Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Testen der Berechtigungen
Für die Verwendung AWS KMS benötigen Sie Anmeldeinformationen, mit denen Sie Ihre API-Anfragen authentifizieren AWS können. Die Anmeldedaten müssen die Berechtigung zum Zugriff auf KMS-Schlüssel und Aliase enthalten. Die Berechtigungen werden durch Schlüsselrichtlinien, IAM-Richtlinien, Zuschüsse und kontoübergreifende Zugriffskontrollen bestimmt. Sie können nicht nur den Zugriff auf KMS-Schlüssel steuern, sondern auch den Zugriff auf Ihr CloudHSM und auf Ihre benutzerdefinierten Schlüsselspeicher.
Sie können den `DryRun`-API-Parameter angeben, um zu überprüfen, ob Sie über die erforderlichen Berechtigungen verfügen, um AWS KMS -Schlüssel zu verwenden. Sie können damit auch überprüfen`DryRun`, ob die Anforderungsparameter in einem AWS KMS API-Aufruf korrekt angegeben sind.
**Topics**
+ [Was ist der DryRun Parameter?](#what-is-dryrun)
+ [DryRun Mit der API spezifizieren](#dryrun-api)
## Was ist der DryRun Parameter?
`DryRun` ist ein optionaler API-Parameter, den Sie angeben, um zu überprüfen, ob AWS KMS -API-Aufrufe erfolgreich sind. Verwenden Sie `DryRun`, um Ihren API-Aufruf zu testen, bevor Sie AWS KMS tatsächlich aufrufen. Sie können die folgenden Punkte überprüfen.
+ Dass Sie über die erforderlichen Berechtigungen verfügen, um AWS KMS -Schlüssel zu verwenden.
+ Dass Sie die Parameter im Aufruf korrekt angegeben haben.
AWS KMS unterstützt die Verwendung des `DryRun` Parameters in bestimmten API-Aktionen:
+ [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
+ [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)
+ [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)
+ [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)
+ [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
+ [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)
+ [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)
+ [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
+ [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)
+ [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)
+ [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html)
+ [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)
Die Verwendung des `DryRun`-Parameters ist kostenpflichtig und wird als Standard-API-Anfrage in Rechnung gestellt. Weitere Informationen zur AWS KMS Preisgestaltung finden Sie unter [AWS Key Management Service Preisgestaltung](https://aws.amazon.com/kms/pricing/).
Alle API-Anfragen, die den `DryRun`-Parameter verwenden, beziehen sich auf das Anforderungskontingent der API und können zu einer Drosselungsausnahme führen, wenn Sie ein API-Anforderungskontingent überschreiten. Beispielsweise wird der Aufruf von [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) mit `DryRun` oder ohne `DryRun` demselben Kontingent für kryptografische Operationen angerechnet. Weitere Informationen hierzu finden Sie unter [Drosselung AWS KMS von Anfragen](throttling.md).
Jeder Aufruf eines AWS KMS API-Vorgangs wird als Ereignis erfasst und in einem AWS CloudTrail Protokoll aufgezeichnet. Die Ausgabe aller Operationen, die den `DryRun` Parameter angeben, wird in Ihrem CloudTrail Protokoll angezeigt. Weitere Informationen finden Sie unter [AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md).
## DryRun Mit der API spezifizieren
Geben Sie zur Verwendung `DryRun` den `—dry-run` Parameter in AWS CLI Befehlen und AWS KMS API-Aufrufen an, die den Parameter unterstützen. Wenn Sie dies tun, AWS KMS wird überprüft, ob Ihr Anruf erfolgreich sein wird. AWS KMS Anrufe, die ich verwende, schlagen immer `DryRun` fehl und geben eine Meldung mit Informationen über den Grund zurück, warum der Anruf fehlgeschlagen ist. Die Nachricht kann die folgenden Ausnahmen enthalten:
+ `DryRunOperationException` – Die Anfrage wäre erfolgreich, wenn `DryRun` nicht angegeben wäre.
+ `ValidationException` – Die Anfrage schlug fehl, weil ein falscher API-Parameter angegeben wurde.
+ `AccessDeniedException` – Sie sind nicht berechtigt, die angegebene API-Aktion auf der KMS-Ressource auszuführen.
Der folgende Befehl verwendet beispielsweise den [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Vorgang und erstellt eine Zuweisung, die es Benutzern, die berechtigt sind, die `keyUserRole` Rolle zu übernehmen, ermöglicht, den [Decrypt-Vorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) für einen angegebenen [symmetrischen KMS-Schlüssel](symm-asymm-choose-key-spec.md#symmetric-cmks) aufzurufen. Der `DryRun`-Parameter ist angegeben.
```
$ aws kms create-grant \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
--operations Decrypt \
--dry-run
```