Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen - AWS IAM Identity Center
Grundlegende KMS-Richtlinienerklärungen für die Verwendung von IAM Identity Center (erforderlich)Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen AWSGrundlegende KMS-Schlüsselaussage für die Verwendung von AWS Control TowerGrundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung von IAM Identity Center für Amazon Elastic Compute Cloud Windows-InstancesGrundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung benutzerdefinierter Workflows mit IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen

Anmerkung

Vom Kunden verwaltete KMS-Schlüssel für AWS IAM Identity Center sind derzeit in ausgewählten AWS Regionen verfügbar.

Die hier bereitgestellten grundlegenden KMS-Schlüssel- und identitätsbasierten Richtlinien dienen als Grundlage für allgemeine Anforderungen. Wir empfehlen Ihnen außerdem, zu überprüfenWichtige KMS-Richtlinienerklärungen für Fortgeschrittene, ob detailliertere Zugriffskontrollen vorgesehen sind, z. B. sicherzustellen, dass der KMS-Schlüssel nur einer bestimmten IAM Identity Center-Instanz oder verwalteten Anwendung zugänglich ist. AWS Bevor Sie erweiterte KMS-Schlüsselrichtlinienerklärungen verwenden, lesen Sie die. Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien

Die folgenden Abschnitte enthalten grundlegende Richtlinienaussagen für jeden Anwendungsfall. Kopieren Sie die wichtigsten KMS-Richtlinienaussagen, die Ihren Anwendungsfällen entsprechen, und kehren Sie dann zu zurückSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor.

Grundlegende KMS-Richtlinienerklärungen für die Verwendung von IAM Identity Center (erforderlich)

Verwenden Sie die folgende Vorlage für wichtige KMS-Richtlinien, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um IAM Identity Center, dem zugehörigen Identity Store und IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.

  • Geben Sie die IAM-Prinzipale Ihrer IAM Identity Center-Administratoren im Principal-Element an. Weitere Informationen zu IAM-Prinzipalen finden Sie unter Einen Prinzipal angeben im IAM-Benutzerhandbuch.

  • Identity Store hat seinen eigenen Dienstprinzipalidentitystore.amazonaws.com, dem die Verwendung des KMS-Schlüssels gestattet werden muss.

  • Diese Richtlinienerklärungen ermöglichen es jeder Ihrer IAM Identity Center-Instanzen, den KMS-Schlüssel zu verwenden. Informationen zur Beschränkung des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene

Wichtige Richtlinienerklärungen für KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*",
          "kms:ViaService": "identitystore.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Admin_IAM_principal}"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityStoreToUseTheKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "identitystore.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:ReEncryptTo",
        "kms:ReEncryptFrom",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "identitystore.amazonaws.com",
          "sso.amazonaws.com"
        ]
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    }
  ]
}

Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels um IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.

  • Ersetzen Sie den Beispielschlüssel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen.

Für delegierte Administratoren von IAM Identity Center sind IAM-Richtlinienerklärungen erforderlich

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}

Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen AWS

Anmerkung

Einige AWS verwaltete Anwendungen können nicht verwendet werden, wenn IAM Identity Center mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Weitere Informationen finden Sie unter AWS Verwaltete Anwendungen, die mit IAM Identity Center funktionieren.

Verwenden Sie die folgende Vorlage für eine KMS-SchlüsselrichtlinieSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor, um sowohl AWS verwalteten Anwendungen als auch ihren Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.

  • Geben Sie Ihre AWS Organizations ID in die PrincipalOrg ID-Bedingung ein. Hilfe bei der Suche nach den Werten der referenzierten Identifikatoren finden Sie unterFinden Sie die erforderlichen Kennungen.

  • Diese Richtlinienanweisungen ermöglichen es allen Ihren AWS verwalteten Anwendungen in derselben Umgebung, den KMS-Schlüssel AWS Organizations zu verwenden. Informationen zur Beschränkung dieser Richtlinienaussagen auf bestimmte AWS verwaltete Anwendungen, Konten oder IAM Identity Center-Instanzen finden Sie unterWichtige KMS-Richtlinienerklärungen für Fortgeschrittene.

Die wichtigsten Richtlinienerklärungen von KMS

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "${organization_ID}"
        },
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "sso.*.amazonaws.com",
          "kms:EncryptionContext:aws:sso:instance-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    },
    {
      "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Verwenden Sie die folgende Vorlage für IAM-RichtlinienanweisungenSchritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels, um Administratoren AWS verwalteter Anwendungen die Verwendung des KMS-Schlüssels von einem Mitgliedskonto aus zu ermöglichen.

  • Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen.

  • Bei einigen AWS verwalteten Anwendungen müssen Sie Berechtigungen für IAM Identity Center und Identity Store konfigurieren. APIs Bevor Sie einen vom Kunden verwalteten Schlüssel in Ihrem IAM Identity Center konfigurieren, stellen Sie sicher, dass diese Berechtigungen auch die Verwendung des KMS-Schlüssels zulassen. Spezifische Berechtigungsanforderungen für KMS-Schlüssel finden Sie in der Dokumentation der einzelnen AWS verwalteten Anwendungen, die Sie bereitgestellt haben.

Für Administratoren AWS verwalteter Anwendungen sind IAM-Richtlinienerklärungen erforderlich:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Grundlegende KMS-Schlüsselaussage für die Verwendung von AWS Control Tower

Verwenden Sie die folgenden Vorlagen für KMS-SchlüsselanweisungenSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor, um AWS Control Tower Tower-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.

  • Geben Sie im Feld Principal die IAM-Prinzipale an, die für den APIs Zugriff auf das IAM Identity Center verwendet werden. Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter Einen Prinzipal angeben.

  • Diese Richtlinienerklärungen ermöglichen es AWS Control Tower Tower-Administratoren, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. AWS Control Tower schränkt jedoch den Zugriff auf die Organisationsinstanz von IAM Identity Center in derselben AWS Organisation ein. Aufgrund dieser Einschränkung hat eine weitere Beschränkung des KMS-Schlüssels auf eine bestimmte IAM Identity Center-Instanz keinen praktischen Nutzen, wie unter beschrieben. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene

KMS-Schlüsselrichtlinie:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Control_Tower_Admins}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

AWS Control Tower unterstützt keine delegierte Administration, weshalb Sie keine IAM-Richtlinie für die Administratoren konfigurieren müssen.

Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung von IAM Identity Center für Amazon Elastic Compute Cloud Windows-Instances

Verwenden Sie die folgende Vorlage für KMS-Schlüsselrichtlinien, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um Benutzern von Single Sign-On (SSO) bei Amazon EC2 Windows-Instances die kontenübergreifende Verwendung des KMS-Schlüssels zu ermöglichen.

  • Geben Sie im Feld Principal die IAM-Prinzipale an, die für den Zugriff auf das IAM Identity Center verwendet werden. Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter Einen Prinzipal angeben.

  • Diese Richtlinienerklärung ermöglicht es allen Ihren IAM Identity Center-Instances, den KMS-Schlüssel zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Richtlinienvorlagen

Grundlegende Erklärung zur KMS-Richtlinie

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowIAMIdentityCenterPermisionSetRoleToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Permission_Set_IAM_Role}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Verwenden Sie die folgende Vorlage für IAM-RichtlinienanweisungenSchritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels, um SSO für EC2 Windows-Instanzen die Verwendung des KMS-Schlüssels zu ermöglichen.

Hängen Sie die IAM-Richtlinienerklärung an den vorhandenen Berechtigungssatz in IAM Identity Center an, den Sie verwenden, um SSO-Zugriff auf Amazon EC2 Windows-Instances zu gewähren. Beispiele für IAM-Richtlinien finden Sie unter Remote Desktop Protocol-Verbindungen im AWS Systems Manager Manager-Benutzerhandbuch.

  • Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen.

IAM-Richtlinie für den Berechtigungssatz:

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}

Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung benutzerdefinierter Workflows mit IAM Identity Center

Verwenden Sie die folgenden Vorlagen für Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor KMS-Schlüsselrichtlinienanweisungen, um benutzerdefinierten Workflows im AWS Organisationsverwaltungskonto oder im delegierten Administratorkonto die Verwendung des KMS-Schlüssels zu ermöglichen.

  • Geben Sie im Principal-Element die IAM-Prinzipale an, die für den Zugriff auf IAM Identity Center APIs verwendet werden. Weitere Informationen zu IAM-Prinzipalen finden Sie unter Einen Prinzipal angeben im IAM-Benutzerhandbuch.

  • Diese Richtlinienerklärungen ermöglichen es Ihrem Workflow, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Richtlinienvorlagen

KMS-Schlüsselrichtlinie:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:sso:instance-arn": "*",
          "kms:ViaService": "sso.*.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
      "Effect": "Allow",
      "Principal": {
        "AWS": "${Workflow_IAM_principal}"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "identitystore.*.amazonaws.com",
          "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
        }
      }
    }
  ]
}

Verwenden Sie die folgende Vorlage für IAM-Richtlinienerklärungen, Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels um dem IAM-Prinzipal, der dem benutzerdefinierten Workflow zugeordnet ist, den KMS-Schlüssel kontenübergreifend zu verwenden. Fügen Sie die IAM-Richtlinienerklärung zum IAM-Prinzipal hinzu.

  • Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen.

IAM-Richtlinienerklärung (nur für die kontoübergreifende Verwendung erforderlich):

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [{
    "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "sso.*.amazonaws.com",
          "identitystore.*.amazonaws.com"
        ]
      }
    }
  }]
}