Sie können in den Schlüsselrichtlinien und AWS Identity and Access Management-Richtlinien (IAM-Richtlinien) die Bedingungen angeben, die den Zugriff auf AWS KMS-Ressourcen steuern. Die Richtlinienanweisung ist nur wirksam, wenn diese Bedingungen erfüllt sind. Beispielsweise kann festgelegt werden, dass eine Richtlinienanweisung erst ab einem bestimmten Datum gilt. Sie können auch festlegen, dass eine Richtlinienanweisung den Zugriff nur steuert, wenn in einer API-Anforderung ein bestimmter Wert vorhanden ist. Show
Verwenden Sie Bedingungsschlüssel im Bedingungsschlüsselwerte müssen die Zeichen- und Kodierungsregeln für AWS KMS-Schlüsselrichtlinien und IAM-Richtlinien befolgen. Weitere Informationen zu wichtigen Dokumentenregeln für Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinienformat. Weitere Informationen zu Regeln für IAM-Richtliniendokumente finden Sie unter Anforderungen für den IAM-Namen im IAM-Benutzerhandbuch. AWS Globale BedingungsschlüsselAWS definiert globale Bedingungsschlüssel, eine Reihe von Richtlinien-Bedingungsschlüsseln für alle AWS-Services, die IAM zur Zugriffskontrolle verwenden. AWS KMS unterstützt alle globalen Bedingungsschlüssel. Sie können sie in AWS KMS-Schlüsselrichtlinien und IAM-Richtlinien verwenden. Sie können beispielsweise den globalen Bedingungsschlüssel aws:PrincipalArn verwenden, um den Zugriff auf einen AWS KMS key (KMS-Schlüssel) nur dann zu gewähren, wenn der Prinzipal in der Anforderung durch den Amazon-Ressourcennamen (ARN) im Bedingungsschlüsselwert dargestellt wird. Zur Unterstützung von attributbasierter Zugriffskontrolle (ABAC) in AWS KMS können Sie den globalen Bedingungsschlüssel aws:ResourceTag/tag-key in einer IAM-Richtlinie verwenden, um den Zugriff auf KMS-Schlüssel mit einem bestimmten Tag zu erlauben. Um zu verhindern, dass ein AWS-Service als verwirrter Stellvertreter in einer Richtlinie verwendet wird, in der der Prinzipal ein AWS-Serviceprinzipal ist, können Sie die globalen Bedingungsschlüssel aws:SourceArn oder aws:SourceAccount verwenden. Details hierzu finden Sie unter Verwenden der Bedingungsschlüssel aws:SourceArn oder aws:SourceAccount. Informationen zu globalen AWS-Bedingungsschlüsseln, einschließlich der Arten von Anforderungen, in denen sie verfügbar sind, finden Sie unter Globale AWS-Bedingungskontextschlüssel im IAM-Benutzerhandbuch. Beispiele für die Verwendung globaler Bedingungsschlüssel in IAM-Richtlinien finden Sie unter Steuern des Zugriffs auf Anforderungen und Steuern von Tag-Schlüsseln im IAM-Benutzerhandbuch. Die folgenden Themen bieten spezielle Anleitungen für die Verwendung von Bedingungsschlüsseln basierend auf IP-Adressen und VPC-Endpunkten. Verwenden der IP-Adressbedingung in Richtlinien mit AWS KMS-BerechtigungenSie können AWS KMS zum Schutz Ihrer Daten in einem integrierten AWS-Service verwenden. Bei Angabe der Bedingungsoperatoren für IP-Adressen oder des Betrachten Sie folgendes Szenario:
Schritt 2 schlägt fehl, da die Anforderung an AWS KMS, den verschlüsselten Datenschlüssel des Datenträgers zu entschlüsseln, von einer IP-Adresse stammt, die der Amazon-EC2-Infrastruktur zugeordnet ist. Dieser Schritt wird nur erfolgreich durchgeführt, wenn die Anforderung von der IP-Adresse des ursprünglichen Benutzers stammt. Da die Richtlinie in Schritt 1 explizit alle Anforderungen von anderen als den angegebenen IP-Adressen ablehnt, wird die Berechtigung für Amazon EC2 zum Entschlüsseln des verschlüsselten Datenschlüssels des EBS-Datenträgers abgelehnt. Weiterhin ist der Bedingungsschlüssel Verwenden von VPC-Endpunkt-Bedingungen in Richtlinien mit AWS KMS-BerechtigungenAWS KMS unterstützt jetzt Amazon-Virtual-Private-Cloud-Endpunkte (Amazon VPC), die von AWS-PrivateLink bereitgestellt werden. Sie können die folgenden globalen Bedingungsschlüssel in Schlüsselrichtlinien und IAM-Richtlinien zur Steuerung des Zugriffs auf AWS KMS-Ressourcen verwenden, wenn die Anforderung von einer VPC stammt oder einen VPC-Endpunkt verwendet. Details hierzu finden Sie unter Verwenden eines VPC-Endpunkts in einer Richtlinienanweisung.
Wenn Sie diese Bedingungsschlüssel verwenden, um den Zugriff auf KMS-Schlüssel zu kontrollieren, verweigern Sie möglicherweise versehentlich den Zugriff auf AWS-Services, die AWS KMS in Ihrem Auftrag verwendet. Seien Sie sorgsam darum bemüht, eine Situation wie das IP-Adressen-Bedingungsschlüssel Beispiel zu vermeiden. Wenn Sie die Anforderungen für einen KMS-Schlüssel an eine VPC oder einen VPC-Endpunkt beschränken, schlagen Aufrufe an AWS KMS von einem integrierten Service wie z. B. Simple Storage Service (Amazon S3) oder Amazon EBS möglicherweise fehl. Dies kann auch dann vorkommen, wenn die Quell-Anforderung letztendlich von der VPC oder dem VPC-Endpunkt stammt. AWS KMS-BedingungsschlüsselAWS KMS bietet einen Satz von Bedingungsschlüsseln, die Sie in Schlüsselrichtlinien und IAM-Richtlinien verwenden können. Diese Bedingungsschlüssel gelten nur für AWS KMS. Sie können beispielsweise den Bedingungsschlüssel Bedingungen für die Anforderung einer API-Produktion Viele der AWS KMS-Bedingungsschlüssel steuern den Zugriff auf einen KMS-Schlüssel anhand dem Wert eines Parameters in der Anforderung für eine AWS KMS-Produktion. Beispielsweise können Sie den Bedingungsschlüssel kms:KeySpec in einer IAM-Richtlinie verwenden, um die Verwendung der CreateKey-Produktion nur zu erlauben, wenn der Wert des Dieser Bedingungstyp funktioniert sogar dann, wenn der Parameter nicht in der Anforderung angezeigt wird, z. B. wenn Sie den Standardwert des Parameters verwenden. Beispielsweise können Sie mit dem Bedingungsschlüssel kms:KeySpec Benutzern die Verwendung der Bedingungen für KMS-Schlüssel, die in API-Operationen verwendet werden Einige AWS KMS-Bedingungsschlüssel steuern den Zugriff auf Operationen anhand einer Eigenschaft des KMS-Schlüssels, die in der Produktion verwendet wird. Beispielsweise können Sie mit der Bedingung kms:KeyOrigin Prinzipalen den Aufruf von GenerateDataKey für einen KMS-Schlüssel nur erlauben, wenn der Bei der Produktion muss es sich um eine KMS-Schlüsselressourcen-Produktion handeln, das heißt, eine Produktion, die für einen bestimmten KMS-Schlüssel autorisiert ist. Um die KMS-Schlüsselressourcen-Operationen zu identifizieren, suchen Sie in der Tabelle Actions and Resources (Aktionen und Ressourcen) Sie nach dem Wert von In den folgenden Themen werden alle AWS KMS-Bedingungsschlüssel beschrieben. Zudem erhalten Sie Beispiel-Richtlinienanweisungen, um die Syntax der Richtlinie aufzuzeigen. Verwenden von Satz-Operatoren mit Bedingungsschlüssel Wenn eine Richtlinienbedingung zwei Werte vergleicht, z. B. den Satz von Tags in einer Anforderung und den Satz von Tags in einer Richtlinie, müssen Sie AWS sagen, wie die Sätze verglichen werden sollen. IAM definiert für diesen Zweck zwei Satz-Operatoren, Bedingungsschlüssel sind einzelwertig oder mehrwertig. Um zu bestimmen, ob ein AWS KMS-Bedingungsschlüssel einzelwertig oder mehrwertig ist, sehen Sie in der Werttyp-Spalte in der Beschreibung des Bedingungsschlüssels.
Beachten Sie, dass der Unterschied zwischen einzelwertigen und mehrwertigen Bedingungsschlüsseln von der Anzahl der Werte im Autorisierungskontext abhängt, nicht von der Anzahl der Werte in der Richtlinienbedingung. Wenn Sie einen Satz-Operator mit einem einzelwertigen Bedingungsschlüssel verwenden, können Sie eine Richtlinienanweisung erstellen, die übermäßig permissiv (oder zu restriktiv) ist. Verwenden Sie Satz-Operatoren nur mit mehrwertigen Bedingungsschlüssel, die diese erfordern. Wenn Sie eine Richtlinie erstellen oder aktualisieren, die einen Ausführliche Informationen zu den kms:BypassPolicyLockoutSafetyCheckAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp Boolesch EinzelwertigNur IAM-Richtlinien Schlüsselrichtlinien und IAM-Richtlinien Der Die folgende Beispiel-IAM-Richtlinienanweisung verhindert, dass Benutzer die Richtliniensperre-Sicherheitsprüfung umgehen, indem Sie die Berechtigung zum Erstellen von KMS-Schlüssel ablehnen, wenn der Wert des Parameters Außerdem können Sie den Statt eine explizite Informationen finden Sie auch unter: kms:CallerAccountAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigKMS-Schlüsselressourcen-Operationen Benutzerdefinierter-Schlüsselspeicher-Operationen Schlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf alle Identitäten (IAM-Benutzer und -Rollen) in einem AWS-Konto zu gestatten oder verweigern. In Schlüsselrichtlinien verwenden Sie das Element Sie können es zum Steuern des Zugriffs auf jede KMS-Schlüsselressourcen-Produktion verwenden, das heißt, jede AWS KMS-Produktion, die einen bestimmten KMS-Schlüssel verwendet. Um die KMS-Schlüsselressourcen-Operationen zu identifizieren, suchen Sie in der Tabelle Actions and Resources (Aktionen und Ressourcen) Sie nach dem Wert von Die folgende Schlüsselrichtlinienanweisung veranschaulicht beispielsweise die Verwendung des Bedingungsschlüssels kms:CustomerMasterKeySpec (veraltet)Der Bedingungsschlüssel Die Bedingungsschlüssel kms:CustomerMasterKeyUsage (veraltet)Der Bedingungsschlüssel Die Bedingungsschlüssel kms:DataKeyPairSpecAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Mit diesem Bedingungsschlüssel können Sie den Zugriff auf die Operationen GenerateDataKeyPair und GenerateDataKeyPairWithoutPlaintext basierend auf dem Wert des Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Bedingungsschlüssel Informationen finden Sie auch unter: kms:EncryptionAlgorithmAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Mit dem Bedingungsschlüssel Dieser Bedingungsschlüssel hat keine Auswirkungen auf Operationen, die außerhalb von AWS KMS ausgeführt werden, z. B. die Verschlüsselung mit dem öffentlichen Schlüssel in einem asymmetrischen KMS-Schlüsselpaar außerhalb von AWS KMS. EncryptionAlgorithm-Parameter in einer Anforderung Damit Benutzer nur einen bestimmten Verschlüsselungsalgorithmus mit einem KMS-Schlüssel verwenden können, verwenden Sie eine Richtlinienanweisung mit dem Effekt Im Gegensatz zu einer Richtlinienanweisung, die es einem Benutzer erlaubt, einen bestimmten Verschlüsselungsalgorithmus zu verwenden, hindert eine Richtlinienanweisung mit einem doppelten Negativwert wie diese andere Richtlinien und Erteilungen für diesen KMS-Schlüssel daran, dieser Rolle die Verwendung anderer Verschlüsselungsalgorithmen zu ermöglichen. Das Der für die Produktion verwendete Verschlüsselungsalgorithmus Sie können auch den Sie können den Beispielsweise beschränkt diese IAM-Richtlinie ihre Prinzipale auf symmetrische Verschlüsselung. Sie verweigert den Zugriff auf jeden KMS-Schlüssel im Beispielkonto für kryptografische Operationen, es sei denn, der in der Anforderung angegebene oder in der Produktion verwendete Verschlüsselungsalgorithmus ist SYMMETRIC_DEFAULT. Wenn Informationen finden Sie auch unter: kms:EncryptionContext:-Kontext-SchlüsselAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Mit dem Dieser Bedingungsschlüssel ist in Schlüsselrichtlinien-Anweisungen und IAM-Richtlinienanweisungen gültig, obwohl er nicht in der IAM-Konsole oder in der IAM-Serviceautorisierungsreferenz vorkommt. Bedingungsschlüsselwerte müssen die Zeichenregeln für Schlüsselrichtlinien und IAM-Richtlinien einhalten. Einige Zeichen, die in einem Verschlüsselungskontext gültig sind, sind in Richtlinien nicht gültig. Sie können diesen Bedingungsschlüssel möglicherweise nicht verwenden, um alle gültigen Verschlüsselungskontextwerte auszudrücken. Weitere Informationen zu wichtigen Dokumentenregeln für Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinienformat. Weitere Informationen zu Regeln für IAM-Richtliniendokumente finden Sie unter Anforderungen für den IAM-Namen im IAM-Benutzerhandbuch. Sie können mit einem asymmetrische KMS-Schlüssel oder einem HMAC-KMS-Schlüssel keinen Verschlüsselungskontext in einer kryptografischen Produktion angeben. Asymmetrische Algorithmen und MAC-Algorithmen unterstützen keinen Verschlüsselungskontext. Um den kms:EncryptionContext:-Kontext-Schlüssel-Bedingungsschlüssel zu verwenden, ersetzen Sie den Der folgende Bedingungsschlüssel gibt beispielsweise einen Verschlüsselungskontext an, in dem der Schlüssel Dies ist ein einzelwertiger Bedingungsschlüssel. Der Schlüssel im Bedingungsschlüssel gibt einen bestimmten Verschlüsselungskontext-Schlüssel an (Kontext-Schlüssel). Obwohl Sie mehrere Verschlüsselungskontext-Paare in jede API-Anforderung einschließen können, kann das Verschlüsselungskontext-Paar mit dem angegebenen Kontext-Schlüssel nur einen Wert haben. Der Verwenden Sie keinen Satz-Operator mit dem Verwenden Sie keinen Wenn Sie eine Richtlinie erstellen oder aktualisieren, die einen
Um ein bestimmtes Verschlüsselungskontext-Paar zu erfordern, verwenden Sie den Die folgende Beispiel-Schlüsselrichtlinienanweisung erlaubt es Prinzipalen, die die Rolle übernehmen können, den KMS-Schlüssel in einer Für den Schlüsselnamen muss die Groß-/Kleinschreibung nicht berücksichtigt werden. Die Berücksichtigung der Groß-/Kleinschreibung des Wertes wird durch den Bedingungsoperator (z. B. Um ein Verschlüsselungskontext-Paar zu erfordern und alle anderen Verschlüsselungskontext-Paare zu verbieten, verwenden Sie sowohl den kms:EncryptionContext:-Kontext-Schlüssel und kms:EncryptionContextKeys in der Richtlinienanweisung. Die folgende Schlüsselrichtlinienanweisung verwendet die Der Sie können diesen Bedingungsschlüssel auch verwenden, um den Zugriff auf einen KMS-Schlüssel für eine bestimmte Produktion zu verweigern. Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet eine Verwenden mehrerer Verschlüsselungskontext-PaareSie können mehrere Verschlüsselungskontext-Paare erfordern oder verbieten. Sie können auch eines von mehreren Verschlüsselungskontext-Paaren erfordern. Ausführliche Informationen zur Logik, die zum Interpretieren dieser Bedingungen verwendet wird, finden Sie unter Erstellen einer Bedingung mit mehreren Schlüsseln oder Werten im IAM-Benutzerhandbuch. In früheren Versionen dieses Themas wurden Richtlinienanweisungen angezeigt, die die Eine Richtlinienbedingung mit dem Bitte überprüfen Sie Ihre Richtlinien und eliminieren Sie den Satz-Operator aus jeder Bedingung mit dem kms:EncryptionContext:-Kontext-Schlüssel. Versuche, eine Richtlinie mit diesem Format zu erstellen oder zu aktualisieren, schlagen mit einer Um mehrere Verschlüsselungskontext-Paare zu erfordern, listen Sie die Paare in derselben Bedingung auf. Die folgende Beispiel-Schlüsselrichtlinienanweisung erfordert zwei Verschlüsselungskontext-Paare, Um ein Verschlüsselungskontext-Paar OR ein anderes Paar zu erfordern, platzieren Sie jeden Bedingungsschlüssel in einer separaten Richtlinienanweisung. Das folgende Beispiel einer Schlüsselrichtlinie erfordert Um ein Verschlüsselungs-Paar zu erfordern und alle anderen Verschlüsselungskontext-Paare zu verbieten, verwenden Sie sowohl den kms:EncryptionContext:-Kontext-Schlüssel und kms:EncryptionContextKeys in der Richtlinienanweisung. Die folgende Schlüsselrichtlinienanweisung verwendet die kms:EncryptionContext:-Kontext-Schlüssel-Bedingung, um einen Verschlüsselungskontext mit Der Sie können auch mehrere Verschlüsselungskontext-Paare verbieten. Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet eine Mehrere Werte ( Beachtung der Groß-/Kleinschreibung bei der VerschlüsselungskontextbedingungDer Verschlüsselungskontext, der in einem Entschlüsselungsvorgang angegeben wird, muss exakt mit dem Verschlüsselungskontext übereinstimmen, der in dem Verschlüsselungsvorgang angegeben wird (inklusive Groß-/Kleinschreibung). Nur die Reihenfolge, in der die Paare angegeben werden, spielt keine Rolle. In den Richtlinienbedingungen wird die Groß-/Kleinschreibung für den Bedingungsschlüssel nicht berücksichtigt. Die Berücksichtigung der Groß-/Kleinschreibung des Bedingungswertes wird durch den von Ihnen verwendeten Richtlinienbedingungsoperator (z. B. Daher unterscheidet der Bedingungsschlüssel, der aus dem Die folgende Richtlinie erlaubt den Vorgang, wenn der Verschlüsselungskontext einen Um einen Kontextschlüssel mit Berücksichtigung der Groß-/Kleinschreibung vorzuschreiben, verwenden Sie die Richtlinienbedingung kms:EncryptionContextKeys mit einem Operator für die Groß-/Kleinschreibung (z. B. Um eine Auswertung des Verschlüsselungskontext-Schlüssels und des Werts unter Berücksichtigung der Groß-/Kleinschreibung zu erfordern, verwenden Sie die Richtlinienbedingungen In der folgenden Beispiel-Schlüsselrichtlinienanweisung wird, nachdem der Verwenden von Variablen in einer VerschlüsselungskontextbedingungDer Schlüssel und der Wert in einem Verschlüsselungskontextpaar müssen einfache Literalzeichenfolgen sein. Sie dürfen keine Ganzzahlen oder Objekte oder Typen, die nicht vollständig aufgelöst sind, sein. Wenn Sie einen anderen Typ verwenden, z. B. eine Ganzzahl oder Gleitkommazahl, interpretiert AWS KMS diesen Typ als Literalzeichenfolge. Der Wert im Sie können diese Richtlinien-Variablen verwenden, um eine Richtlinienanweisung mit einer Bedingung zu erstellen, die sehr spezifische Informationen in einem Verschlüsselungskontext erfordert, z. B. den Benutzernamen des Aufrufers. Da sie eine Variable enthält, können Sie dieselbe Richtlinienanweisung für alle Benutzer verwenden, die die Rolle übernehmen können. Sie müssen nicht für jeden Benutzer eine separate Richtlinienanweisung schreiben. Angenommen, Sie möchten, dass alle Benutzer, die eine Rolle annehmen können, denselben KMS-Schlüssel verwenden, um ihre Daten zu verschlüsseln und zu entschlüsseln. Sie möchten ihnen jedoch nur erlauben, die Daten zu entschlüsseln, die sie verschlüsselt haben. Beginnen Sie damit vorzuschreiben, dass jede Anforderung an AWS KMS einen Verschlüsselungskontext enthält, in dem der Schlüssel Um diese Anforderung zu erzwingen, können Sie dann eine Richtlinienanweisung wie die im folgenden Beispiel verwenden. Diese Richtlinienanweisung erteilt der Wenn die Anforderung ausgewertet wird, ersetzt der Benutzername des Aufrufers die Variable in der Bedingung. So erfordert die Bedingung einen Verschlüsselungskontext von Sie können eine IAM-Richtlinien-Variable nur im Wert des Bedingungsschlüssels Sie können auch anbieterspezifische Kontextschlüssel in Variablen verwenden. Diese Kontextschlüssel identifizieren Benutzer eindeutig, die sich über den Web-Identitätsverbund bei AWS angemeldet haben. Wie alle Variablen können diese Variablen nur in der Die folgende Schlüsselrichtlinienanweisung ähnelt beispielsweise der vorherigen. Die Bedingung erfordert jedoch einen Verschlüsselungskontext, in dem der Schlüssel Informationen finden Sie auch unter: kms:EncryptionContextKeysAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp Zeichenfolge (Liste) MehrwertigSchlüsselrichtlinien und IAM-Richtlinien Mit dem Bedingungsschlüssel Sie können mit einem asymmetrische KMS-Schlüssel oder einem HMAC-KMS-Schlüssel keinen Verschlüsselungskontext in einer kryptografischen Produktion angeben. Asymmetrische Algorithmen und MAC-Algorithmen unterstützen keinen Verschlüsselungskontext. Bedingungsschlüsselwerte, einschließlich eines Verschlüsselungskontextschlüssels, müssen die Zeichen- und Kodierungsregeln für AWS KMS-Schlüsselrichtlinien einhalten. Sie können diesen Bedingungsschlüssel möglicherweise nicht verwenden, um alle gültigen Verschlüsselungskontextschlüssel auszudrücken. Weitere Informationen zu wichtigen Dokumentenregeln für Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinienformat. Weitere Informationen zu Regeln für IAM-Richtliniendokumente finden Sie unter Anforderungen für den IAM-Namen im IAM-Benutzerhandbuch. Dies ist ein mehrwertiger Bedingungsschlüssel. Sie können mehrere Verschlüsselungskontext-Paare in jeder API-Anforderung angeben.
Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Diese Schlüsselrichtlinienanweisung erlaubt beispielsweise eine Da die Bedingungsoperation StringEquals zwischen Groß-/Kleinschreibung unterscheidet, erfordert diese Richtlinienanweisung die passende Schreibweise des Verschlüsselungskontext-Schlüssels. Sie können aber einen Bedingungsoperator verwenden, der die Groß-/Kleinschreibung des Schlüssels ignoriert – z. B. Sie können den Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Bedingungsschlüssel Informationen finden Sie auch unter: kms:ExpirationModelAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Der Das Ablaufdatum und die Uhrzeit werden durch den Wert des ValidTo-Parameters bestimmt. Der Das folgende Richtlinienanweisungsbeispiel verwendet den Sie können auch den Informationen finden Sie auch unter: kms:GrantConstraintTypeAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf die Produktion CreateGrant basierend auf dem Typ der Erteilungseinschränkung der Anforderung zu kontrollieren. Wenn Sie eine Erteilung erstellen, können Sie optional eine Erteilungseinschränkung festlegen, damit die Operationen nur dann Zugriff gewähren, wenn ein bestimmter Verschlüsselungskontext vorhanden ist. Die Erteilungseinschränkung kann einem der folgenden beiden Typen vorliegen: Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Bedingungsschlüssel Informationen finden Sie auch unter: kms:GrantIsForAWSResourceAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp Boolesch EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Erlaubt oder verweigert die Berechtigung für die Operationen CreateGrant, ListGrants oder RevokeGrant nur dann, wenn einer der mit AWS KMS integrierten AWS-Servicesdie Produktion im Namen des Benutzers aufruft. Diese Richtlinienbedingung erlaubt es dem Benutzer nicht, diese Erteilungs-Operationen direkt aufzurufen. Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Bedingungsschlüssel Informationen finden Sie auch unter: kms:GrantProduktionsAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String MehrwertigSchlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf die Produktion CreateGrant anhand der Erteilungs-Operationen der Anforderung zu steuern. Sie können beispielsweise einen Benutzer berechtigen, Erteilungen zu erstellen, mit den die Berechtigung zum Verschlüsseln, aber nicht zum Entschlüsseln gewährt wird. Weitere Informationen zu Erteilungen finden Sie unter Verwenden von Erteilungen. Dies ist ein mehrwertiger Bedingungsschlüssel.
Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Bedingungsschlüssel Wenn Sie den Satz-Operator in der Richtlinienbedingung auf Informationen finden Sie auch unter: kms:GranteePrincipalAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigIAM- und Schlüsselrichtlinien Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf die Produktion CreateGrant basierend auf dem Wert des Parameters GranteePrincipal in der Anforderung zu steuern. Sie können beispielsweise einem Benutzer das Erstellen von Erteilungen zur Verwendung eines KMS-Schlüssels nur erlauben, wenn der erteilungsempfangende Prinzipal in der Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Bedingungsschlüssel Informationen finden Sie auch unter: kms:KeyOriginAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigKMS-Schlüsselressourcen-Operationen IAM-Richtlinien Schlüsselrichtlinien und IAM-Richtlinien Der Bedingungsschlüssel Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf die Produktion CreateKey basierend auf dem Wert des Parameters Origin in der Anforderung zu steuern. Gültige Werte für Beispielsweise können Sie einem Benutzer das Erstellen eines KMS-Schlüssels nur erlauben, wenn das Schlüsselmaterial AWS KMS ( Die folgende Beispiel-Schlüsselrichtlinienanweisung verwendet den Bedingungsschlüssel Sie können mit dem Bedingungsschlüssel Die folgende IAM-Richtlinie erlaubt es beispielsweise Prinzipalen, die angegebenen KMS-Schlüsselressourcen-Operationen auszuführen, jedoch nur mit KMS-Schlüssel in dem Konto, die in einem benutzerdefinierten Schlüsselspeicher erstellt wurde. Informationen finden Sie auch unter: kms:KeySpecAWS KMS-BedingungsschlüsselBedingungstypAPI-OperationenRichtlinientyp String KMS-Schlüsselressourcen-Operationen IAM-Richtlinien Schlüsselrichtlinien und IAM-Richtlinien Der Bedingungsschlüssel Sie können mit diesem Bedingungsschlüssel in einer IAM-Richtlinie den Zugriff auf die CreateKey-Produktion anhand des Wertes des CustomerMasterKeySpec-Parameters in einer Die folgende Beispiel-IAM-Richtlinienanweisung verwendet den Bedingungsschlüssel Sie können mit dem Bedingungsschlüssel Die folgende IAM-Richtlinie erlaubt es beispielsweise Prinzipalen, die angegebenen KMS-Schlüsselressourcen-Operationen auszuführen, jedoch nur mit KMS-Schlüsseln zur symmetrischen Verschlüsselung im Konto. Informationen finden Sie auch unter: kms:KeyUsageAWS KMS-BedingungsschlüsselBedingungstypAPI-OperationenRichtlinientyp String KMS-Schlüsselressourcen-Operationen IAM-Richtlinien Schlüsselrichtlinien und IAM-Richtlinien Der Bedingungsschlüssel Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf die Produktion CreateKey basierend auf dem Wert des Parameters KeyUsage in der Anforderung zu steuern. Gültige Werte für Beispielsweise können Sie es einem Benutzer erlauben, einen KMS-Schlüssel nur dann zu erstellen, wenn Die folgende Beispiel-IAM-Richtlinienanweisung verwendet den Bedingungsschlüssel Sie können mit dem Bedingungsschlüssel Die folgende IAM-Richtlinie erlaubt es beispielsweise Prinzipalen, die angegebenen KMS-Schlüsselressourcen-Operationen auszuführen, jedoch nur mit KMS-Schlüsseln im Konto, die für Signatur und Verifizierung verwendet werden. Informationen finden Sie auch unter: kms:MacAlgorithmAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Sie können mit dem Bedingungsschlüssel Die folgende Beispiel-Schlüsselrichtlinie ermöglicht Benutzern, die zur Verwendung des HMAC-KMS-Schlüssels zum Generieren und Verifizieren von HMAC-Tags nur dann, wenn der MAC-Algorithmus in der Anforderung Informationen finden Sie auch unter: kms:MessageTypeAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigDer Bedingungsschlüssel Die folgende Schlüsselrichtlinienanweisung verwendet beispielsweise den Bedingungsschlüssel Informationen finden Sie auch unter: kms:MultiRegionAWS KMS-BedingungsschlüsselBedingungstypAPI-OperationenRichtlinientyp Boolesch KMS-Schlüsselressourcen-Operationen Schlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um Operationen entweder nur für einzelregionale Schlüssel oder nur für multiregionale Schlüssel zu erlauben. Der Bedingungsschlüssel Das folgende Beispiel einer IAM-Richtlinienanweisung verwendet den kms:MultiRegionKeyTypeAWS KMS-BedingungsschlüsselBedingungstypAPI-OperationenRichtlinientyp String KMS-Schlüsselressourcen-Operationen Schlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um Operationen entweder nur für multiregionale Primärschlüssel oder nur für multiregionale Replikatschlüssel zu erlauben. Der Bedingungsschlüssel In der Regel verwenden Sie den In diesem Beispiel verwendet die IAM-Richtlinienanweisung den Bedingungsschlüssel Um den Zugriff auf alle multiregionale Schlüssel zu erlauben oder zu verweigern, können Sie beide Werte oder einen Nullwert mit kms:PrimaryRegionAWS KMS-BedingungsschlüsselBedingungstypAPI-OperationenRichtlinientyp Zeichenfolge (Liste) Schlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um die Zielregionen in eine UpdatePrimaryRegion-Produktion einzuschränken. Dies sind AWS-Regionen, die Ihre multiregionalen Primärschlüssel hosten können. Der Bedingungsschlüssel Die folgende Schlüsselrichtlinienanweisung verwendet beispielsweise den Bedingungsschlüssel kms:ReEncryptOnSameKeyAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp Boolesch EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Mit diesem Bedingungsschlüssel können Sie den Zugriff auf die ReEncrypt-Produktion basierend darauf kontrollieren, ob die Anforderung den gleichen Ziel-KMS-Schlüssel angibt, der auch für die ursprüngliche Verschlüsselung verwendet wurde. Die folgende Richtlinienanweisung verwendet beispielsweise den Bedingungsschlüssel kms:RequestAliasSie können diesen Bedingungsschlüssel verwenden, um eine Produktion nur dann zu erlauben, wenn die Anforderung einen bestimmten Alias zum Identifizieren des KMS-Schlüssels verwendet. Der Bedingungsschlüssel Diese Bedingung unterstützt attributbasierte Zugriffssteuerung (ABAC) in AWS KMS, mit dem Sie den Zugriff auf KMS-Schlüssel anhand der Tags und Aliasen eines KMS-Schlüssels steuern können. Sie können Tags und Aliase verwenden, um den Zugriff auf einen KMS-Schlüssel zu erlauben oder zu verweigern, ohne Richtlinien oder Erteilungen zu ändern. Details hierzu finden Sie unter ABAC für AWS KMS. Um den Alias in dieser Richtlinienbedingung anzugeben, verwenden Sie einen Aliasnamen, wie Um diese Bedingung zu erfüllen, muss der Wert des Die folgende Schlüsselrichtlinienanweisung erlaubt es beispielsweise dem Prinzipal, die GenerateDataKey-Produktion auf dem KMS-Schlüssel aufzurufen. Dies ist jedoch nur zulässig, wenn der Wert des Sie können diesen Bedingungsschlüssel nicht verwenden, um den Zugriff auf Alias-Operationen zu steuern, z. B. CreateAlias oder DeleteAlias. Weitere Hinweise zum Steuern des Zugriffs auf Alias-Operationen finden Sie unter Steuern des Zugriffs auf Aliasse. kms:ResourceAliasesAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp Zeichenfolge (Liste) MehrwertigKMS-Schlüsselressourcen-OperationenNur IAM-Richtlinien Verwenden Sie diesen Bedingungsschlüssel, um den Zugriff auf einen KMS-Schlüssel basierend auf den Aliasen, die dem KMS-Schlüssel zugeordnet sind. Bei der Operation muss es sich um eine KMS-Schlüsselressourcen-Operation handeln, das heißt, eine Operation, die für einen bestimmten KMS-Schlüssel autorisiert ist. Um die KMS-Schlüsselressourcen-Operationen zu identifizieren, suchen Sie in der Tabelle Actions and Resources (Aktionen und Ressourcen) Sie nach dem Wert von Diese Bedingung unterstützt attributbasierte Zugriffssteuerung (ABAC) in AWS KMS. Mit ABAC können Sie den Zugriff auf KMS-Schlüssel anhand der Tags steuern, die einem KMS-Schlüssel zugewiesen sind, und den Aliasen, die einem KMS-Schlüssel zugeordnet sind. Sie können Tags und Aliasse verwenden, um den Zugriff auf einen KMS-Schlüssel zu erlauben oder zu verweigern, ohne Richtlinien oder Erteilungen zu ändern. Details hierzu finden Sie unter ABAC für AWS KMS. Ein Alias muss in einem AWS-Konto und einer Region eindeutig sein, aber diese Bedingung ermöglicht es Ihnen, den Zugriff auf mehrere KMS-Schlüssel in derselben Region zu steuern (mit dem Die kms:ResourceAliases-Bedingung ist nur wirksam, wenn der KMS-Schlüssel dem Aliase-pro-KMS-Schlüssel-Kontingent entspricht. Wenn ein KMS-Schlüssel dieses Kontingent überschreitet, wird auch Prinzipalen, die berechtigt sind, den KMS-Schlüssel zu nutzen, durch die Bedingung Um den Alias in dieser Richtlinienbedingung anzugeben, verwenden Sie einen Aliasnamen, wie Dies ist ein mehrwertiger Bedingungsschlüssel, der den Satz von Aliasen, die einem KMS-Schlüssel zugeordnet sind, mit dem Satz von Aliasen in der Richtlinie vergleicht. Um zu bestimmen, wie diese Sätze verglichen werden, müssen Sie einen
Die folgende IAM-Richtlinienanweisung erlaubt es beispielsweise dem Prinzipal, die Produktion GenerateDataKey für einen beliebigen KMS-Schlüssel im angegebenen AWS-Konto aufzurufen, das dem Da die Die folgende Beispiel-IAM-Richtlinienanweisung erlaubt es dem Prinzipal, KMS-Schlüssel zu aktivieren und zu deaktivieren, aber nur, wenn alle Aliase den KMS-Schlüssel " kms:ReplicaRegionAWS KMS-BedingungsschlüsselBedingungstypAPI-OperationenRichtlinientyp Zeichenfolge (Liste) Schlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um die AWS-Regionen einzuschränken, in denen ein Prinzipal einen multiregionalen Schlüssel replizieren kann. Der Bedingungsschlüssel Der Wert der Bedingung entspricht einem oder mehreren AWS-Region-Namen, wie Die folgende Schlüsselrichtlinienanweisung verwendet beispielsweise den Bedingungsschlüssel Dieser Bedingungsschlüssel steuert nur den Zugriff auf die ReplicateKey-Produktion. Um den Zugriff auf die UpdatePrimaryRegion-Produktion zu steuern, verwenden Sie den Bedingungsschlüssel kms:PrimaryRegion. kms:RetiringPrincipalAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp Zeichenfolge (Liste) EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf die Produktion CreateGrant basierend auf dem Wert des Parameters RetiringPrincipal in der Anforderung zu steuern. Sie können beispielsweise einem Benutzer das Erstellen von Erteilungen zur Verwendung eines KMS-Schlüssels nur erlauben, wenn der Die folgende Beispiel-Schlüsselrichtlinienanweisung erlaubt es einem Benutzer, Erteilungen für den KMS-Schlüssel zu erstellen. Der Bedingungsschlüssel Informationen finden Sie auch unter: kms:SigningAlgorithmAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Sie können mit dem Bedingungsschlüssel Die folgende Beispiel-Schlüsselrichtlinie erlaubt es Benutzern, die die Informationen finden Sie auch unter: kms:ValidToAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp Zeitstempel EinzelwertigSchlüsselrichtlinien und IAM-Richtlinien Der Standardmäßig ist der Die folgende Beispiel-Richtlinienanweisung erlaubt es einem Benutzer, Schlüsselmaterial in einen KMS-Schlüssel zu importieren. Der Informationen finden Sie auch unter: kms:ViaServiceAWS KMS-BedingungsschlüsselBedingungstypWerttypAPI-OperationenRichtlinientyp String EinzelwertigKMS-Schlüsselressourcen-Operationen Schlüsselrichtlinien und IAM-Richtlinien Der Bedingungsschlüssel Die folgende Schlüsselrichtlinienanweisung verwendet beispielsweise den Bedingungsschlüssel Außerdem können Sie mit dem Bedingungsschlüssel Wenn Sie den Bedingungsschlüssel
Alle Von AWS verwaltete Schlüssel verwenden einen Der Bedingungsschlüssel Services, die den Bedingungsschlüssel {
"Effect": "Allow",
"Action": "kms:PutKeyPolicy",
"Resource": "*",
"Condition": {
"Null": {
"kms:BypassPolicyLockoutSafetyCheck": true
}
}
} |
Dieser Vorgang ist im gegebenen Kontext nicht zulässig
zusammenhängende Posts
Urheberrechte © © 2024 decemle Inc.
