN durch den ARN des anderen Kontos.
111122223333Ersetzen Sie es durch die tatsächliche Konto-ID des Kontos AWS-Konto , in dem Sie den AWS PCS-Cluster erstellen möchten. Damit können Sie einem IAM-Benutzer oder einer IAM-Rolle im angegebenen Konto die Berechtigung erteilen, mit dem folgenden CLI-Befehl eine Berechtigung für den Schlüssel zu erstellen. Standardmäßig haben Benutzer keinen Zugriff auf den Schlüssel.{. "Sid": "Allow external account111122223333use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }{ "Sid": "Allow attachment of persistent resources in external account111122223333", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*" } -
Erstellen Sie von dem Konto aus, in dem Sie den AWS PCS-Cluster erstellen möchten, einen Zuschuss, der die entsprechenden Berechtigungen an die mit dem AWS PCS-Dienst verknüpfte Rolle delegiert. Der Wert von
grantee-principalist der ARN der serviceverknüpften Rolle. Der Wert vonkey-idist der ARN des Schlüssels.Das folgende Beispiel für den CLI-Befehl create-grant erteilt der im Konto genannten serviceverknüpften Rolle die
111122223333Berechtigungen, den vom Kunden verwalteten SchlüsselAWSServiceRoleForPCSim Konto zu verwenden.444455556666aws kms create-grant \ --regionus-west-2\ --key-idarn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d\ --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"Anmerkung
Der Benutzer, der die Anfrage stellt, muss über die erforderlichen Berechtigungen verfügen, um die Aktion verwenden zu können.
kms:CreateGrantDas folgende Beispiel für eine IAM-Richtlinie ermöglicht es einer IAM-Identität (Benutzer oder Rolle) in einem Konto, einen Zuschuss für das vom Kunden verwaltete Key-in-Konto
111122223333zu erstellen.444455556666Weitere Informationen über die Erstellung eines Zuschusses für einen KMS-Schlüssel in einem anderen AWS-Konto, finden Sie unter Berechtigungserteilungen in AWS KMS im AWS Key Management Service -Entwicklerhandbuch.
Wichtig
Der Name der serviceverknüpften Rolle, der als Prinzipal des Empfängers angegeben wird, muss der Name einer vorhandenen Rolle sein. Um sicherzustellen, dass der Zuschuss AWS PCS die Verwendung des angegebenen KMS-Schlüssels ermöglicht, sollten Sie die serviceverknüpfte Rolle nicht löschen und neu erstellen, nachdem Sie den Zuschuss erstellt haben.
Bearbeiten von Schlüsselrichtlinien in der AWS KMS -Konsole
Die Beispiele in den vorherigen Abschnitten zeigen nur, wie einer Schlüsselrichtlinie Anweisungen hinzugefügt werden, was nur eine Möglichkeit darstellt, eine Schlüsselrichtlinie zu ändern. Die einfachste Möglichkeit, eine Schlüsselrichtlinie zu ändern, besteht darin, die Standardansicht der AWS KMS Konsole für wichtige Richtlinien zu verwenden und eine IAM-Identität (Benutzer oder Rolle) zu einem der Hauptbenutzer für die entsprechende Schlüsselrichtlinie zu machen. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Verwenden der AWS Management Console Standardansicht.
Warnung
Die Standardansichtsrichtlinien der Konsole beinhalten Berechtigungen zur Ausführung von AWS KMS Revoke Vorgängen mit dem vom Kunden verwalteten Schlüssel. Wenn Sie eine Genehmigung widerrufen, mit der AWS-Konto Zugriff auf einen vom Kunden verwalteten Schlüssel in Ihrem Konto gewährt wurde, AWS-Konto verlieren die Benutzer in diesem Konto den Zugriff auf die verschlüsselten Daten und den Schlüssel.
