Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Angeben von KMS-Schlüsseln in IAM-Richtlinienanweisungen Sie können eine IAM-Richtlinie verwenden, um einem Prinzipal die Verwendung oder Verwaltung von KMS-Schlüsseln zu erlauben. KMS-Schlüssel werden in dem `Resource`-Element der Richtlinienanweisung angegeben. + Um einen KMS-Schlüssel in einer IAM-Richtlinienanweisung anzugeben, müssen Sie dessen [Schüssel-ARN](concepts.md#key-id-key-ARN) verwenden. Sie können keine [Schlüssel-ID](concepts.md#key-id-key-id) und keinen [Aliasnamen](concepts.md#key-id-alias-name) oder [Alias-ARN](concepts.md#key-id-alias-ARN) verwenden, um einen KMS-Schlüssel in einer IAM-Richtlinienanweisung zu identifizieren. Zum Beispiel: „`Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`“ Um den Zugriff auf einen KMS-Schlüssel anhand seiner Aliase zu steuern, verwenden Sie die Bedingungsschlüssel [kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias) oder [kms](conditions-kms.md#conditions-kms-resource-aliases):. ResourceAliases Details hierzu finden Sie unter [ABAC für AWS KMS](abac.md). Verwenden Sie einen Alias-ARN nur als Ressource in einer Richtlinienanweisung, die den Zugriff auf Aliasoperationen wie [CreateAlias[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/UpdateAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/CreateAlias.html), oder steuert [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/DeleteAlias.html). Details hierzu finden Sie unter [Steuern des Zugriffs auf Aliasse](alias-access.md). + Um mehrere KMS-Schlüssel im Konto und in der Region anzugeben, verwenden Sie Platzhalterzeichen (\$1) in den Regions- oder Ressourcen-ID-Positionen des Schlüssel-ARN. Um beispielsweise alle KMS-Schlüssel in der Region USA West (Oregon) eines Kontos anzugeben, verwenden Sie "`Resource": "arn:aws:kms:us-west-2:111122223333:key/*`". Um alle KMS-Schlüssel in allen Regionen des Kontos anzugeben, verwenden Sie "`Resource": "arn:aws:kms:*:111122223333:key/*`". + Um alle KMS-Schlüssel darzustellen, verwenden Sie nur ein Platzhalterzeichen (`"*"`). Verwenden Sie dieses Format für Operationen, die keinen bestimmten KMS-Schlüssel verwenden, nämlich [CreateKey[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html), [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html), und [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html). Wenn Sie Ihre Richtlinienanweisungen schreiben, ist es eine [bewährte Methode](iam-policies-best-practices.md), nur die KMS-Schlüssel anzugeben, die der Prinzipal verwenden muss, anstatt ihm Zugriff auf alle KMS-Schlüssel zu gewähren. Die folgende IAM-Richtlinienanweisung ermöglicht es dem Principal beispielsweise [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html), die [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [Decrypt-Operationen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) nur für die KMS-Schlüssel aufzurufen, die im `Resource` Element der Richtlinienanweisung aufgeführt sind. Durch die bewährte Methode, KMS-Schlüssel nach dem Schlüssel-ARN anzugeben, wird sichergestellt, dass die Berechtigungen nur auf die angegebenen KMS-Schlüssel beschränkt sind. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/01234abcd-12ab-34cd-56ef-1234567890ab" ] } } ``` ------ Um die Berechtigung auf alle KMS-Schlüssel in einem bestimmten vertrauenswürdigen Bereich anzuwenden AWS-Konto, können Sie Platzhalterzeichen (\$1) an den Positionen Region und Schlüssel-ID verwenden. Beispielsweise erlaubt die folgende Richtlinienanweisung es dem Prinzipal, die angegebenen Operationen für alle KMS-Schlüssel in zwei vertrauenswürdigen Beispielkonten aufzurufen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyPair" ], "Resource": [ "arn:aws:kms:*:111122223333:key/*", "arn:aws:kms:*:444455556666:key/*" ] } } ``` ------ Sie können auch nur ein Platzhalterzeichen (`"*"`) in dem `Resource`-Element verwenden. Da es den Zugriff auf alle KMS-Schlüssel erlaubt, die das Konto nutzen darf, wird es in erster Linie für Operationen ohne einen bestimmten KMS-Schlüssel und für `Deny`-Anweisungen empfohlen. Sie können es auch in Richtlinienanweisungen verwenden, die nur weniger vertrauliche schreibgeschützte Operationen erlauben. Um festzustellen, ob ein AWS KMS Vorgang einen bestimmten KMS-Schlüssel beinhaltet, suchen Sie in der Spalte **Ressourcen** der Tabelle unter nach dem **KMS-Schlüsselwert**. [AWS KMS Berechtigungen](kms-api-permissions-reference.md) Die folgende Richtlinienanweisung nutzt einen `Deny`-Effekt, um Prinzipalen die Nutzung der angegebenen Operationen auf irgendeinem KMS-Schlüssel zu verweigern. Sie verwendet ein Platzhalterzeichen in dem `Resource`-Element, um alle KMS-Schlüssel darzustellen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "kms:CreateKey", "kms:PutKeyPolicy", "kms:CreateGrant", "kms:ScheduleKeyDeletion" ], "Resource": "*" } } ``` ------ Die folgende Richtlinienanweisung verwendet nur ein Platzhalterzeichen, um alle KMS-Schlüssel darzustellen. Sie erlaubt jedoch nur weniger sensible schreibgeschützte Operationen und Operationen, die nicht für einen bestimmten KMS-Schlüssel gelten. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:ListKeys", "kms:ListAliases", "kms:ListResourceTags" ], "Resource": "*" } } ``` ------