Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS globale Bedingungsschlüssel
AWS definiert [globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys), eine Reihe von Schlüsseln für Richtlinienbedingungen für alle AWS Dienste, die IAM für die Zugriffskontrolle verwenden. AWS KMS unterstützt alle globalen Bedingungsschlüssel. Sie können sie in AWS KMS wichtigen Richtlinien und IAM-Richtlinien verwenden.
Sie können beispielsweise den PrincipalArn globalen Bedingungsschlüssel [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) verwenden, um den Zugriff auf einen AWS KMS key (KMS-Schlüssel) nur dann zuzulassen, wenn der Principal in der Anfrage durch den Amazon-Ressourcennamen (ARN) im Bedingungsschlüsselwert repräsentiert wird. Um die [attributebasierte Zugriffskontrolle](abac.md) (ABAC) in zu unterstützen AWS KMS, können Sie den globalen Bedingungsschlüssel [aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) in einer IAM-Richtlinie verwenden, um den Zugriff auf KMS-Schlüssel mit einem bestimmten Tag zu ermöglichen.
Um zu verhindern, dass ein AWS Dienst in einer Richtlinie, in der der Principal ein [AWS Dienstprinzipal ist, als verwirrter Stellvertreter verwendet wird, können Sie die globalen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) Bedingungsschlüssel oder verwenden. [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) Details hierzu finden Sie unter [Verwenden der Bedingungsschlüssel `aws:SourceArn` oder `aws:SourceAccount`](least-privilege.md#least-privilege-source-arn).
Informationen zu AWS globalen Bedingungsschlüsseln, einschließlich der Anforderungstypen, in denen sie verfügbar sind, finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Beispiele für die Verwendung globaler Bedingungsschlüssel in IAM-Richtlinien finden Sie unter [Steuern des Zugriffs auf Anforderungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests) und [Steuern von Tag-Schlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) im *IAM-Benutzerhandbuch*.
Die folgenden Themen bieten spezielle Anleitungen für die Verwendung von Bedingungsschlüsseln basierend auf IP-Adressen und VPC-Endpunkten.
**Topics**
+ [Verwendung der IP-Adressbedingung in Richtlinien mit Berechtigungen AWS KMS](#conditions-aws-ip-address)
+ [Verwendung von VPC-Endpunktbedingungen in Richtlinien mit Berechtigungen AWS KMS](#conditions-aws-vpce)
+ [Verwendung von IPv6 Adressen in IAM und in wichtigen Richtlinien AWS KMS](#KMS-IPv6-policies)
## Verwendung der IP-Adressbedingung in Richtlinien mit Berechtigungen AWS KMS
Sie können AWS KMS es verwenden, um Ihre Daten in einem [integrierten AWS Dienst](service-integration.md) zu schützen. Seien Sie jedoch vorsichtig, wenn Sie die [Operatoren für die `aws:SourceIp` IP-Adressbedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) oder den Bedingungsschlüssel in derselben Richtlinienerklärung angeben, die den Zugriff AWS KMS gewährt oder verweigert. Beispielsweise beschränkt die Richtlinie in [AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html) AWS Aktionen auf Anfragen aus dem angegebenen IP-Bereich.
Betrachten Sie folgendes Szenario:
1. Sie fügen einer IAM-Identität eine Richtlinie wie die folgende hinzu [AWS: Verweigert den Zugriff auf AWS Basierend auf der Quell-IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html). Sie legen als Wert für den `aws:SourceIp`-Bedingungsschlüssel den IP-Adressbereich für das Unternehmen des Benutzers fest. Dieser IAM-Identität wurden andere Richtlinien angefügt, die es ihr erlauben, Amazon EBS, Amazon EC2 und AWS KMS zu verwenden.
1. Die Identität versucht, ein verschlüsseltes EBS-Volume an eine EC2-Instance anzufügen. Diese Aktion schlägt aufgrund eines Autorisierungsfehlers fehl, obwohl der Benutzer zur Verwendung aller relevanten Services berechtigt ist.
Schritt 2 schlägt fehl, weil die Anfrage AWS KMS zur Entschlüsselung des verschlüsselten Datenschlüssels des Volumes von einer IP-Adresse stammt, die mit der Amazon EC2 EC2-Infrastruktur verknüpft ist. Dieser Schritt wird nur erfolgreich durchgeführt, wenn die Anforderung von der IP-Adresse des ursprünglichen Benutzers stammt. Da die Richtlinie in Schritt 1 explizit alle Anforderungen von anderen als den angegebenen IP-Adressen ablehnt, wird die Berechtigung für Amazon EC2 zum Entschlüsseln des verschlüsselten Datenschlüssels des EBS-Datenträgers abgelehnt.
Weiterhin ist der Bedingungsschlüssel `aws:SourceIP` nicht wirksam, wenn die Anforderung von einem [Amazon-VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) kommt. Um Anforderungen an einen VPC-Endpunkt, einschließlich eines [AWS KMS -VPC-Endpunkts](kms-vpc-endpoint.md) zu beschränken, verwenden Sie die `aws:SourceVpce`- oder `aws:SourceVpc`-Bedingungsschlüssel. Weitere Informationen finden Sie unter [VPC-Endpunkte – Steuern der Nutzung von Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html#vpc-endpoints-iam-access) im *Amazon VPC-Benutzerhandbuch*.
## Verwendung von VPC-Endpunktbedingungen in Richtlinien mit Berechtigungen AWS KMS
[AWS KMS unterstützt Amazon Virtual Private Cloud (Amazon VPC) -Endpunkte](kms-vpc-endpoint.md), die von betrieben werden. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink) Sie können die folgenden [globalen Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) in wichtigen Richtlinien und IAM-Richtlinien verwenden, um den Zugriff auf AWS KMS Ressourcen zu steuern, wenn die Anfrage von einer VPC kommt oder einen VPC-Endpunkt verwendet. Details hierzu finden Sie unter [Verwenden Sie VPC-Endpunkte, um den Zugriff auf Ressourcen zu kontrollieren AWS KMS](vpce-policy-condition.md).
+ `aws:SourceVpc` beschränkt den Zugriff auf Anforderungen von der angegebenen VPC.
+ `aws:SourceVpce` beschränkt den Zugriff auf Anforderungen vom angegebenen VPC-Endpunkt.
Wenn Sie diese Bedingungsschlüssel verwenden, um den Zugriff auf KMS-Schlüssel zu steuern, verweigern Sie möglicherweise versehentlich den Zugriff auf AWS Dienste, die in Ihrem Namen verwendet werden. AWS KMS
Seien Sie sorgsam darum bemüht, eine Situation wie das [IP-Adressen-Bedingungsschlüssel](#conditions-aws-ip-address) Beispiel zu vermeiden. Wenn Sie Anfragen für einen KMS-Schlüssel auf einen VPC- oder VPC-Endpunkt beschränken, schlagen Aufrufe AWS KMS von einem integrierten Service wie Amazon S3 oder Amazon EBS möglicherweise fehl. Dies kann auch dann vorkommen, wenn die Quell-Anforderung letztendlich von der VPC oder dem VPC-Endpunkt stammt.
## Verwendung von IPv6 Adressen in IAM und in wichtigen Richtlinien AWS KMS
Stellen Sie vor dem Zugriff sicher IPv6, AWS KMS dass alle Schlüssel- und IAM-Richtlinien, die IP-Adressbeschränkungen enthalten, so aktualisiert wurden, dass sie auch IPv6 Adressbereiche enthalten. IP-basierte Richtlinien, die nicht für den Umgang mit IPv6 Adressen aktualisiert wurden, können dazu führen, dass Clients fälschlicherweise Zugriff verlieren oder erhalten, wenn sie sie verwenden IPv6. Allgemeine Hinweise zu KMS-Zugriffskontrollen finden Sie unter[KMS-Schlüsselzugriff und -berechtigungen](control-access.md). Weitere Informationen zur KMS- und Dual-Stack-Unterstützung finden Sie unter[Unterstützung für Dual-Stack-Endpunkte](ipv6-kms.md).
**Wichtig**
Diese Anweisungen lassen keine Aktionen zu. Verwenden Sie diese Anweisungen in Kombination mit anderen Anweisungen, die bestimmte Aktionen zulassen.
Die folgende Anweisung verweigert ausdrücklich den Zugriff auf alle KMS-Berechtigungen für Anfragen, die aus dem `192.0.2.*` IPv4 Adressbereich stammen. Allen IP-Adressen außerhalb dieses Bereichs werden KMS-Berechtigungen nicht ausdrücklich verweigert. Da sich alle IPv6 Adressen außerhalb des verweigerten Bereichs befinden, verweigert diese Anweisung nicht ausdrücklich KMS-Berechtigungen für IPv6 Adressen.
```
{
"Sid": "DenyKMSPermissions",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
}
}
```
Sie können das `Condition` Element so ändern, dass sowohl IPv4 (`192.0.2.0/24`) als auch IPv6 (`2001:db8:1234::/32`) Adressbereiche verweigert werden, wie im folgenden Beispiel gezeigt.
```
{
"Sid": "DenyKMSPermissions",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"2001:db8:1234::/32"
]
}
}
}
```