Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Grundlegende KMS-Schlüssel- und IAM-Richtlinienerklärungen
Die hier bereitgestellten grundlegenden Richtlinien für KMS-Schlüssel und identitätsbasierte Identitäten dienen als Grundlage für allgemeine Anforderungen. Wir empfehlen Ihnen außerdem, zu überprüfenWichtige Richtlinienerklärungen für KMS für Fortgeschrittene, ob detailliertere Zugriffskontrollen vorgesehen sind, z. B. sicherzustellen, dass der KMS-Schlüssel nur einer bestimmten IAM Identity Center-Instanz oder verwalteten Anwendung zugänglich ist. AWS Bevor Sie erweiterte KMS-Schlüsselrichtlinienerklärungen verwenden, lesen Sie die. Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien
Die folgenden Abschnitte enthalten grundlegende Richtlinienaussagen für jeden Anwendungsfall. Erweitern Sie die Abschnitte, die Ihren Anwendungsfällen entsprechen, und kopieren Sie die wichtigsten KMS-Richtlinienerklärungen. Kehren Sie dann zu zurückSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor.
Verwenden Sie die folgende Vorlage für wichtige KMS-Richtlinien, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um IAM Identity Center, dem zugehörigen Identity Store und IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
-
Geben Sie im Element Principal für Administratorrichtlinienanweisungen die AWS Kontenprinzipale der Administratorkonten des IAM Identity Center an, d. h. das AWS Organisationsverwaltungskonto und das delegierte Administratorkonto, und verwenden Sie dabei das Format „arn:aws:iam: :111122223333:root“.
-
Ersetzen Sie im Element das Beispiel durch die IAM-Rollen der IAM Identity Center-Administratoren. PrincipalArn ARNs
Sie können entweder Folgendes angeben:
-
Spezifischer ARN für IAM-Rollen:
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678" -
Platzhaltermuster (empfohlen):
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"
Die Verwendung des Platzhalters (
*) verhindert den Verlust des Zugriffs, wenn der Berechtigungssatz gelöscht und neu erstellt wird, da Identity Center neue eindeutige Identifikatoren für neu erstellte Berechtigungssätze generiert. Eine Beispielimplementierung finden Sie unter. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie -
-
Geben Sie im SourceAccount Element die IAM Identity Center-Konto-ID an.
-
Identity Store hat seinen eigenen Dienstprinzipal
identitystore.amazonaws.com, dem die Verwendung des KMS-Schlüssels gestattet werden muss. -
Diese Richtlinienerklärungen ermöglichen es Ihren IAM Identity Center-Instanzen in einem bestimmten AWS Konto, den KMS-Schlüssel zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene Sie können für jedes AWS Konto nur eine IAM Identity Center-Instanz haben.
Die wichtigsten Richtlinienerklärungen von KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*" ] }, "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*" ] }, "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*", "kms:ViaService": "identitystore.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*" ] } } }, { "Sid": "AllowIAMIdentityCenterToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIdentityStoreToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "identitystore.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey", "Effect": "Allow", "Principal": { "Service": [ "identitystore.amazonaws.com", "sso.amazonaws.com" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels um IAM Identity Center-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
-
Ersetzen Sie den Beispielschlüssel-ARN im
ResourceElement durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterWo finde ich die erforderlichen Kennungen. -
Diese IAM-Richtlinienanweisungen gewähren KMS-Schlüsselzugriff auf den IAM-Prinzipal, schränken jedoch nicht ein, welcher AWS Dienst die Anfrage stellen kann. Die KMS-Schlüsselrichtlinie sieht in der Regel diese Diensteinschränkungen vor. Sie können dieser IAM-Richtlinie jedoch einen Verschlüsselungskontext hinzufügen, um die Nutzung auf eine bestimmte Identity Center-Instanz zu beschränken. Einzelheiten finden Sie unter. Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene
Für delegierte Administratoren von IAM Identity Center sind IAM-Richtlinienerklärungen erforderlich
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" } ] }
Anmerkung
Einige AWS verwaltete Anwendungen können nicht verwendet werden, wenn IAM Identity Center mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Weitere Informationen finden Sie unter AWS Verwaltete Anwendungen, die mit IAM Identity Center funktionieren.
Verwenden Sie die folgende Vorlage für eine KMS-SchlüsselrichtlinieSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor, um sowohl AWS verwalteten Anwendungen als auch ihren Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
-
Geben Sie Ihre AWS Organizations ID in die PrincipalOrg ID und die SourceOrgId Bedingungen ein. Hilfe bei der Suche nach den Werten der referenzierten Identifikatoren finden Sie unterWo finde ich die erforderlichen Kennungen.
-
Diese Richtlinienerklärungen ermöglichen es allen Ihren AWS verwalteten Anwendungen und allen IAM-Prinzipalen (Anwendungsadministratoren) in der AWS Organisation, kms: Decrypt mithilfe von IAM Identity Center und Identity Store zu verwenden. Informationen zur Beschränkung dieser Richtlinienerklärungen auf bestimmte AWS verwaltete Anwendungen, Konten oder IAM Identity Center-Instanzen finden Sie unter. Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene
Sie können den Zugriff auf bestimmte Anwendungsadministratoren einschränken, indem Sie ihn durch bestimmte IAM-Prinzipale
*ersetzen. Um sich vor Änderungen der IAM-Rollennamen bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den Ansatz in. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie Weitere Informationen finden Sie unter Überlegungen zur Auswahl grundlegender und erweiterter KMS-Richtlinien.
Wichtige KMS-Richtlinienerklärungen
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" } } }, { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } } ] }
Verwenden Sie die folgende Vorlage für IAM-RichtlinienanweisungenSchritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels, um Administratoren AWS verwalteter Anwendungen die Verwendung des KMS-Schlüssels von einem Mitgliedskonto aus zu ermöglichen.
-
Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterWo finde ich die erforderlichen Kennungen.
-
Bei einigen AWS verwalteten Anwendungen müssen Sie Berechtigungen für den IAM Identity Center-Dienst konfigurieren. APIs Bevor Sie einen vom Kunden verwalteten Schlüssel in IAM Identity Center konfigurieren, stellen Sie sicher, dass diese Berechtigungen auch die Verwendung des KMS-Schlüssels zulassen. Spezifische Berechtigungsanforderungen für KMS-Schlüssel finden Sie in der Dokumentation der einzelnen AWS verwalteten Anwendungen, die Sie bereitgestellt haben.
Für Administratoren AWS verwalteter Anwendungen sind IAM-Richtlinienerklärungen erforderlich:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Verwenden Sie die folgenden Vorlagen für KMS-SchlüsselanweisungenSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor, um AWS Control Tower Tower-Administratoren die Verwendung des KMS-Schlüssels zu ermöglichen.
-
Geben Sie im Principal-Element die IAM-Prinzipale an, die für den Zugriff auf den IAM Identity Center-Dienst verwendet werden. APIs Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter Einen Prinzipal angeben.
-
Diese Richtlinienerklärungen ermöglichen es AWS Control Tower Tower-Administratoren, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. AWS Control Tower schränkt jedoch den Zugriff auf die Organisationsinstanz von IAM Identity Center in derselben AWS Organisation ein. Aufgrund dieser Einschränkung hat eine weitere Beschränkung des KMS-Schlüssels auf eine bestimmte IAM Identity Center-Instanz keinen praktischen Nutzen, wie unter beschrieben. Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene
-
Verwenden Sie zum Schutz vor Änderungen des IAM-Rollennamens bei der Neuerstellung von Berechtigungssätzen den in der beschriebenen Ansatz. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie
KMS-Schlüsselrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/AWSControlTowerExecution" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
AWS Control Tower unterstützt keine delegierte Administration, weshalb Sie keine IAM-Richtlinie für seine Administratoren konfigurieren müssen.
Verwenden Sie die folgende Vorlage für KMS-SchlüsselrichtlinienerklärungenSchritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor, um Benutzern von Single Sign-On (SSO) Amazon EC2 Amazon-Instances die kontenübergreifende Verwendung des KMS-Schlüssels zu ermöglichen.
-
Geben Sie im Feld Principal die IAM-Prinzipale an, die für den Zugriff auf das IAM Identity Center verwendet werden. Weitere Informationen zu IAM-Prinzipalen finden Sie im IAM-Benutzerhandbuch unter Einen Prinzipal angeben.
-
Diese Richtlinienerklärung ermöglicht es allen Ihren IAM Identity Center-Instances, den KMS-Schlüssel zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene
-
Um sich vor Änderungen der IAM-Rollennamen bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den im Beispiel für eine benutzerdefinierte Vertrauensrichtlinie beschriebenen Ansatz.
Anweisung für die KMS-Schlüsselrichtlinie
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Verwenden Sie die folgende Vorlage für IAM-Richtlinienanweisungen, Schritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels um SSO für EC2 Instanzen die Verwendung des KMS-Schlüssels zu ermöglichen.
Hängen Sie die IAM-Richtlinienerklärung an den vorhandenen Berechtigungssatz in IAM Identity Center an, den Sie verwenden, um SSO-Zugriff auf EC2 Amazon-Instances zu gewähren. Beispiele für IAM-Richtlinien finden Sie unter Remote Desktop Protocol-Verbindungen im AWS Systems Manager Manager-Benutzerhandbuch.
-
Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterWo finde ich die erforderlichen Kennungen.
IAM-Richtlinie für den Berechtigungssatz:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Verwenden Sie die folgenden Vorlagen für wichtige KMS-Richtlinienerklärungen, Schritt 2: Bereiten Sie die wichtigsten Richtlinienerklärungen für KMS vor um benutzerdefinierten Workflows, wie z. B. vom Kunden verwalteten Anwendungen, im AWS Organizations Verwaltungskonto oder im delegierten Administratorkonto die Verwendung des KMS-Schlüssels zu ermöglichen. Beachten Sie, dass für den SAML-Verbund mit vom Kunden verwalteten Anwendungen keine KMS-Schlüsselberechtigungen erforderlich sind.
-
Geben Sie im Principal-Element die IAM-Prinzipale an, die für den Zugriff auf den IAM Identity Center-Dienst verwendet werden. APIs Weitere Informationen zu IAM-Prinzipalen finden Sie unter Einen Prinzipal angeben im IAM-Benutzerhandbuch.
-
Diese Richtlinienerklärungen ermöglichen es Ihrem Workflow, den KMS-Schlüssel über jede Ihrer IAM Identity Center-Instanzen zu verwenden. Informationen zum Einschränken des Zugriffs auf eine bestimmte IAM Identity Center-Instanz finden Sie unter. Wichtige Richtlinienerklärungen für KMS für Fortgeschrittene
-
Um sich vor Änderungen des IAM-Rollennamens bei der Neuerstellung von Berechtigungssätzen zu schützen, verwenden Sie den in der beschriebenen Ansatz. Beispiel für eine benutzerdefinierte Vertrauensrichtlinie
KMS-Schlüsselrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } } ] }
Verwenden Sie die folgende Vorlage für IAM-RichtlinienanweisungenSchritt 4: Konfigurieren Sie IAM-Richtlinien für die kontoübergreifende Verwendung des KMS-Schlüssels, damit der mit dem benutzerdefinierten Workflow verknüpfte IAM-Prinzipal den KMS-Schlüssel kontenübergreifend verwenden kann. Fügen Sie die IAM-Richtlinienerklärung zum IAM-Prinzipal hinzu.
-
Ersetzen Sie den Beispiel-ARN im Resource-Element durch Ihren tatsächlichen KMS-Schlüssel-ARN. Hilfe bei der Suche nach den Werten der referenzierten Bezeichner finden Sie unterWo finde ich die erforderlichen Kennungen.
IAM-Richtlinienerklärung (nur für die kontoübergreifende Verwendung erforderlich):
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringLike": { "kms:ViaService": [ "sso.*.amazonaws.com", "identitystore.*.amazonaws.com" ] } } }] }
Beispiele für wichtige KMS-Richtlinienerklärungen für allgemeine Anwendungsfälle
IAM Identity Center mit delegierten Administratoren und verwalteten Anwendungen AWS
Dieser Abschnitt enthält Beispiele für wichtige KMS-Richtlinienanweisungen, die Sie für eine IAM Identity Center-Instanz verwenden können, die über delegierte Administratoren und verwaltete Anwendungen verfügt. AWS
Wichtig
Bei den wichtigsten KMS-Richtlinienanweisungen wird davon ausgegangen, dass Ihre IAM Identity Center-Instanz nicht in anderen Anwendungsfällen verwendet wird, für die KMS-Schlüsselberechtigungen erforderlich sind. Zur Bestätigung können Sie alle Anwendungsfälle überprüfen. Weitere Informationen darüber, ob für Ihre AWS verwalteten Anwendungen eine zusätzliche Konfiguration erforderlich ist, finden Sie unter Zusätzliche Konfiguration in einigen verwalteten Anwendungen AWS
Kopieren Sie die wichtigsten KMS-Richtlinienanweisungen unter der Tabelle und fügen Sie sie Ihrer KMS-Schlüsselrichtlinie hinzu. In diesem Beispiel werden die folgenden Beispielwerte verwendet:
-
111122223333— Konto-ID der IAM Identity Center-Instanz -
444455556666— Konto-ID für delegierte Administratoren -
o-a1b2c3d4e5- AWS Organisations-ID -
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*— Ein Platzhaltermuster der IAM-Rolle eines IAM Identity Center-Administrators, die über den Berechtigungssatz bereitgestellt wurde.AdminEine solche Rolle enthält den Regionalcode der primären Region (in diesem Beispiel us-east-1). -
arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*— Ein Platzhaltermuster für die IAM-Rolle eines delegierten IAM Identity Center-Administrators, die über den Berechtigungssatz bereitgestellt wurde.DelegatedAdminEine solche Rolle enthält den Regionalcode der primären Region (in diesem Beispiel us-east-1).
Wenn die IAM-Rolle nicht anhand eines Berechtigungssatzes generiert wurde, sieht die IAM-Rolle wie eine reguläre aus, z. B. arn:aws:iam::111122223333:role/idcadmin
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*" ] }, "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*", "kms:ViaService": "sso.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*" ] }, "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*", "kms:ViaService": "identitystore.*.amazonaws.com" } } }, { "Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*", "arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*" ] } } }, { "Sid": "AllowIAMIdentityCenterToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIdentityStoreToUseTheKMSKey", "Effect": "Allow", "Principal": { "Service": "identitystore.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey", "Effect": "Allow", "Principal": { "Service": [ "identitystore.amazonaws.com", "sso.amazonaws.com" ] }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" } } }, { "Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5" }, "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "sso.*.amazonaws.com", "kms:EncryptionContext:aws:sso:instance-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } }, { "Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore", "Effect": "Allow", "Principal": "*", "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "identitystore.*.amazonaws.com", "kms:EncryptionContext:aws:identitystore:identitystore-arn": "*" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "StringEquals": { "aws:SourceOrgID": "o-a1b2c3d4e5" } } } ] }
