Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# ABAC untuk AWS KMS
Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. AWS KMS mendukung ABAC dengan memungkinkan Anda untuk mengontrol akses ke kunci yang dikelola pelanggan Anda berdasarkan tag dan alias yang terkait dengan kunci KMS. Kunci kondisi tag dan alias yang memungkinkan ABAC AWS KMS menyediakan cara yang kuat dan fleksibel untuk mengotorisasi prinsipal untuk menggunakan kunci KMS tanpa mengedit kebijakan atau mengelola hibah. Namun Anda harus menggunakan fitur ini dengan hati-hati sehingga perwakilan tidak ditolak aksesnya atau diizinkan secara tidak sengaja.
Jika Anda menggunakan ABAC, ketahui bahwa izin untuk mengelola tag dan alias sekarang adalah izin kontrol akses. Pastikan Anda mengetahui tag dan alias yang ada di semua kunci KMS sebelum menerapkan kebijakan yang bergantung pada tag atau alias. Lakukan tindakan pencegahan yang wajar saat menambahkan, menghapus, dan memperbarui alias, dan saat menandai dan menghapus tanda kunci. Berikan izin untuk mengelola tag dan alias hanya kepada perwakilan yang membutuhkannya, dan membatasi tag dan alias yang dapat mereka kelola.
**Catatan**
Saat menggunakan ABAC untuk AWS KMS, berhati-hatilah dalam memberikan izin kepada prinsipal untuk mengelola tag dan alias. Mengubah tag atau alias mungkin mengizinkan atau menolak izin ke kunci KMS. Administrator kunci yang tidak memiliki izin untuk mengubah kebijakan kunci atau membuat hibah dapat mengontrol akses ke kunci KMS jika mereka memiliki izin untuk mengelola tag atau alias.
Mungkin diperlukan waktu hingga lima menit untuk perubahan tag dan alias untuk memengaruhi otorisasi kunci KMS. Perubahan terbaru mungkin terlihat dalam operasi API sebelum mempengaruhi otorisasi.
Untuk mengontrol akses ke kunci KMS berdasarkan aliasnya, Anda harus menggunakan tombol kondisi. Anda tidak dapat menggunakan alias untuk mewakili kunci KMS dalam `Resource` elemen pernyataan kebijakan. Ketika alias muncul di `Resource` elemen, pernyataan kebijakan berlaku untuk alias, bukan ke kunci KMS terkait.
**Pelajari selengkapnya**
+ Untuk detail tentang AWS KMS dukungan untuk ABAC, termasuk contoh, lihat [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md) dan[Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).
+ Untuk informasi lebih umum tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dan [Mengontrol Akses ke AWS Sumber Daya Menggunakan Tag Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) di *Panduan Pengguna IAM*.
## Kunci kondisi ABAC untuk AWS KMS
Untuk mengotorisasi akses ke kunci KMS berdasarkan tag dan aliasnya, gunakan kunci kondisi berikut dalam kebijakan kunci atau kebijakan IAM.
| Kunci syarat ABAC | Deskripsi | Tipe kebijakan | AWS KMS operasi |
| --- | --- | --- | --- |
| [aws: ResourceTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | Tag (kunci dan nilai) pada kunci KMS cocok dengan tag (kunci dan nilai) atau pola tag dalam kebijakan | Khusus kebijakan IAM | Operasi sumber daya utama KMS 2 |
| [aws:RequestTag/*tag-kunci*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | Tag (kunci dan nilai) dalam permintaan cocok dengan tag (kunci dan nilai) atau pola tag dalam kebijakan | Kebijakan kunci dan kebijakan IAM1 | [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html) |
| [aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) | Kunci tag dalam permintaan cocok dengan kunci tag dalam kebijakan | Kebijakan kunci dan kebijakan IAM1 | [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html) |
| [km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases) | Alias yang terkait dengan kunci KMS cocok dengan alias atau pola alias dalam kebijakan | Khusus kebijakan IAM | Operasi sumber daya utama KMS 2 |
| [km: RequestAlias](conditions-kms.md#conditions-kms-request-alias) | Alias yang mewakili kunci KMS dalam permintaan cocok dengan pola alias atau alias dalam kebijakan. | Kebijakan kunci dan kebijakan IAM1 | [Operasi kriptografi](kms-cryptography.md#cryptographic-operations),, [DescribeKey[GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) |
1Kunci syarat yang dapat digunakan dalam kebijakan kunci juga dapat digunakan dalam kebijakan IAM, tetapi hanya jika [kebijakan kunci mengizinkannya](key-policy-default.md#key-policy-default-allow-root-enable-iam).
2 *Operasi sumber daya kunci KMS adalah operasi* yang diizinkan untuk kunci KMS tertentu. Untuk mengidentifikasi operasi sumber daya kunci KMS, dalam [tabel AWS KMS izin](kms-api-permissions-reference.md#kms-api-permissions-reference-table), cari nilai kunci KMS di `Resources` kolom untuk operasi.
Misalnya, Anda dapat menggunakan kunci syarat ini untuk membuat kebijakan berikut.
+ Kebijakan IAM dengan `kms:ResourceAliases` itu memungkinkan izin untuk menggunakan kunci KMS dengan alias atau pola alias tertentu. Ini sedikit berbeda dari kebijakan yang mengandalkan tag: Meskipun Anda dapat menggunakan pola alias dalam kebijakan, setiap alias harus unik di Akun AWS dan Wilayah. Ini memungkinkan Anda menerapkan kebijakan ke kumpulan kunci KMS tertentu tanpa mencantumkan kunci kunci ARNs KMS dalam pernyataan kebijakan. Untuk menambah atau menghapus kunci KMS dari set, ubah alias tombol KMS.
+ Kebijakan kunci dengan `kms:RequestAlias` itu memungkinkan prinsipal untuk menggunakan kunci KMS dalam `Encrypt` operasi, tetapi hanya ketika `Encrypt` permintaan menggunakan alias tersebut untuk mengidentifikasi kunci KMS.
+ Kebijakan IAM dengan `aws:ResourceTag/tag-key` itu menolak izin untuk menggunakan kunci KMS dengan kunci tag dan nilai tag tertentu. Ini memungkinkan Anda menerapkan kebijakan ke kumpulan kunci KMS tertentu tanpa mencantumkan kunci kunci ARNs KMS dalam pernyataan kebijakan. Untuk menambah atau menghapus kunci KMS dari set, tag atau untag kunci KMS.
+ Kebijakan IAM dengan `aws:RequestTag/tag-key` itu memungkinkan prinsipal untuk menghapus hanya `"Purpose"="Test"` tag kunci KMS.
+ Kebijakan IAM dengan `aws:TagKeys` itu menolak izin untuk menandai atau menghapus tag kunci KMS dengan kunci tag. `Restricted`
ABAC menjadikan manajemen akses fleksibel dan dapat diskalakan. Misalnya, Anda dapat menggunakan kunci `aws:ResourceTag/tag-key` kondisi untuk membuat kebijakan IAM yang memungkinkan prinsipal menggunakan kunci KMS untuk operasi tertentu hanya jika kunci KMS memiliki tag. `Purpose=Test` Kebijakan ini berlaku untuk semua kunci KMS di seluruh Wilayah. Akun AWS
Saat dilampirkan ke pengguna atau peran, kebijakan IAM berikut memungkinkan prinsipal untuk menggunakan semua kunci KMS yang ada dengan `Purpose=Test` tag untuk operasi yang ditentukan. Untuk menyediakan akses ini ke kunci KMS baru atau yang sudah ada, Anda tidak perlu mengubah kebijakan. Cukup lampirkan `Purpose=Test` tag ke tombol KMS. Demikian pula, untuk menghapus akses ini dari kunci KMS dengan `Purpose=Test` tag, edit atau hapus tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AliasBasedIAMPolicy",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
Namun, jika Anda menggunakan fitur ini, hati-hati saat mengelola tag dan alias. Menambahkan, mengubah, atau menghapus tag atau alias dapat secara tidak sengaja mengizinkan atau menolak akses ke kunci KMS. Administrator kunci yang tidak memiliki izin untuk mengubah kebijakan kunci atau membuat hibah dapat mengontrol akses ke kunci KMS jika mereka memiliki izin untuk mengelola tag dan alias. Untuk mengurangi risiko ini, pertimbangkan [membatasi izin untuk mengelola tag](tag-permissions.md#tag-permissions-conditions) dan [alias](alias-access.md#alias-access-limiting). Misalnya, Anda mungkin ingin hanya mengizinkan perwakilan terpilih yang dapat mengelola tag `Purpose=Test`. Untuk detailnya, lihat [Gunakan alias untuk mengontrol akses ke tombol KMS](alias-authorization.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).
## Tag atau alias?
AWS KMS mendukung ABAC dengan tag dan alias. Kedua opsi ini menyediakan strategi kontrol akses yang fleksibel dan dapat diskalakan, tetapi keduanya sedikit berbeda satu sama lain.
Anda mungkin memutuskan untuk menggunakan tag atau menggunakan alias berdasarkan pola AWS penggunaan khusus Anda. Misalnya, jika Anda telah memberikan izin penandaan kepada sebagian besar administrator, mungkin akan lebih mudah untuk mengontrol strategi otorisasi berdasarkan alias. Atau, jika Anda mendekati kuota [alias per kunci KMS](resource-limits.md#aliases-per-key), Anda mungkin lebih memilih strategi otorisasi berdasarkan tag.
Manfaat berikut adalah kepentingan umum.
**Manfaat kontrol akses berbasis tag**
+ Mekanisme otorisasi yang sama untuk berbagai jenis AWS sumber daya.
Anda dapat menggunakan tag atau kunci tag yang sama untuk mengontrol akses ke beberapa jenis sumber daya, seperti klaster Amazon Relational Database Service (Amazon RDS), volume Amazon Elastic Block Store (Amazon EBS) Block Store (Amazon EBS), dan kunci KMS. Fitur ini mengaktifkan beberapa model otorisasi yang berbeda yang lebih fleksibel dari kontrol akses berbasis peran tradisional.
+ Otorisasi akses ke sekelompok kunci KMS.
Anda dapat menggunakan tag untuk mengelola akses ke sekelompok kunci KMS yang sama Akun AWS dan Wilayah. Tetapkan tag atau kunci tag yang sama ke kunci KMS yang Anda pilih. Kemudian buat pernyataan easy-to-maintain kebijakan sederhana yang didasarkan pada tag atau kunci tag. Untuk menambah atau menghapus kunci KMS dari grup otorisasi Anda, tambahkan atau hapus tag; Anda tidak perlu mengedit kebijakan.
**Manfaat kontrol akses berbasis alias**
+ Otorisasi akses ke operasi kriptografi berdasarkan alias.
Sebagian besar kondisi kebijakan berbasis permintaan untuk atribut, termasuk [aws:RequestTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag), hanya memengaruhi operasi yang menambahkan, mengedit, atau menghapus atribut. Tetapi [kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias) condition key mengontrol akses ke operasi kriptografi berdasarkan alias yang digunakan untuk mengidentifikasi kunci KMS dalam permintaan. Misalnya, Anda dapat memberikan izin utama untuk menggunakan kunci KMS dalam `Encrypt` operasi tetapi hanya jika nilai `KeyId` parameternya`alias/restricted-key-1`. Untuk memenuhi syarat ini, Anda memerlukan semua hal berikut:
+ Kunci KMS harus dikaitkan dengan alias itu.
+ Permintaan harus menggunakan alias untuk mengidentifikasi kunci KMS.
+ Kepala sekolah harus memiliki izin untuk menggunakan kunci KMS sesuai dengan `kms:RequestAlias` kondisi tersebut.
Ini sangat berguna jika aplikasi Anda biasanya menggunakan nama alias atau alias ARNs untuk merujuk ke kunci KMS.
+ Berikan izin yang sangat terbatas.
Alias harus unik di wilayah Akun AWS dan. Akibatnya, memberi prinsipal akses ke kunci KMS berdasarkan alias bisa jauh lebih membatasi daripada memberi mereka akses berdasarkan tag. Tidak seperti alias, tag dapat ditetapkan ke beberapa kunci KMS di akun dan Wilayah yang sama. Jika Anda memilih, Anda dapat menggunakan pola alias, seperti`alias/test*`, untuk memberikan akses prinsipal ke sekelompok kunci KMS di akun dan Wilayah yang sama. Namun, mengizinkan atau menolak akses ke alias tertentu memungkinkan kontrol yang sangat ketat pada kunci KMS.
# Memecahkan masalah ABAC untuk AWS KMS
Mengontrol akses ke kunci KMS berdasarkan tag dan aliasnya nyaman dan kuat. Namun, ini rentan akan beberapa kesalahan yang dapat diprediksi yang ingin Anda cegah.
## Akses berubah karena perubahan tag
Jika tag dihapus atau nilainya diubah, prinsipal yang memiliki akses ke kunci KMS hanya berdasarkan tag tersebut akan ditolak akses ke kunci KMS. Ini juga dapat terjadi ketika tag yang disertakan dalam pernyataan kebijakan penolakan ditambahkan ke kunci KMS. Menambahkan tag terkait kebijakan ke kunci KMS dapat memungkinkan akses ke kepala sekolah yang harus ditolak aksesnya ke kunci KMS.
Misalnya, misalkan kepala sekolah memiliki akses ke kunci KMS berdasarkan `Project=Alpha` tag, seperti izin yang diberikan oleh contoh pernyataan kebijakan IAM berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyWithResourceTag",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Alpha"
}
}
}
]
}
```
------
Jika tag dihapus dari kunci KMS atau nilai tag diubah, prinsipal tidak lagi memiliki izin untuk menggunakan kunci KMS untuk operasi yang ditentukan. Ini mungkin menjadi jelas ketika prinsipal mencoba membaca atau menulis data dalam AWS layanan yang menggunakan kunci yang dikelola pelanggan Untuk melacak perubahan tag, tinjau CloudTrail log [TagResource](ct-tagresource.md)atau [UntagResource entri](ct-untagresource.md) Anda.
Untuk memulihkan akses tanpa memperbarui kebijakan, ubah tag pada tombol KMS. Tindakan ini memiliki dampak minimal selain jangka waktu singkat saat diterapkan di seluruh AWS KMS. Agar kesalahan seperti ini tidak terjadi, hanya berikan izin penandaan dan penghapusan tanda untuk perwakilan yang memerlukannya dan [batasi izin penandaan](tag-permissions.md#tag-permissions-conditions) untuk tag yang perlu dikelola.. Sebelum mengubah tag, cari kebijakan untuk mendeteksi akses yang bergantung pada tag, dan dapatkan kunci KMS di semua Wilayah yang memiliki tag. Anda dapat mempertimbangkan untuk membuat CloudWatch alarm Amazon ketika tag tertentu diubah.
## Perubahan akses karena perubahan alias
Jika alias dihapus atau dikaitkan dengan kunci KMS yang berbeda, prinsipal yang memiliki akses ke kunci KMS hanya berdasarkan alias tersebut akan ditolak akses ke kunci KMS. Hal ini juga dapat terjadi ketika alias yang terkait dengan kunci KMS disertakan dalam pernyataan kebijakan penolakan. Menambahkan alias terkait kebijakan ke kunci KMS juga dapat memungkinkan akses ke kepala sekolah yang harus ditolak aksesnya ke kunci KMS.
Misalnya, pernyataan kebijakan IAM berikut menggunakan [kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases) condition key untuk mengizinkan akses ke kunci KMS di Wilayah akun yang berbeda dengan alias yang ditentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AliasBasedIAMPolicy",
"Effect": "Allow",
"Action": [
"kms:List*",
"kms:Describe*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/ProjectAlpha",
"alias/ProjectAlpha_Test",
"alias/ProjectAlpha_Dev"
]
}
}
}
]
}
```
------
Untuk melacak perubahan alias, tinjau CloudTrail log Anda untuk [CreateAlias](ct-createalias.md), [UpdateAlias](ct-updatealias.md), dan [DeleteAlias](ct-deletealias.md)entri.
Untuk memulihkan akses tanpa memperbarui kebijakan, ubah alias yang terkait dengan kunci KMS. Karena setiap alias dapat dikaitkan dengan hanya satu kunci KMS di akun dan Wilayah, mengelola alias sedikit lebih sulit daripada mengelola tag. Memulihkan akses ke beberapa prinsipal pada satu kunci KMS dapat menolak akses prinsipal yang sama atau lainnya ke kunci KMS yang berbeda.
Agar kesalahan ini tidak terjadi, berikan izin manajemen alias hanya untuk perwakilan yang memerlukannya dan [batasi izin manajemen-alias](alias-access.md#alias-access-limiting) untuk alias yang perlu dikelola. Sebelum memperbarui atau menghapus alias, cari kebijakan untuk mendeteksi akses yang bergantung pada alias, dan temukan kunci KMS di semua Wilayah yang terkait dengan alias.
## Akses ditolak karena kuota alias
Pengguna yang diberi wewenang untuk menggunakan kunci KMS dengan ResourceAliases kondisi [kms:](conditions-kms.md#conditions-kms-resource-aliases) akan mendapatkan `AccessDenied` pengecualian jika kunci KMS melebihi [alias default per kuota kunci KMS](resource-limits.md#aliases-per-key) untuk akun dan Wilayah tersebut.
Untuk memulihkan akses, hapus alias yang terkait dengan kunci KMS sehingga sesuai dengan kuota. Atau gunakan mekanisme alternatif untuk memberi pengguna akses ke kunci KMS.
## Perubahan otorisasi yang tertunda
Perubahan yang Anda buat pada tag dan alias mungkin membutuhkan waktu hingga lima menit untuk memengaruhi otorisasi kunci KMS. Akibatnya, perubahan tag atau alias mungkin tercermin dalam respons dari operasi API sebelum berlaku pada otorisasi. Penundaan ini kemungkinan akan lebih lama daripada penundaan konsistensi akhirnya singkat yang mempengaruhi sebagian besar AWS KMS operasi.
Misalnya, Anda mungkin memiliki kebijakan IAM yang memungkinkan prinsipal tertentu untuk menggunakan kunci KMS apa pun dengan tag. `"Purpose"="Test"` Kemudian Anda menambahkan `"Purpose"="Test"` tag ke kunci KMS. Meskipun [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operasi selesai dan [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)respons mengonfirmasi bahwa tag ditetapkan ke kunci KMS, kepala sekolah mungkin tidak memiliki akses ke kunci KMS hingga lima menit.
Agar tidak terjadi kesalahan, buat perkiraan penundaan ke dalam kode Anda.
## Permintaan gagal karena pembaruan alias
Saat memperbarui alias, Anda mengaitkan alias yang ada dengan kunci KMS yang berbeda.
[Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) dan [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)permintaan yang menentukan [nama alias](concepts.md#key-id-alias-name) atau alias [ARN](concepts.md#key-id-alias-ARN) mungkin gagal karena alias sekarang dikaitkan dengan kunci KMS yang tidak mengenkripsi ciphertext. Situasi ini biasanya menampilkan `IncorrectKeyException` atau `NotFoundException`. Atau jika permintaan tidak memiliki `KeyId` atau `DestinationKeyId` parameter, operasi mungkin gagal dengan `AccessDenied` pengecualian karena pemanggil tidak lagi memiliki akses ke kunci KMS yang mengenkripsi ciphertext.
Anda dapat melacak perubahan dengan melihat CloudTrail log untuk [CreateAlias](ct-createalias.md), [UpdateAlias](ct-updatealias.md), dan entri [DeleteAlias](ct-deletealias.md)log. Anda juga dapat menggunakan nilai `LastUpdatedDate` bidang dalam [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)respons untuk mendeteksi perubahan.
Misalnya, [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)contoh respons berikut menunjukkan bahwa `ProjectAlpha_Test` alias dalam `kms:ResourceAliases` kondisi telah diperbarui. Akibatnya, kepala sekolah yang memiliki akses berdasarkan alias kehilangan akses ke kunci KMS yang sebelumnya terkait. Sebaliknya, mereka memiliki akses ke kunci KMS yang baru terkait.
```
$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/ProjectAlpha`)]'
{
"Aliases": [
{
"AliasName": "alias/ProjectAlpha_Test",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ProjectAlpha_Test",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1566518783.394,
"LastUpdatedDate": 1605308931.903
},
{
"AliasName": "alias/ProjectAlpha_Restricted",
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ProjectAlpha_Restricted",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1553410800.010,
"LastUpdatedDate": 1553410800.010
}
]
}
```
Memperbaiki perubahan ini tidaklah mudah. Anda dapat memperbarui alias lagi untuk mengaitkannya dengan kunci KMS asli. Namun, sebelum Anda bertindak, Anda perlu mempertimbangkan efek perubahan itu pada kunci KMS yang saat ini terkait. Jika kepala sekolah menggunakan kunci KMS terakhir dalam operasi kriptografi, mereka mungkin memerlukan akses lanjutan ke sana. Dalam hal ini, Anda mungkin ingin memperbarui kebijakan untuk memastikan bahwa kepala sekolah memiliki izin untuk menggunakan kedua kunci KMS.
Anda dapat mencegah kesalahan seperti ini: Sebelum memperbarui alias, cari kebijakan untuk mendeteksi akses yang bergantung pada alias. Kemudian dapatkan kunci KMS di semua Wilayah yang terkait dengan alias. Berikan izin manajemen alias hanya untuk perwakilan yang memerlukannya dan [batasi izin manajemen-alias](alias-access.md#alias-access-limiting) untuk alias yang perlu dikelola.