AWS verwaltete Richtlinie: AWSKeyManagementServicePowerUser AWS verwaltete Richtlinie: AWSServiceRoleForKeyManagementServiceCustomKeyStores AWS verwaltete Richtlinie: AWSServiceRoleForKeyManagementServiceMultiRegionKeys AWS KMS Aktualisierungen der verwalteten Richtlinien AWS

AWS verwaltete Richtlinien für AWS Key Management Service

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS verwaltete Richtlinie: AWSKeyManagementServicePowerUser

Sie können die AWSKeyManagementServicePowerUser-Richtlinie an Ihre IAM-Identitäten anfügen.

Sie können die AWSKeyManagementServicePowerUser verwaltete Richtlinie verwenden, um den IAM Hauptbenutzern in Ihrem Konto die Berechtigungen eines Hauptbenutzers zu erteilen. Hauptbenutzer können KMS Schlüssel erstellen, die von ihnen erstellten KMS Schlüssel verwenden und verwalten und alle KMS Schlüssel und IAM Identitäten einsehen. Principals, die über die AWSKeyManagementServicePowerUser verwaltete Richtlinie verfügen, können auch Berechtigungen aus anderen Quellen erhalten, z. B. aus wichtigen Richtlinien, anderen IAM Richtlinien und Zuschüssen.

AWSKeyManagementServicePowerUserist eine AWS verwaltete IAM Richtlinie. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

Anmerkung

KMSSchlüsselspezifische Berechtigungen in dieser Richtlinie, wie z. B. kms:TagResource und, sind nur wirksamkms:GetKeyRotationStatus, wenn die Schlüsselrichtlinie für diesen KMS Schlüssel ausdrücklich die Verwendung von IAM Richtlinien AWS-Konto zur Steuerung des Zugriffs auf den Schlüssel zulässt. Um festzustellen, ob eine Berechtigung für einen KMS Schlüssel spezifisch ist, suchen Sie AWS KMS Berechtigungen in der Spalte Ressourcen nach dem Wert KMSSchlüssel.

Diese Richtlinie gewährt einem Hauptbenutzer Berechtigungen für jeden KMS Schlüssel mit einer Schlüsselrichtlinie, die den Vorgang zulässt. Bei kontoübergreifenden Berechtigungen wie kms:DescribeKey und können dazu auch KMS Schlüssel gehörenkms:ListGrants, die nicht AWS-Konten vertrauenswürdig sind. Details dazu finden Sie unter Bewährte Verfahren für IAM Richtlinien und Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen. Um festzustellen, ob eine Berechtigung für KMS Schlüssel in anderen Konten gültig ist, suchen Sie AWS KMS Berechtigungen in der Spalte Kontoübergreifende Verwendung nach dem Wert Ja.

Damit die Hauptbenutzer die AWS KMS Konsole ohne Fehler aufrufen können, benötigt der Principal das Tag: GetResources permission, das nicht in der AWSKeyManagementServicePowerUser Richtlinie enthalten ist. Sie können diese Berechtigung in einer separaten IAM Richtlinie gewähren.

Die AWSKeyManagementServicePowerUserverwaltete IAM Richtlinie umfasst die folgenden Berechtigungen.

Ermöglicht Prinzipalen das Erstellen von KMS Schlüsseln. Da dieser Prozess die Festlegung der Schlüsselrichtlinie beinhaltet, können Poweruser sich selbst und anderen die Erlaubnis geben, die von ihnen erstellten KMS Schlüssel zu verwenden und zu verwalten.
Ermöglicht es Prinzipalen, Aliase und Tags für alle KMS Schlüssel zu erstellen und zu löschen. Durch das Ändern eines Tags oder Alias kann die Erlaubnis zur Verwendung und Verwaltung des KMS Schlüssels erteilt oder verweigert werden. Details hierzu finden Sie unter ABACfür AWS KMS.
Ermöglicht es den Prinzipalen, detaillierte Informationen zu allen KMS Schlüsseln abzurufen, einschließlich SchlüsselARN, kryptografischer Konfiguration, Schlüsselrichtlinie, Aliase, Tags und Rotationsstatus.
Ermöglicht Prinzipalen, IAM Benutzer, Gruppen und Rollen aufzulisten.
Diese Richtlinie erlaubt es Prinzipalen nicht, KMS Schlüssel zu verwenden oder zu verwalten, die sie nicht selbst erstellt haben. Sie können jedoch Aliase und Tags auf allen KMS Schlüsseln ändern, wodurch ihnen möglicherweise die Erlaubnis zur Verwendung oder Verwaltung eines KMS Schlüssels erteilt oder verweigert wird.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSServiceRoleForKeyManagementServiceCustomKeyStores

Sie können AWSServiceRoleForKeyManagementServiceCustomKeyStores nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, mit der Sie die AWS KMS Erlaubnis erhalten, die mit Ihrem AWS CloudHSM Schlüsselspeicher verknüpften AWS CloudHSM Cluster anzuzeigen und das Netzwerk so einzurichten, dass eine Verbindung zwischen Ihrem benutzerdefinierten Schlüsselspeicher und seinem AWS CloudHSM Cluster unterstützt wird. Weitere Informationen finden Sie unter Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon-Ressourcen EC2.

AWS verwaltete Richtlinie: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

Sie können AWSServiceRoleForKeyManagementServiceMultiRegionKeys nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, die die AWS KMS Erlaubnis erteilt, alle Änderungen am Schlüsselmaterial eines Primärschlüssels mit mehreren Regionen mit seinen Replikatschlüsseln zu synchronisieren. Weitere Informationen finden Sie unter Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen.

AWS KMS Aktualisierungen der verwalteten Richtlinien AWS

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS KMS seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS Feed auf der Seite, um automatische Benachrichtigungen über Änderungen an dieser AWS KMS Dokumentverlauf Seite zu erhalten.

Änderung	Beschreibung	Datum
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	AWS KMS hat der verwalteten Richtlinie in der Richtlinienversion v2 ein Feld mit der Anweisungs-ID (`Sid`) hinzugefügt.	21. November 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	AWS KMS hat die `ec2:DescribeNetworkInterfaces` Berechtigungen `ec2:DescribeVpcsec2:DescribeNetworkAcls`,, und hinzugefügt, um Änderungen in dem zu überwachenVPC, AWS CloudHSM was Ihren Cluster enthält, sodass bei Ausfällen eindeutige Fehlermeldungen ausgegeben werden AWS KMS können.	10. November 2023
AWS KMS hat begonnen, Änderungen zu verfolgen	AWS KMS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.	10. November 2023

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Service-verknüpfte Rollen