Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene
Verwenden Sie erweiterte Richtlinienerklärungen für KMS-Schlüssel, um detailliertere Zugriffskontrollen für Ihren vom Kunden verwalteten KMS-Schlüssel zu implementieren. Diese Richtlinien bauen auf dem auf, Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen indem sie Verschlüsselungskontextbedingungen und dienstspezifische Einschränkungen hinzufügen. Bevor Sie entscheiden, ob Sie erweiterte KMS-Schlüsselrichtlinienerklärungen verwenden möchten, sollten Sie sich mit den entsprechenden Überlegungen vertraut machen.
Verwenden Sie den Verschlüsselungskontext, um den Zugriff einzuschränken
Sie können die Verwendung von KMS-Schlüsseln auf eine bestimmte IAM Identity Center-Instanz beschränken, indem Sie in Ihren wichtigsten Richtlinienerklärungen eine Bedingung für den Verschlüsselungskontext angeben. In den grundlegenden wichtigen Richtlinienaussagen ist dieser Kontext bereits mit einem generischen Wert enthalten. Ersetzen Sie den Platzhalter „*“ durch einen bestimmten Identity Center-Instanz-ARN und einen Identity Store-ARN, um sicherzustellen, dass der Schlüssel nur mit Ihrer beabsichtigten Instanz funktioniert. Sie können der IAM-Richtlinie, die für die kontoübergreifende Verwendung des KMS-Schlüssels konfiguriert ist, auch dieselben Bedingungen für den Verschlüsselungskontext hinzufügen.
Identity Center
"StringEquals": { "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }
Identity Store
"StringEquals": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }
Wenn Sie Hilfe bei der Suche nach diesen Identifikatoren benötigen, finden Sie weitere Informationen unter. Finden Sie die erforderlichen Kennungen
Anmerkung
Sie können einen vom Kunden verwalteten KMS-Schlüssel nur mit einer Organisationsinstanz von IAM Identity Center verwenden. Der vom Kunden verwaltete Schlüssel muss sich im Verwaltungskonto der AWS Organisation befinden. Dadurch wird sichergestellt, dass der Schlüssel mit einer einzelnen IAM Identity Center-Instanz verwendet wird. Der Verschlüsselungskontextmechanismus bietet jedoch einen unabhängigen technischen Schutz für die Verwendung einer einzelnen Instanz. Sie können den aws:SourceArn Bedingungsschlüssel auch in den KMS-Schlüsselrichtlinienerklärungen verwenden, die für die Identity Center- und Identity Store-Dienstprinzipale vorgesehen sind.
Überlegungen zur Implementierung von Verschlüsselungskontextbedingungen
Bevor Sie die Bedingungen für den Verschlüsselungskontext implementieren, sollten Sie die folgenden Anforderungen überprüfen:
-
DescribeKey Aktion. Der Verschlüsselungskontext kann nicht auf die Aktion „kms:DescribeKey“ angewendet werden, die von IAM Identity Center-Administratoren verwendet werden kann. Schließen Sie bei der Konfiguration Ihrer KMS-Schlüsselrichtlinie den Verschlüsselungskontext für diese spezielle Aktion aus, um den ordnungsgemäßen Betrieb Ihrer IAM Identity Center-Instanz sicherzustellen.
-
Einrichtung einer neuen Instanz. Wenn Sie eine neue IAM Identity Center-Instanz mit einem vom Kunden verwalteten KMS-Schlüssel aktivieren, finden Sie weitere Informationen unterÜberlegungen zu vom Kunden verwalteten KMS-Schlüsseln und erweiterten KMS-Schlüsselrichtlinien.
-
Änderungen der Identitätsquelle. Wenn Sie Ihre Identitätsquelle zu oder von Active Directory ändern, muss dem Verschlüsselungskontext besondere Aufmerksamkeit geschenkt werden. Siehe Überlegungen zur Änderung Ihrer Identitätsquelle.
Richtlinienvorlagen
Wählen Sie je nach Ihren Sicherheitsanforderungen aus diesen erweiterten Richtlinienvorlagen. Sorgen Sie für ein ausgewogenes Verhältnis zwischen detaillierten Zugriffskontrollen und dem damit verbundenen Verwaltungsaufwand.
Themen, die hier behandelt werden:
-
KMS-Richtlinienanweisungen für die schreibgeschützte Verwendung einer bestimmten IAM Identity Center-Instanz. In diesem Abschnitt wird die Verwendung des Verschlüsselungskontextes für den schreibgeschützten Zugriff auf IAM Identity Center demonstriert.
-
Die wichtigsten KMS-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen wurden verfeinert AWS. In diesem Abschnitt wird gezeigt, wie Sie die KMS-Schlüsselrichtlinien für AWS verwaltete Anwendungen mithilfe des Verschlüsselungskontextes und der Anwendungsinformationen wie dem Anwendungsdienstprinzipal, dem Anwendungs-ARN und der AWS Konto-ID verfeinern können.
KMS-Richtlinienanweisungen für die schreibgeschützte Verwendung einer bestimmten IAM Identity Center-Instanz
Diese Richtlinie ermöglicht es Sicherheitsprüfern und anderen Mitarbeitern, die nur Lesezugriff auf IAM Identity Center benötigen, den KMS-Schlüssel zu verwenden.
So verwenden Sie diese Richtlinie:
Ersetzen Sie das Beispiel für schreibgeschützte Administrator-IAM-Prinzipale durch Ihre tatsächlichen Administrator-IAM-Prinzipale
Ersetzen Sie den Beispiel-ARN für eine IAM Identity Center-Instanz durch Ihren tatsächlichen Instanz-ARN
Ersetzen Sie den Beispiel-Identity Store-ARN durch Ihren tatsächlichen Identity Store-ARN
Wenn Sie delegierte Administration verwenden, finden Sie weitere Informationen unter Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels
Wenn Sie Hilfe bei der Suche nach den Werten dieser Bezeichner benötigen, finden Sie unter. Finden Sie die erforderlichen Kennungen
Nachdem Sie die Vorlage mit Ihren Werten aktualisiert haben, kehren Sie zu zurück, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um bei Bedarf weitere wichtige KMS-Richtlinienerklärungen vorzubereiten.
Die Aktion kms: Entschlüsseln allein schränkt den Zugriff nicht auf schreibgeschützte Operationen ein. Die IAM-Richtlinie muss den schreibgeschützten Zugriff auf den IAM Identity Center-Dienst erzwingen. APIs
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadOnlyAccessToIdentityCenterAPI", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyAdminRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowReadOnlyAccessToIdentityStoreAPI", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyAdminRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" } } } ] }
Die wichtigsten KMS-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen wurden verfeinert AWS
Diese Richtlinienvorlagen bieten eine detailliertere Kontrolle darüber, welche AWS verwalteten Anwendungen Ihren KMS-Schlüssel verwenden können.
Anmerkung
Einige AWS verwaltete Anwendungen können nicht mit IAM Identity Center verwendet werden, das mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Sehen Sie sich AWS verwaltete Anwendungen an, die Sie mit IAM Identity Center verwenden können.
Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen AWSSie ermöglichen es jeder AWS verwalteten Anwendung von jedem Konto in derselben AWS Organisation, den KMS-Schlüssel zu verwenden. Verwenden Sie diese verfeinerten Richtlinien, um den Zugriff wie folgt einzuschränken:
Principal des Anwendungsdienstes
Anwendungsinstanz ARNs
AWS Konto IDs
Verschlüsselungskontext für bestimmte IAM Identity Center-Instanzen
Anmerkung
Ein Service Principal ist eine eindeutige Kennung für einen AWS Service, die normalerweise als servicename.amazonaws.com formatiert ist (z. B. elasticmapreduce.amazonaws.com für Amazon EMR).
Nach Konto einschränken
Diese Vorlage für eine KMS-Schlüsselrichtlinie ermöglicht es einer AWS verwalteten Anwendung in bestimmten AWS Konten, den KMS-Schlüssel mithilfe einer bestimmten IAM Identity Center-Instanz zu verwenden.
So verwenden Sie diese Richtlinie:
Ersetzen Sie den Beispiel-Serviceprinzipal durch Ihren tatsächlichen Anwendungsdienstprinzipal
Ersetzen Sie das Beispielkonto IDs durch das tatsächliche Konto IDs , auf dem Ihre AWS verwalteten Anwendungen bereitgestellt werden
Ersetzen Sie den Beispiel-Identity Store-ARN durch Ihren tatsächlichen Identity Store-ARN
Ersetzen Sie den Beispiel-ARN für eine IAM Identity Center-Instanz durch Ihren tatsächlichen Instanz-ARN
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "Service": "myapp.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": [ "111122223333", "444455556666" ] }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }, "Bool": { "aws:PrincipalIsAWSService": "true" } } }, { "Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "Service": "myapp.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": [ "111122223333", "444455556666" ] }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }, "Bool": { "aws:PrincipalIsAWSService": "true" } } } ] }
Nach Anwendungsinstanz einschränken
Diese Vorlage für eine KMS-Schlüsselrichtlinie ermöglicht es einer bestimmten AWS verwalteten Anwendungsinstanz, den KMS-Schlüssel mithilfe einer bestimmten IAM Identity Center-Instanz zu verwenden.
So verwenden Sie diese Richtlinie:
Ersetzen Sie den Beispiel-Serviceprinzipal durch Ihren tatsächlichen Anwendungsdienstprinzipal
Ersetzen Sie den ARN der Beispielanwendung durch den ARN Ihrer tatsächlichen Anwendungsinstanz
Ersetzen Sie den Beispiel-Identity Store-ARN durch Ihren tatsächlichen Identity Store-ARN
Ersetzen Sie den Beispiel-ARN für eine IAM Identity Center-Instanz durch Ihren tatsächlichen Instanz-ARN
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "Service": "myapp.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application" }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef" }, "Bool": { "aws:PrincipalIsAWSService": "true" } } }, { "Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "Service": "myapp.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application" }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890" }, "Bool": { "aws:PrincipalIsAWSService": "true" } } } ] }
