Implementierung von vom Kunden verwalteten KMS-Schlüsseln in AWS IAM Identity Center - AWS IAM Identity Center
Schritt 1: Identifizieren Sie Anwendungsfälle für Ihr UnternehmenSchritt 2: Bereiten Sie die wichtigsten KMS-Richtlinienerklärungen vorSchritt 3: Erstellen Sie einen KMS-SchlüsselSchritt 4: Konfigurieren Sie IAM-RichtlinienSchritt 5: Konfigurieren Sie den KMS-Schlüssel im IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierung von vom Kunden verwalteten KMS-Schlüsseln in AWS IAM Identity Center

Anmerkung

Kundenverwaltete KMS-Schlüssel für AWS IAM Identity Center sind derzeit in ausgewählten AWS Regionen verfügbar.

Kundenverwaltete Schlüssel sind AWS Schlüssel des Key Management Service, die Sie erstellen, besitzen und verwalten. Gehen Sie wie folgt vor, um einen vom Kunden verwalteten KMS-Schlüssel für die Verschlüsselung im Ruhezustand in AWS IAM Identity Center zu implementieren:

Wichtig

Einige AWS verwaltete Anwendungen können nicht mit AWS IAM Identity Center verwendet werden, das mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Siehe AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können.

  1. Schritt 1: Identifizieren Sie Anwendungsfälle für Ihr Unternehmen- Um die richtigen Berechtigungen für die Verwendung des KMS-Schlüssels zu definieren, müssen Sie die relevanten Anwendungsfälle in Ihrem Unternehmen identifizieren. Die KMS-Schlüsselberechtigungen bestehen aus KMS-Schlüsselrichtlinienerklärungen und identitätsbasierten Richtlinien, die zusammenwirken, sodass die entsprechenden IAM-Prinzipale den KMS-Schlüssel für ihre spezifischen Anwendungsfälle verwenden können.

  2. Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor- Wählen Sie auf der Grundlage der in Schritt 1 identifizierten Anwendungsfälle die entsprechenden Vorlagen für KMS-Schlüsselrichtlinienerklärungen aus und geben Sie die erforderlichen Kennungen und IAM-Prinzipalnamen ein. Beginnen Sie mit den grundlegenden KMS-Richtlinienaussagen und verfeinern Sie sie, falls Ihre Sicherheitsrichtlinien dies erfordern, wie unter Erweiterte KMS-Richtlinienerklärungen beschrieben.

  3. Schritt 3: Erstellen Sie einen vom Kunden verwalteten KMS-Schlüssel- Erstellen Sie in KMS einen AWS KMS-Schlüssel, der die Anforderungen von IAM Identity Center erfüllt, und fügen Sie die in Schritt 2 erstellten KMS-Schlüsselrichtlinienanweisungen zur KMS-Schlüsselrichtlinie hinzu.

  4. Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels- Wählen Sie auf der Grundlage der in Schritt 1 identifizierten Anwendungsfälle entsprechende Vorlagen für IAM-Richtlinienerklärungen aus und bereiten Sie sie für die Verwendung vor, indem Sie den Schlüssel-ARN ARN. Erlauben Sie dann den IAM-Prinzipalen für jeden spezifischen Anwendungsfall, den KMS-Schlüssel kontenübergreifend zu verwenden, indem Sie die vorbereiteten IAM-Richtlinienerklärungen zu den IAM-Richtlinien der Principals hinzufügen.

  5. Schritt 5: Konfigurieren Sie den KMS-Schlüssel im IAM Identity Center- WICHTIG: Bevor Sie mit diesem Schritt fortfahren, überprüfen Sie gründlich alle in den vorherigen Schritten konfigurierten KMS-Schlüsselberechtigungen. Sobald der Vorgang abgeschlossen ist, verwendet IAM Identity Center den KMS-Schlüssel für die Verschlüsselung im Ruhezustand.

Schritt 1: Identifizieren Sie Anwendungsfälle für Ihr Unternehmen

Bevor Sie Ihren vom Kunden verwalteten KMS-Schlüssel erstellen und konfigurieren, identifizieren Sie Ihre Anwendungsfälle und bereiten Sie die erforderlichen KMS-Schlüsselberechtigungen vor. Weitere Informationen zur AWS KMS-Schlüsselrichtlinie finden Sie im KMS-Entwicklerhandbuch.

IAM-Prinzipale, die das IAM Identity Center und Identity Store APIs aufrufen, benötigen Berechtigungen. Ein delegierter Administrator kann beispielsweise APIs über eine Berechtigungssatzrichtlinie autorisiert werden, diese zu verwenden. Wenn IAM Identity Center mit einem vom Kunden verwalteten Schlüssel konfiguriert ist, müssen IAM-Prinzipale auch über Berechtigungen zur Verwendung der KMS-API über das IAM Identity Center und Identity Store verfügen. APIs Sie definieren diese KMS-API-Berechtigungen an zwei Stellen: in der KMS-Schlüsselrichtlinie und in den IAM-Richtlinien, die den IAM-Prinzipalen zugeordnet sind.

Die KMS-Schlüsselberechtigungen bestehen aus:

  1. KMS-Schlüsselrichtlinienanweisungen, die Sie für den KMS-Schlüssel bei seiner Erstellung in angebenSchritt 3: Erstellen Sie einen vom Kunden verwalteten KMS-Schlüssel.

  2. IAM-Richtlinienanweisungen für IAM-Prinzipale, die Sie Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels nach der Erstellung des KMS-Schlüssels angeben.

In der folgenden Tabelle sind die relevanten Anwendungsfälle und IAM-Prinzipale aufgeführt, für die Berechtigungen zur Verwendung Ihres KMS-Schlüssels erforderlich sind.

Anwendungsfall IAM-Prinzipale, die Berechtigungen zur Verwendung des KMS-Schlüssels benötigen Erforderlich/optional
Verwendung von AWS IAM Identity Center

  • Administratoren von AWS IAM Identity Center

  • Der IAM Identity Center-Dienst und der zugehörige Identity Store-Dienst

 Erforderlich
Verwendung AWS verwalteter Anwendungen mit IAM Identity Center

  • Administratoren AWS verwalteter Anwendungen

  • AWS verwaltete Anwendungen

  • Servicerollen, von denen AWS verwaltete Anwendungen annehmen, dass sie IAM Identity Center und Identity Store aufrufen APIs

 Optional
Verwendung von AWS Control Tower auf der AWS IAM Identity Center-Instanz, die sie aktiviert hat

  • AWS Control Tower Administratoren

 Optional
SSO für Amazon EC2 Windows-Instances mit AWS IAM Identity Center

  • IAM-Principals, die autorisiert sind, SSO für Amazon EC2 Windows-Instances durchzuführen

 Optional
Jeder andere Anwendungsfall, der Aufrufe an die IAM Identity Center API oder Identity Store API vornimmt, wie z. B. Workflows zur Bereitstellung von Berechtigungssätzen oder Funktionen AWS Lambda

  • IAM-Prinzipale, die von diesen Workflows zum Aufrufen der IAM Identity Center API und der Identity Store API verwendet werden

 Optional
Anmerkung

Für mehrere in der Tabelle aufgeführte IAM-Prinzipale sind KMS-API-Berechtigungen erforderlich. AWS Um Ihre Benutzer- und Gruppendaten in IAM Identity Center zu schützen, rufen jedoch nur IAM Identity Center- und Identity Store-Dienste die KMS-API direkt auf. AWS

Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor

Nachdem Sie die für Ihr Unternehmen relevanten Anwendungsfälle identifiziert haben, können Sie die entsprechenden wichtigsten KMS-Richtlinienerklärungen vorbereiten.

  1. Wählen Sie die wichtigsten KMS-Richtlinienerklärungen aus, die den Anwendungsfällen für Ihre Organisation entsprechen. Beginnen Sie mit den grundlegenden Richtlinienvorlagen. Wenn Sie spezifischere Richtlinien benötigen, die auf Ihren Sicherheitsanforderungen basieren, können Sie die Richtlinienerklärungen anhand der Beispiele unter ändernWichtige KMS-Richtlinienerklärungen für Fortgeschrittene. Hinweise zu dieser Entscheidung finden Sie unterÜberlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien. Darüber hinaus Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen enthält jeder Basisabschnitt entsprechende Überlegungen.

  2. Kopieren Sie die entsprechenden Richtlinien in einen Editor und fügen Sie die erforderlichen Kennungen und IAM-Prinzipalnamen in die wichtigsten KMS-Richtlinienerklärungen ein. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unter. Finden Sie die erforderlichen Kennungen

Im Folgenden finden Sie grundlegende Richtlinienvorlagen für jeden Anwendungsfall. Für die Verwendung eines KMS-Schlüssels ist nur der erste Satz von Berechtigungen für AWS IAM Identity Center erforderlich. Wir empfehlen Ihnen, die entsprechenden Unterabschnitte zu lesen, um weitere anwendungsfallspezifische Informationen zu erhalten.

Wichtig

Seien Sie vorsichtig, wenn Sie KMS-Schlüsselrichtlinien für Schlüssel ändern, die bereits von IAM Identity Center verwendet werden. IAM Identity Center validiert zwar die Verschlüsselungs- und Entschlüsselungsberechtigungen bei der ersten Konfiguration eines KMS-Schlüssels, kann jedoch nachfolgende Richtlinienänderungen nicht verifizieren. Wenn Sie versehentlich die erforderlichen Berechtigungen entfernen, kann dies den normalen Betrieb Ihres IAM Identity Center stören. Anleitungen zur Behebung häufiger Fehler im Zusammenhang mit vom Kunden verwalteten Schlüsseln in IAM Identity Center finden Sie unter. Beheben Sie Probleme mit vom Kunden verwalteten Schlüsseln in AWS IAM Identity Center

Anmerkung

Für das IAM Identity Center und der zugehörige Identity Store sind Service-Level-Berechtigungen erforderlich, um Ihren vom Kunden verwalteten KMS-Schlüssel verwenden zu können. Diese Anforderung gilt auch für AWS verwaltete Anwendungen, die IAM Identity Center APIs mithilfe von Dienstanmeldedaten aufrufen. In anderen Anwendungsfällen, in denen IAM Identity Center mit Forward-Access-Sitzungen aufgerufen APIs werden, benötigt nur der initiierende IAM-Prinzipal (z. B. ein Administrator) KMS-Schlüsselberechtigungen. Insbesondere Endbenutzer, die das AWS Zugriffsportal und AWS verwaltete Anwendungen verwenden, benötigen keine direkten KMS-Schlüsselberechtigungen, da sie über die jeweiligen Dienste erteilt werden.

Schritt 3: Erstellen Sie einen vom Kunden verwalteten KMS-Schlüssel

Sie können mit der AWS Management Console oder dem AWS KMS APIs einen vom Kunden verwalteten Schlüssel erstellen. Fügen Sie bei der Erstellung des Schlüssels die in Schritt 2 erstellten KMS-Schlüsselrichtlinienanweisungen zur KMS-Schlüsselrichtlinie hinzu. Ausführliche Anweisungen, einschließlich Anleitungen zur standardmäßigen KMS-Schlüsselrichtlinie, finden Sie im AWS Key Management Service Developer Guide.

Der Schlüssel muss die folgenden Anforderungen erfüllen:

  • Der KMS-Schlüssel muss sich in derselben AWS Region befinden wie die IAM Identity Center-Instanz

  • Sie können entweder einen Schlüssel für mehrere Regionen oder einen Schlüssel für eine einzelne Region wählen. Um zukunftskompatibel mit Ihren future Anwendungsfällen in mehreren AWS Regionen zu bleiben, empfehlen wir, einen Schlüssel für mehrere Regionen zu wählen

  • Der KMS-Schlüssel muss ein symmetrischer Schlüssel sein, der für die Verwendung „Verschlüsseln und Entschlüsseln“ konfiguriert ist

  • Der KMS-Schlüssel muss sich in demselben AWS Organizations Verwaltungskonto befinden wie die Organisationsinstanz von IAM Identity Center

Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels

Jeder IAM-Prinzipal, der das IAM Identity Center und den Identity Store APIs von einem anderen AWS Konto aus verwendet, z. B. delegierte IAM Identity Center-Administratoren, benötigt ebenfalls eine IAM-Richtlinienerklärung, die die Verwendung des KMS-Schlüssels über diese Konten ermöglicht. APIs

Für jeden in Schritt 1 identifizierten Anwendungsfall:

  1. Suchen Sie die entsprechenden Vorlagen für IAM-Richtlinienanweisungen unter Basis-KMS-Schlüssel und IAM-Richtlinienanweisungen.

  2. Kopieren Sie die Vorlagen in einen Editor und geben Sie den Schlüssel ARN ein, der jetzt nach der Erstellung des KMS-Schlüssels in Schritt 3 verfügbar ist. Hilfe bei der Suche nach dem ARN-Schlüsselwert finden Sie unterFinden Sie die erforderlichen Kennungen.

  3. Suchen Sie in der AWS Management Console nach der IAM-Richtlinie des IAM-Prinzipals, der dem Anwendungsfall zugeordnet ist. Der Speicherort dieser Richtlinie hängt vom Anwendungsfall und davon ab, wie der Zugriff gewährt wird.

    • Für den Zugriff, der direkt in IAM gewährt wird, können Sie in der IAM-Konsole nach IAM-Prinzipalen suchen, z. B. nach IAM-Rollen.

    • Für den Zugriff, der über IAM Identity Center gewährt wird, finden Sie den entsprechenden Berechtigungssatz in der IAM Identity Center-Konsole.

  4. Fügen Sie die anwendungsfallspezifischen IAM-Richtlinienanweisungen zur IAM-Rolle hinzu und speichern Sie die Änderung.

Anmerkung

Bei den hier beschriebenen IAM-Richtlinien handelt es sich um identitätsbasierte Richtlinien. Solche Richtlinien können zwar IAM-Benutzern, -Gruppen und -Rollen zugewiesen werden, wir empfehlen jedoch, wenn möglich, IAM-Rollen zu verwenden. Weitere Informationen zu IAM-Rollen im Vergleich zu IAM-Benutzern finden Sie im IAM-Benutzerhandbuch.

Zusätzliche Konfiguration in einigen verwalteten Anwendungen AWS

Bei einigen AWS verwalteten Anwendungen müssen Sie eine Servicerolle konfigurieren, damit die Anwendungen das IAM Identity Center und den Identity Store APIs verwenden können. Wenn Ihr Unternehmen AWS verwaltete Anwendungen mit IAM Identity Center verwendet, führen Sie für jede bereitgestellte Anwendung die folgenden Schritte aus:

  1. Überprüfen Sie im Benutzerhandbuch der Anwendung, ob die Berechtigungen aktualisiert wurden und nun auch Berechtigungen für KMS-Schlüssel für die Verwendung der Anwendung mit IAM Identity Center enthalten.

  2. Falls ja, aktualisieren Sie die Berechtigungen gemäß den Anweisungen im Benutzerhandbuch der Anwendung, um Störungen des Anwendungsbetriebs zu vermeiden.

Anmerkung

Wenn Sie sich nicht sicher sind, ob eine AWS verwaltete Anwendung diese Berechtigungen verwendet, empfehlen wir Ihnen, die Benutzerhandbücher aller bereitgestellten AWS verwalteten Anwendungen zu lesen. Sie müssen diese Konfiguration nur einmal für jede Anwendung durchführen, für die die Konfiguration erforderlich ist.

Schritt 5: Konfigurieren Sie den KMS-Schlüssel im IAM Identity Center

Wichtig

Bevor Sie mit diesem Schritt fortfahren:

  • Stellen Sie sicher, dass Ihre AWS verwalteten Anwendungen mit vom Kunden verwalteten KMS-Schlüsseln kompatibel sind. Eine Liste kompatibler Anwendungen finden Sie unter AWS Verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können. Wenn Sie inkompatible Anwendungen haben, fahren Sie nicht fort.

  • Konfigurieren Sie die erforderlichen Berechtigungen für die Verwendung des KMS-Schlüssels. Ohne die entsprechenden Berechtigungen kann dieser Schritt fehlschlagen oder die Verwaltung von IAM Identity Center und die AWS verwalteten Anwendungen unterbrechen. Weitere Informationen finden Sie unter Schritt 1: Identifizieren Sie Anwendungsfälle für Ihr Unternehmen.

  • Stellen Sie sicher, dass die Berechtigungen für AWS verwaltete Anwendungen auch die Verwendung des KMS-Schlüssels über IAM Identity Center und Identity Store zulassen. APIs Bei einigen AWS verwalteten Anwendungen müssen Sie für deren APIs Verwendung Berechtigungen konfigurieren, z. B. eine Servicerolle. Prüfen Sie im Benutzerhandbuch jeder bereitgestellten AWS verwalteten Anwendung, ob Sie bestimmte KMS-Schlüsselberechtigungen hinzufügen müssen.

Console

So geben Sie einen KMS-Schlüssel an, wenn Sie eine neue Organisationsinstanz von IAM Identity Center aktivieren

Wenn Sie eine neue Organisationsinstanz von IAM Identity Center aktivieren, können Sie bei der Einrichtung einen vom Kunden verwalteten KMS-Schlüssel angeben. Dadurch wird sichergestellt, dass die Instanz Ihren Schlüssel von Anfang an für die Verschlüsselung im Ruhezustand verwendet. Bevor Sie beginnen, finden Sie weitere Informationen unterÜberlegungen zu vom Kunden verwalteten KMS-Schlüsseln und erweiterten KMS-Schlüsselrichtlinien.

  1. Erweitern Sie auf der Seite „IAM Identity Center aktivieren“ den Abschnitt Verschlüsselung im Ruhezustand.

  2. Wählen Sie Manage Encryption (Verschlüsselung verwalten).

  3. Wählen Sie Vom Kunden verwalteter Schlüssel aus.

  4. Führen Sie für den KMS-Schlüssel einen der folgenden Schritte aus:

    1. Wählen Sie Aus Ihren KMS-Schlüsseln auswählen und wählen Sie den Schlüssel, den Sie erstellt haben, aus der Dropdownliste aus.

    2. Wählen Sie Enter KMS key ARN und geben Sie den vollständigen ARN Ihres Schlüssels ein.

  5. Wählen Sie Speichern.

  6. Wählen Sie Aktivieren, um die Einrichtung abzuschließen.

Weitere Informationen finden Sie unter IAM Identity Center aktivieren.

So geben Sie einen KMS-Schlüssel für eine bestehende Organisationsinstanz von IAM Identity Center an

  1. Öffnen Sie die IAM Identity Center-Konsole unter. https://console.aws.amazon.com/singlesignon/

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie auf der Seite Einstellungen im Bereich Verschlüsselung die Option Bearbeiten aus.

  4. Wählen Sie als Verschlüsselungstyp die Option Vom Kunden verwalteter Schlüssel aus.

  5. Führen Sie für den KMS-Schlüssel einen der folgenden Schritte aus:

    1. Wählen Sie Aus Ihren KMS-Schlüsseln auswählen und wählen Sie den Schlüssel, den Sie erstellt haben, aus der Dropdownliste aus.

      Anmerkung

      Beachten Sie, dass in der Pulldown-Liste nur die KMS-Schlüssel angezeigt werden, auf die Sie in demselben Konto Zugriff haben. AWS Wenn Sie dies im delegierten Administratorkonto tun, müssen Sie daher den ARN des Schlüssels aus Ihrem AWS Organizations Verwaltungskonto angeben.

    2. Wählen Sie Enter KMS key ARN und geben Sie den vollständigen ARN Ihres Schlüssels ein.

  6. Wählen Sie Änderungen speichern aus.

AWS CLI
aws ssoadmin update-instance \
  --configuration KeyType=string,KmsKeyArn=string \
  --instance-arn string \
  --name string

Ändern Sie die Konfiguration Ihres KMS-Schlüssels

Sie können Ihren vom Kunden verwalteten KMS-Schlüssel jederzeit in einen anderen Schlüssel ändern oder AWS zu einem eigenen Schlüssel wechseln.

Um Ihre KMS-Schlüsselkonfiguration zu ändern

  1. Öffnen Sie die IAM-Identity-Center-Konsole.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie die Registerkarte Zusätzliche Einstellungen.

  4. Wählen Sie Verschlüsselung verwalten aus.

  5. Wählen Sie eine der folgenden Optionen aus:

    1. Vom Kunden verwalteter Schlüssel — Wählen Sie einen anderen vom Kunden verwalteten Schlüssel aus der Dropdownliste aus oder geben Sie einen neuen Schlüssel-ARN ein.

    2. AWS Eigener Schlüssel — Wechseln Sie zur Standardverschlüsselungsoption.

  6. Wählen Sie Speichern.

Überlegungen zu vom Kunden verwalteten Schlüsseln

  • Die Aktualisierung der KMS-Schlüsselkonfiguration für den Betrieb von IAM Identity Center hat keine Auswirkungen auf aktive Benutzersitzungen in Ihrem IAM Identity Center. Während dieses Vorgangs können Sie das AWS Zugriffsportal, die IAM Identity Center-Konsole und das IAM Identity Center APIs weiterhin verwenden.

  • Wenn Sie zu einem neuen KMS-Schlüssel wechseln, überprüft IAM Identity Center, ob der Schlüssel erfolgreich für die Verschlüsselung und Entschlüsselung verwendet werden kann. Wenn Sie bei der Einrichtung der Schlüssel- oder IAM-Richtlinie einen Fehler gemacht haben, zeigt die Konsole eine erklärende Fehlermeldung an, und der vorherige KMS-Schlüssel wird weiterhin verwendet.

  • Die standardmäßige jährliche KMS-Schlüsselrotation erfolgt automatisch. Informationen zu Themen wie Schlüsselrotation, Überwachung von AWS KMS Schlüsseln und Steuerung des Zugriffs auf das Löschen von Schlüsseln finden Sie im AWS KMS Entwicklerhandbuch.

Wichtig

Wenn der von Ihrer IAM Identity Center-Instanz verwendete, vom Kunden verwaltete KMS-Schlüssel gelöscht, deaktiviert oder aufgrund einer falschen KMS-Schlüsselrichtlinie nicht zugänglich ist, können Ihre Belegschaftsbenutzer und IAM Identity Center-Administratoren IAM Identity Center nicht verwenden. Der Verlust des Zugriffs kann je nach den Umständen vorübergehend (eine wichtige Richtlinie kann korrigiert werden) oder dauerhaft (ein gelöschter Schlüssel kann nicht wiederhergestellt werden) sein. Wir empfehlen Ihnen, den Zugriff auf kritische Vorgänge wie das Löschen oder Deaktivieren des KMS-Schlüssels zu beschränken. Außerdem empfehlen wir, dass Ihr Unternehmen AWS glasklare Zugriffsverfahren einrichtet, um sicherzustellen, dass Ihre privilegierten Benutzer AWS in dem unwahrscheinlichen Fall, dass auf IAM Identity Center nicht zugegriffen werden kann, darauf zugreifen können.

Finden Sie die erforderlichen Kennungen

Bei der Konfiguration von Berechtigungen für Ihren vom Kunden verwalteten KMS-Schlüssel benötigen Sie spezifische AWS Ressourcen-IDs, um die Vorlagen für Schlüsselrichtlinien und IAM-Richtlinienerklärungen auszufüllen. Fügen Sie die erforderlichen Kennungen (z. B. die Organisations-ID) und die IAM-Prinzipalnamen in die wichtigsten KMS-Richtlinienerklärungen ein.

Im Folgenden finden Sie eine Anleitung zum Auffinden dieser Kennungen in der AWS Management Console.

IAM Identity Center Amazon-Ressourcenname (ARN) und Identitätsspeicher-ARN

Eine IAM Identity Center-Instanz ist eine AWS Ressource mit einem eigenen eindeutigen ARN wie arn:aws:sso: ::instance/ssoins-1234567890abcdef. Der ARN folgt dem Muster, das im Abschnitt IAM Identity Center-Ressourcentypen der Service Authorization Reference dokumentiert ist.

Jeder IAM Identity Center-Instanz ist ein Identity Store zugeordnet, in dem die Benutzer- und Gruppenidentitäten gespeichert werden. Ein Identity Store hat eine eindeutige Kennung namens Identity Store ID (z. B. d-123456789a). Der ARN folgt dem Muster, das im Abschnitt Identity Store-Ressourcentypen der Service Authorization Reference dokumentiert ist.

Sie finden sowohl die ARN- als auch die Identity Store-ID-Werte auf der Einstellungsseite Ihres IAM Identity Center. Beachten Sie, dass sich die Identity Store-ID auf der Registerkarte Identitätsquelle befindet.

AWS Organizations ID (ID)

Wenn Sie eine Organisations-ID (z. B. o-exampleorg1) in Ihrer Schlüsselrichtlinie angeben möchten, finden Sie ihren Wert auf der Einstellungsseite Ihres IAM Identity Center und der Organisationskonsole. Der ARN folgt dem Muster, das im Abschnitt Ressourcentypen für Organizations der Service Authorization Reference dokumentiert ist.

KMS-Schlüssel ARN

Sie finden den ARN eines KMS-Schlüssels in der AWS KMS Konsole. Wählen Sie links vom Kunden verwaltete Schlüssel aus, klicken Sie auf den Schlüssel, dessen ARN Sie nachschlagen möchten, und Sie werden ihn im Abschnitt Allgemeine Konfiguration sehen. Der ARN folgt dem Muster, das im Abschnitt AWS KMS Ressourcentypen der Service Authorization Reference dokumentiert ist.

Weitere Informationen zu wichtigen Richtlinien AWS KMS und zur Fehlerbehebung bei AWS KMS Berechtigungen finden Sie im AWS Key Management Service Service Developer Guide. Weitere Informationen zu IAM-Richtlinien und ihrer JSON-Darstellung finden Sie im IAM-Benutzerhandbuch.