Verwenden der IP-Adressbedingung Verwendung von VPC- und VPC-Endpunkt-Bedingungen Verwendung von IPv6 Adressen in IAM- und KMS-Schlüsselrichtlinien

AWS globale Bedingungsschlüssel

AWS definiert globale Bedingungsschlüssel, eine Reihe von Schlüsseln für Richtlinienbedingungen für alle AWS Dienste, die IAM für die Zugriffskontrolle verwenden. AWS KMS unterstützt alle globalen Bedingungsschlüssel. Sie können sie in AWS KMS wichtigen Richtlinien und IAM-Richtlinien verwenden.

Sie können beispielsweise den PrincipalArn globalen Bedingungsschlüssel aws: verwenden, um den Zugriff auf einen AWS KMS key (KMS-Schlüssel) nur dann zuzulassen, wenn der Principal in der Anfrage durch den Amazon-Ressourcennamen (ARN) im Bedingungsschlüsselwert repräsentiert wird. Um die attributebasierte Zugriffskontrolle (ABAC) in zu unterstützen AWS KMS, können Sie den globalen Bedingungsschlüssel aws:ResourceTag/tag-key in einer IAM-Richtlinie verwenden, um den Zugriff auf KMS-Schlüssel mit einem bestimmten Tag zu ermöglichen.

Um zu verhindern, dass ein AWS Dienst in einer Richtlinie, in der der Principal ein AWS Dienstprinzipal ist, als verwirrter Stellvertreter verwendet wird, können Sie die globalen Bedingungsschlüssel oder verwenden. aws:SourceArn aws:SourceAccount Details hierzu finden Sie unter Verwenden der Bedingungsschlüssel aws:SourceArn oder aws:SourceAccount.

Informationen zu AWS globalen Bedingungsschlüsseln, einschließlich der Arten von Anfragen, in denen sie verfügbar sind, finden Sie unter AWS Globale Bedingungskontextschlüssel im IAM-Benutzerhandbuch. Beispiele für die Verwendung globaler Bedingungsschlüssel in IAM-Richtlinien finden Sie unter Steuern des Zugriffs auf Anforderungen und Steuern von Tag-Schlüsseln im IAM-Benutzerhandbuch.

Die folgenden Themen bieten spezielle Anleitungen für die Verwendung von Bedingungsschlüsseln basierend auf IP-Adressen und VPC-Endpunkten.

Themen

Verwenden der IP-Adressbedingung in Richtlinien mit AWS KMS -Berechtigungen
Verwenden von VPC-Endpunkt-Bedingungen in Richtlinien mit AWS KMS -Berechtigungen
Verwendung von IPv6 Adressen in IAM- und KMS-Schlüsselrichtlinien

Verwenden der IP-Adressbedingung in Richtlinien mit AWS KMS -Berechtigungen

Sie können AWS KMS es verwenden, um Ihre Daten in einem integrierten AWS Service zu schützen. Seien Sie jedoch vorsichtig, wenn Sie die Operatoren für die aws:SourceIp IP-Adressbedingung oder den Bedingungsschlüssel in derselben Richtlinienerklärung angeben, die den Zugriff AWS KMS gewährt oder verweigert. Beispielsweise beschränkt die Richtlinie in AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP AWS Aktionen auf Anfragen aus dem angegebenen IP-Bereich.

Betrachten Sie folgendes Szenario:

Sie fügen einer IAM-Identität eine Richtlinie wie die unter AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP gezeigte Richtlinie an. Sie legen als Wert für den aws:SourceIp-Bedingungsschlüssel den IP-Adressbereich für das Unternehmen des Benutzers fest. An diese IAM-Identität sind weitere Richtlinien angehängt, die es ihr ermöglichen, Amazon EBS EC2, Amazon und zu verwenden. AWS KMS
Die Identität versucht, ein verschlüsseltes EBS-Volume an eine Instance anzuhängen. EC2 Diese Aktion schlägt aufgrund eines Autorisierungsfehlers fehl, obwohl der Benutzer zur Verwendung aller relevanten Services berechtigt ist.

Schritt 2 schlägt fehl, weil die Anfrage AWS KMS zur Entschlüsselung des verschlüsselten Datenschlüssels des Volumes von einer IP-Adresse stammt, die mit der EC2 Amazon-Infrastruktur verknüpft ist. Dieser Schritt wird nur erfolgreich durchgeführt, wenn die Anforderung von der IP-Adresse des ursprünglichen Benutzers stammt. Da die Richtlinie in Schritt 1 ausdrücklich alle Anfragen von anderen als den angegebenen IP-Adressen ablehnt, EC2 wird Amazon die Erlaubnis verweigert, den verschlüsselten Datenschlüssel des EBS-Volumes zu entschlüsseln.

Weiterhin ist der Bedingungsschlüssel aws:SourceIP nicht wirksam, wenn die Anforderung von einem Amazon-VPC-Endpunkt kommt. Um Anforderungen an einen VPC-Endpunkt, einschließlich eines AWS KMS -VPC-Endpunkts zu beschränken, verwenden Sie die aws:SourceVpce- oder aws:SourceVpc-Bedingungsschlüssel. Weitere Informationen finden Sie unter VPC-Endpunkte – Steuern der Nutzung von Endpunkten im Amazon VPC-Benutzerhandbuch.

Verwenden von VPC-Endpunkt-Bedingungen in Richtlinien mit AWS KMS -Berechtigungen

AWS KMS unterstützt Amazon Virtual Private Cloud (Amazon VPC) -Endpunkte, die von betrieben werden. AWS PrivateLink Sie können die folgenden globalen Bedingungsschlüssel in wichtigen Richtlinien und IAM-Richtlinien verwenden, um den Zugriff auf AWS KMS Ressourcen zu steuern, wenn die Anfrage von einer VPC kommt oder einen VPC-Endpunkt verwendet. Details hierzu finden Sie unter Verwenden Sie VPC-Endpunkte, um den Zugriff auf Ressourcen zu kontrollieren AWS KMS.

aws:SourceVpc beschränkt den Zugriff auf Anforderungen von der angegebenen VPC.
aws:SourceVpce beschränkt den Zugriff auf Anforderungen vom angegebenen VPC-Endpunkt.

Wenn Sie diese Bedingungsschlüssel verwenden, um den Zugriff auf KMS-Schlüssel zu steuern, verweigern Sie möglicherweise versehentlich den Zugriff auf AWS Dienste, die in Ihrem Namen verwendet werden. AWS KMS

Seien Sie sorgsam darum bemüht, eine Situation wie das IP-Adressen-Bedingungsschlüssel Beispiel zu vermeiden. Wenn Sie Anfragen für einen KMS-Schlüssel auf einen VPC- oder VPC-Endpunkt beschränken, schlagen Aufrufe AWS KMS von einem integrierten Service wie Amazon S3 oder Amazon EBS möglicherweise fehl. Dies kann auch dann vorkommen, wenn die Quell-Anforderung letztendlich von der VPC oder dem VPC-Endpunkt stammt.

Verwendung von IPv6 Adressen in IAM- und KMS-Schlüsselrichtlinien

Bevor Sie versuchen IPv6, über KMS auf KMS zuzugreifen, stellen Sie sicher, dass alle Schlüssel- und IAM-Richtlinien, die IP-Adressbeschränkungen enthalten, aktualisiert wurden, sodass sie auch IPv6 Adressbereiche enthalten. IP-basierte Richtlinien, die nicht für den Umgang mit IPv6 Adressen aktualisiert wurden, können dazu führen, dass Clients fälschlicherweise Zugriff verlieren oder erhalten, wenn sie sie verwenden IPv6. Allgemeine Hinweise zu KMS-Zugriffskontrollen finden Sie unterKMS-Schlüsselzugriff und -berechtigungen. Weitere Informationen zur KMS- und Dual-Stack-Unterstützung finden Sie unterUnterstützung für Dual-Stack-Endgeräte.

Wichtig

Diese Anweisungen lassen keine Aktionen zu. Verwenden Sie diese Anweisungen in Kombination mit anderen Anweisungen, die bestimmte Aktionen zulassen.

Die folgende Anweisung verweigert ausdrücklich den Zugriff auf alle KMS-Berechtigungen für Anfragen, die aus dem 192.0.2.* IPv4 Adressbereich stammen. Allen IP-Adressen außerhalb dieses Bereichs werden KMS-Berechtigungen nicht ausdrücklich verweigert. Da sich alle IPv6 Adressen außerhalb des verweigerten Bereichs befinden, verweigert diese Anweisung nicht ausdrücklich KMS-Berechtigungen für IPv6 Adressen.


{
     "Sid": "DenyKMSPermissions",
     "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24"
            ]
        }
    }
}

Sie können das Condition Element so ändern, dass sowohl IPv4 (192.0.2.0/24) als auch IPv6 (2001:db8:1234::/32) Adressbereiche verweigert werden, wie im folgenden Beispiel gezeigt.


{
    "Sid": "DenyKMSPermissions",
    "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24",
                "2001:db8:1234::/32"
            ]
        }
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bedingungsschlüssel

AWS KMS Bedingungsschlüssel