Memeriksa pemberian izin - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memeriksa pemberian izin

Hibah adalah mekanisme lanjutan untuk menentukan izin yang AWS KMS dapat digunakan oleh Anda atau AWS layanan terintegrasi untuk menentukan bagaimana dan kapan KMS kunci dapat digunakan. Hibah dilampirkan ke KMS kunci, dan setiap hibah berisi kepala sekolah yang menerima izin untuk menggunakan KMS kunci dan daftar operasi yang diizinkan. Pemberian izin adalah alternatif untuk kebijakan kunci , dan berguna untuk kasus penggunaan tertentu. Untuk informasi selengkapnya, lihat Hibah di AWS KMS.

Untuk mendapatkan daftar hibah untuk KMS kunci, gunakan AWS KMS ListGrantsoperasi. Anda dapat memeriksa hibah untuk KMS kunci untuk menentukan siapa atau apa yang saat ini memiliki akses untuk menggunakan KMS kunci melalui hibah tersebut. Misalnya, berikut ini adalah JSON representasi dari hibah yang diperoleh dari perintah daftar-hibah di. AWS CLI

{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}

Untuk mengetahui siapa atau apa yang memiliki akses untuk menggunakan KMS kunci, cari "GranteePrincipal" elemennya. Dalam contoh sebelumnya, prinsipal penerima hibah adalah pengguna peran yang diasumsikan yang terkait dengan instance i-5d476fab. EC2 EC2Infrastruktur menggunakan peran ini untuk melampirkan volume terenkripsi EBS vol-5cccfb4e ke instance. Dalam hal ini, peran EC2 infrastruktur memiliki izin untuk menggunakan KMS kunci karena sebelumnya Anda membuat EBS volume terenkripsi yang dilindungi oleh kunci iniKMS. Anda kemudian melampirkan volume ke sebuah EC2 instance.

Berikut ini adalah contoh lain dari JSON representasi hibah yang diperoleh dari perintah daftar-hibah di. AWS CLI Dalam contoh berikut, pokok penerima hibah adalah yang lain. Akun AWS

{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}