Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen
Die hier bereitgestellten grundlegenden Richtlinien für KMS-Schlüssel und Identitäten dienen als Grundlage für allgemeine Anforderungen. Wir empfehlen Ihnen außerdem, zu überprüfenWichtige KMS-Richtlinienerklärungen für Fortgeschrittene, ob detailliertere Zugriffskontrollen vorgesehen sind, z. B. sicherzustellen, dass der KMS-Schlüssel nur einer bestimmten IAM Identity Center-Instanz oder verwalteten Anwendung zugänglich ist. AWS Bevor Sie erweiterte KMS-Schlüsselrichtlinienerklärungen verwenden, lesen Sie die. Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien
Die folgenden Abschnitte enthalten grundlegende Richtlinienaussagen für jeden Anwendungsfall. Kopieren Sie die wichtigsten KMS-Richtlinienaussagen, die Ihren Anwendungsfällen entsprechen, und kehren Sie dann zu zurückSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor.
Grundlegende KMS-Richtlinienerklärungen für die Verwendung von IAM Identity Center (erforderlich)
Verwenden Sie die folgende Vorlage für wichtige KMS-Richtlinien, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um IAM Identity Center, dem zugehörigen Identity Store und IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
-
Geben Sie im Element Principal für Administratorrichtlinienanweisungen die AWS Kontenprinzipale der Administratorkonten des IAM Identity Center an, d. h. das AWS Organisationsverwaltungskonto und das delegierte Administratorkonto, und verwenden Sie dabei das Format „arn:aws:iam: :111122223333:root“.
-
Ersetzen Sie im Element das Beispiel durch die IAM-Rollen der IAM Identity Center-Administratoren. PrincipalArn ARNs
Sie können entweder angeben:
-
Spezifischer ARN für IAM-Rollen:
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678" -
Platzhaltermuster (empfohlen):
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"
Die Verwendung des Platzhalters (
*) verhindert den Verlust des Zugriffs, wenn der Berechtigungssatz gelöscht und neu erstellt wird, da Identity Center neue eindeutige Identifikatoren für neu erstellte Berechtigungssätze generiert. Eine Beispielimplementierung finden Sie unter. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie -
-
Geben Sie im SourceAccount Element die IAM Identity Center-Konto-ID an.
Identity Store hat seinen eigenen Dienstprinzipal
identitystore.amazonaws.com, dem die Verwendung des KMS-Schlüssels gestattet sein muss.Diese Richtlinienerklärungen ermöglichen es Ihren IAM Identity Center-Instanzen in einem bestimmten AWS Konto, den KMS-Schlüssel zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene Sie können für jedes AWS Konto nur eine IAM Identity Center-Instanz haben.
Die wichtigsten Richtlinienerklärungen von KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] }, "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] }, "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*", "kms:ViaService": "identitystore.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_AdminPermissionSet_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdminSet_*" ] } } }, { "Sid": "AllowIAMIdentityCenterToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityStoreToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "identitystore.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey", "Effect": "Allow", "Principal": { "Service": [ "identitystore.amazonaws.com", "sso.amazonaws.com" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels um IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
-
Ersetzen Sie den Beispielschlüssel-ARN im
ResourceElement durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen. -
Diese IAM-Richtlinienanweisungen gewähren KMS-Schlüsselzugriff auf den IAM-Prinzipal, schränken jedoch nicht ein, welcher AWS Dienst die Anfrage stellen kann. Die KMS-Schlüsselrichtlinie sieht in der Regel diese Diensteinschränkungen vor. Sie können dieser IAM-Richtlinie jedoch einen Verschlüsselungskontext hinzufügen, um die Nutzung auf eine bestimmte Identity Center-Instanz zu beschränken. Einzelheiten finden Sie unter. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene
Für delegierte Administratoren von IAM Identity Center sind IAM-Richtlinienerklärungen erforderlich
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" } ] }
Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung verwalteter Anwendungen AWS
Anmerkung
Einige AWS verwaltete Anwendungen können nicht verwendet werden, wenn IAM Identity Center mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Weitere Informationen finden Sie unter AWS Verwaltete Anwendungen, die mit IAM Identity Center funktionieren.
Verwenden Sie die folgende Vorlage für eine KMS-SchlüsselrichtlinieSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor, um sowohl AWS verwalteten Anwendungen als auch ihren Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
Geben Sie Ihre AWS Organizations ID in die PrincipalOrg ID und die SourceOrgId Bedingungen ein. Hilfe bei der Suche nach den Werten der referenzierten Identifikatoren finden Sie unterFinden Sie die erforderlichen Kennungen.
Diese Richtlinienerklärungen ermöglichen es allen Ihren AWS verwalteten Anwendungen und allen IAM-Prinzipalen (Anwendungsadministratoren) in der AWS Organisation, kms: Decrypt mithilfe von IAM Identity Center und Identity Store zu verwenden. Informationen zur Beschränkung dieser Richtlinienerklärungen auf bestimmte AWS verwaltete Anwendungen, Konten oder IAM Identity Center-Instanzen finden Sie unter. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene
Sie können den Zugriff auf bestimmte Anwendungsadministratoren einschränken, indem Sie ihn durch bestimmte IAM-Prinzipale
*ersetzen. Um sich vor Änderungen der IAM-Rollennamen bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den Ansatz in. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie Weitere Informationen finden Sie unter Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien.
Wichtige KMS-Richtlinienerklärungen
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" } } }, { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } } ] }
Verwenden Sie die folgende Vorlage für IAM-RichtlinienanweisungenSchritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels, um Administratoren AWS verwalteter Anwendungen die Verwendung des KMS-Schlüssels von einem Mitgliedskonto aus zu ermöglichen.
Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen.
Bei einigen AWS verwalteten Anwendungen müssen Sie Berechtigungen für den IAM Identity Center-Dienst konfigurieren. APIs Bevor Sie einen vom Kunden verwalteten Schlüssel in IAM Identity Center konfigurieren, stellen Sie sicher, dass diese Berechtigungen auch die Verwendung des KMS-Schlüssels zulassen. Spezifische Berechtigungsanforderungen für KMS-Schlüssel finden Sie in der Dokumentation der einzelnen AWS verwalteten Anwendungen, die Sie bereitgestellt haben.
Für Administratoren AWS verwalteter Anwendungen sind IAM-Richtlinienerklärungen erforderlich:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Grundlegende KMS-Schlüsselaussage für die Verwendung von AWS Control Tower
Verwenden Sie die folgenden Vorlagen für KMS-SchlüsselanweisungenSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor, um AWS Control Tower Tower-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
Geben Sie im Principal-Element die IAM-Prinzipale an, die für den Zugriff auf den IAM Identity Center-Dienst verwendet werden. APIs Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter Einen Prinzipal angeben.
Diese Richtlinienerklärungen ermöglichen es AWS Control Tower Tower-Administratoren, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. AWS Control Tower schränkt jedoch den Zugriff auf die Organisationsinstanz von IAM Identity Center in derselben AWS Organisation ein. Aufgrund dieser Einschränkung hat eine weitere Beschränkung des KMS-Schlüssels auf eine bestimmte IAM Identity Center-Instanz keinen praktischen Nutzen, wie unter beschrieben. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene
Um sich vor Änderungen des IAM-Rollennamens bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den in der beschriebenen Ansatz. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie
KMS-Schlüsselrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
AWS Control Tower unterstützt keine delegierte Administration, weshalb Sie keine IAM-Richtlinie für seine Administratoren konfigurieren müssen.
Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung von IAM Identity Center für Amazon Elastic Compute Cloud Windows-Instances
Verwenden Sie die folgende Vorlage für KMS-Schlüsselrichtlinien, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um Benutzern von Single Sign-On (SSO) bei Amazon EC2 Windows-Instances die kontenübergreifende Verwendung des KMS-Schlüssels zu ermöglichen.
Geben Sie im Feld Principal die IAM-Prinzipale an, die für den Zugriff auf das IAM Identity Center verwendet werden. Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter Einen Prinzipal angeben.
Diese Richtlinienerklärung ermöglicht es allen Ihren IAM Identity Center-Instances, den KMS-Schlüssel zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene
Um sich vor Änderungen der IAM-Rollennamen bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den im Beispiel für eine benutzerdefinierte Vertrauensrichtlinie beschriebenen Ansatz.
Grundlegende Erklärung zur KMS-Richtlinie
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Verwenden Sie die folgende Vorlage für IAM-RichtlinienanweisungenSchritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels, um SSO für EC2 Windows-Instanzen die Verwendung des KMS-Schlüssels zu ermöglichen.
Hängen Sie die IAM-Richtlinienerklärung an den vorhandenen Berechtigungssatz in IAM Identity Center an, den Sie verwenden, um SSO-Zugriff auf Amazon EC2 Windows-Instances zu gewähren. Beispiele für IAM-Richtlinien finden Sie unter Remote Desktop Protocol-Verbindungen im AWS Systems Manager Manager-Benutzerhandbuch.
Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen.
IAM-Richtlinie für den Berechtigungssatz:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen für die Verwendung benutzerdefinierter Workflows mit IAM Identity Center
Verwenden Sie die folgenden Vorlagen für wichtige KMS-Richtlinienerklärungen, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um benutzerdefinierten Workflows, wie z. B. vom Kunden verwalteten Anwendungen, im AWS Organizations Verwaltungskonto oder im delegierten Administratorkonto die Verwendung des KMS-Schlüssels zu ermöglichen.
Geben Sie im Principal-Element die IAM-Prinzipale an, die für den Zugriff auf den IAM Identity Center-Dienst verwendet werden. APIs Weitere Informationen zu IAM-Prinzipalen finden Sie unter Einen Prinzipal angeben im IAM-Benutzerhandbuch.
Diese Richtlinienerklärungen ermöglichen es Ihrem Workflow, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Wichtige KMS-Richtlinienerklärungen für Fortgeschrittene
Um sich vor Änderungen des IAM-Rollennamens bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den in der beschriebenen Ansatz. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie
KMS-Schlüsselrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels um dem mit dem benutzerdefinierten Workflow verknüpften IAM-Prinzipal die kontenübergreifende Verwendung des KMS-Schlüssels zu ermöglichen. Fügen Sie die IAM-Richtlinienerklärung zum IAM-Prinzipal hinzu.
Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterFinden Sie die erforderlichen Kennungen.
IAM-Richtlinienerklärung (nur für die kontoübergreifende Verwendung erforderlich):
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
