Izinkan administrator kunci untuk menjadwalkan dan membatalkan penghapusan kunci

Kontrol akses ke penghapusan kunci

Jika Anda menggunakan IAM kebijakan untuk mengizinkan AWS KMS izin, IAM identitas yang memiliki akses AWS administrator ("Action": "*") atau akses AWS KMS penuh ("Action": "kms:*") sudah diizinkan untuk menjadwalkan dan membatalkan kunci penghapusan kunci. KMS Untuk mengizinkan administrator kunci menjadwalkan dan membatalkan penghapusan kunci dalam kebijakan kunci, gunakan AWS KMS konsol atau. AWS KMS API

Biasanya, hanya administrator kunci yang memiliki izin untuk menjadwalkan atau membatalkan penghapusan kunci. Namun, Anda dapat memberikan izin ini ke IAM identitas lain dengan menambahkan kms:CancelKeyDeletion izin kms:ScheduleKeyDeletion dan ke kebijakan utama atau kebijakan. IAM Anda juga dapat menggunakan kunci kms:ScheduleKeyDeletionPendingWindowInDayskondisi untuk lebih membatasi nilai yang dapat ditentukan oleh prinsipal dalam PendingWindowInDays parameter permintaan. ScheduleKeyDeletion

Izinkan administrator kunci untuk menjadwalkan dan membatalkan penghapusan kunci

Untuk memberikan izin kepada administrator kunci untuk menjadwalkan dan membatalkan penghapusan kunci.

Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
Pilih alias atau ID kunci KMS kunci yang izinnya ingin Anda ubah.
Pilih tab kebijakan kunci.
Langkah selanjutnya berbeda untuk tampilan default dan tampilan kebijakan kebijakan utama Anda. Tampilan default hanya tersedia jika Anda menggunakan kebijakan kunci konsol default. Jika tidak, hanya tampilan kebijakan yang tersedia.

Jika tampilan default tersedia, tombol Beralih ke tampilan kebijakan atau Beralih ke tampilan default akan muncul di tab Kebijakan kunci.
- Dalam tampilan default:
  1. Di bawah Penghapusan kunci, pilih Izinkan administrator kunci untuk menghapus kunci ini.
- Dalam tampilan kebijakan:
  1. Pilih Edit.
  2. Dalam pernyataan kebijakan untuk administrator kunci, tambahkan kms:CancelKeyDeletion izin kms:ScheduleKeyDeletion dan ke elemen. Action
```
{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}
```
  3. Pilih Simpan perubahan.

Anda dapat menggunakan AWS Command Line Interface untuk menambahkan izin untuk penjadwalan dan pembatalan penghapusan kunci.

Guna menambahkan izin untuk menjadwalkan dan membatalkan penghapusan kunci

Gunakan perintah aws kms get-key-policy untuk mengambil kebijakan kunci yang sudah ada, lalu simpan dokumen kebijakan ke sebuah file.

Buka dokumen kebijakan di editor teks pilihan Anda. Dalam pernyataan kebijakan untuk administrator kunci, tambahkan kms:ScheduleKeyDeletion dan kms:CancelKeyDeletion izin. Contoh berikut menunjukkan pernyataan kebijakan dengan dua izin ini:


{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

Gunakan aws kms put-key-policyperintah untuk menerapkan kebijakan kunci ke KMS kunci.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Hapus kunci

Jadwalkan penghapusan kunci