View a markdown version of this page

Grundlegende KMS-Schlüsselrichtlinie - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegende KMS-Schlüsselrichtlinie

Die folgende KMS-Schlüsselrichtlinie deckt das gängigste Bereitstellungsszenario ab: eine IAM Identity Center-Instance mit delegierten Administratoren und AWS verwalteten Anwendungen AWS Control Tower, einschließlich SSO für Amazon EC2 EC2-Instances, und benutzerdefinierten Workflows. Verwenden Sie diese Richtlinie als Ausgangspunkt für die Erstellung eines vom Kunden verwalteten KMS-Schlüssels für IAM Identity Center. Wenn Sie detailliertere Zugriffskontrollen benötigen, z. B. die Beschränkung des Schlüssels auf eine bestimmte IAM Identity Center-Instanz oder -Anwendung, finden Sie weitere Informationen unter. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene Bitte beachten Sie, dass bei der Verwendung eines Schlüssels für mehrere Regionen dieselbe Richtlinie für alle Replikate gelten sollte, um eine konsistente Autorisierung sicherzustellen.

Um diese Richtlinie zu verwenden, ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

  • 111122223333— Die AWS Konto-ID Ihrer IAM Identity Center-Instanz (das AWS Organizations Verwaltungskonto).

  • 444455556666— Die AWS Konto-ID Ihres delegierten Administratorkontos. Wenn Sie die delegierte Administration nicht verwenden, entfernen Sie diesen Prinzipal.

Da AWS IAM Identity Center voraussetzt, dass sich der KMS-Schlüssel in demselben AWS Konto wie der Dienst befindet, verwenden die folgenden Anweisungen die ${aws:ResourceAccount} Variablen ${aws:ResourceOrgID} und anstelle von Literalwerten. Sie können diese Variablen durch Ihre AWS Organisations- und AWS Konto-ID ersetzen, wenn Sie dies bevorzugen.

{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Sid": "AllowIdentityCenterAdminAccounts",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:root",
          "arn:aws:iam::444455556666:root"
        ]
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "AllowIdentityCenterAndIdentityStoreToDescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "${aws:ResourceAccount}"
        }
      }
    },
    {
      "Sid": "AllowIdentityCenterAndIdentityStoreToUseKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "${aws:ResourceAccount}"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    },
    {
      "Sid": "AllowOrgPrincipalsViaIdentityCenterAndIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
        },
        "StringLike": {
          "kms:ViaService": [
            "sso.*.amazonaws.com",
            "identitystore.*.amazonaws.com"
          ]
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    },
    {
      "Sid": "AllowManagedApps",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        },
        "StringEquals": {
          "aws:SourceOrgID": "${aws:ResourceOrgID}"
        },
        "StringLike": {
          "kms:ViaService": [
            "identitystore.*.amazonaws.com",
            "sso.*.amazonaws.com"
          ]
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:sso:instance-arn",
            "aws:identitystore:identitystore-arn"
          ]
        }
      }
    }
  ]
}

Diese Richtlinie enthält fünf Aussagen. In der folgenden Tabelle wird beschrieben, was die einzelnen Anweisungen bewirken.

Statement Zweck
AllowIdentityCenterAdminAccounts Gewährt dem IAM Identity Center-Verwaltungskonto und dem delegierten Administratorkonto vollständige KMS-Schlüsselberechtigungen. Dazu gehören wichtige Verwaltungsaktionen wie das Ändern der Schlüsselrichtlinie und das Planen des Löschens von Schlüsseln. Administratoren dieser Konten können den Schlüssel verwalten und verwenden, sofern sie in ihren identitätsbasierten Richtlinien über die erforderlichen Berechtigungen verfügen.
AllowIdentityCenterAndIdentityStoreToDescribeKey Ermöglicht es den IAM Identity Center- und Identity Store-Dienstprinzipalen, wichtige Metadaten abzurufen. Dies ist für Dienstvorgänge erforderlich, die den Schlüssel validieren, ohne eine Ver- oder Entschlüsselung durchzuführen. Diese aws:SourceAccount Bedingung trägt dazu bei, dass nur Ihre IAM Identity Center-Instanz Ihren KMS-Schlüssel verwenden kann.
AllowIdentityCenterAndIdentityStoreToUseKey Ermöglicht es den IAM Identity Center- und Identity Store-Dienstprinzipalen, den Schlüssel für Verschlüsselungsvorgänge wie das Verschlüsseln, Entschlüsseln und erneuten Verschlüsseln von Daten zu verwenden. Diese aws:SourceAccount Bedingung trägt dazu bei, dass nur Ihre IAM Identity Center-Instanz Ihren KMS-Schlüssel verwenden kann.
AllowOrgPrincipalsViaIdentityCenterAndIdentityStore Ermöglicht IAM-Prinzipalen in Ihrer AWS Organisation, Daten über die IAM Identity Center- und Identity Store-Dienste zu entschlüsseln. Dies gilt für Anwendungsadministratoren, die mithilfe von Forward Access Sessions (FAS) mit IAM Identity Center-integrierten AWS Diensten interagieren.
AllowManagedApps Ermöglicht AWS verwalteten Anwendungen, Daten, die durch Ihren KMS-Schlüssel geschützt sind, über IAM Identity Center und Identity Store zu entschlüsseln.

Verwenden Sie die folgende IAM-Richtlinienerklärung, Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels um delegierten Administratoren die Verwendung des KMS-Schlüssels über den IAM Identity Center-Dienst zu ermöglichen. APIs Ersetzen Sie den Beispielschlüssel-ARN durch Ihren tatsächlichen KMS-Schlüssel-ARN. Die Platzhalterregion im Beispiel beherbergt alle Replikate eines KMS-Schlüssels mit mehreren Regionen.

Für kontoübergreifende Anwendungsfälle, bei denen es sich nicht um die Verwaltung von IAM Identity Center handelt, z. B. SSO für Amazon EC2 EC2-Instances oder die Verwaltung AWS verwalteter Anwendungen, AllowCrossAccountKMSKeyUse beschränken Sie sich auf „kms:DecryptNur“ und entfernen Sie die Erklärung. AllowListKMSKeyAliases

{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Sid": "AllowCrossAccountKMSKeyUse",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:*:111122223333:key/mrk-1234abcd-12ab-34cd-56ef-1234567890ab"
      ]
    },
    {
      "Sid": "AllowListKMSKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}