Memeriksa kebijakan IAM - AWS Key Management Service
Memeriksa IAM kebijakan dengan simulator IAM kebijakanMemeriksa IAM kebijakan dengan IAM API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memeriksa kebijakan IAM

Selain kebijakan dan hibah utama, Anda juga dapat menggunakan IAMkebijakan untuk mengizinkan akses ke KMS kunci. Untuk informasi selengkapnya tentang cara IAM kebijakan dan kebijakan utama bekerja sama, lihatIzin pemecahan masalah AWS KMS.

Untuk menentukan prinsipal mana yang saat ini memiliki akses ke KMS kunci melalui IAM kebijakan, Anda dapat menggunakan alat Simulator IAM Kebijakan berbasis browser, atau Anda dapat membuat permintaan ke. IAM API

Memeriksa IAM kebijakan dengan simulator IAM kebijakan

Simulator IAM Kebijakan dapat membantu Anda mempelajari prinsip mana yang memiliki akses ke KMS kunci melalui kebijakan. IAM

Untuk menggunakan simulator IAM kebijakan untuk menentukan akses ke KMS kunci

  1. Masuk ke AWS Management Console dan kemudian buka Simulator IAM Kebijakan dihttps://policysim.aws.amazon.com/.

  2. Di panel Pengguna, Grup, dan Peran, pilih pengguna, grup, atau peran yang kebijakannya ingin disimulasikan.

  3. (Opsional) Hapus kotak centang di samping kebijakan yang ingin dihilangkan dari simulasi. Untuk mensimulasikan semua kebijakan, biarkan semua kebijakan dipilih.

  4. Di panel Simulator Kebijakan, lakukan hal berikut:

    1. Untuk Pilih layanan, pilih Layanan Manajemen Kunci.

    2. Untuk mensimulasikan AWS KMS tindakan tertentu, untuk Pilih tindakan, pilih tindakan yang akan disimulasikan. Untuk mensimulasikan semua AWS KMS tindakan, pilih Pilih Semua.

  5. (Opsional) Simulator Kebijakan mensimulasikan akses ke semua KMS kunci secara default. Untuk mensimulasikan akses ke KMS kunci tertentu, pilih Pengaturan Simulasi lalu ketik Amazon Resource Name (ARN) KMS kunci yang akan disimulasikan.

  6. Pilih Jalankan Simulasi.

Anda bisa melihat hasil simulasi di bagian Hasil. Ulangi langkah 2 hingga 6 untuk setiap pengguna, grup, dan peran dalam Akun AWS.

Memeriksa IAM kebijakan dengan IAM API

Anda dapat menggunakan IAM API untuk memeriksa IAM kebijakan secara terprogram. Langkah-langkah berikut memberikan gambaran umum tentang cara melakukannya:

  1. Untuk setiap yang Akun AWS terdaftar sebagai prinsipal dalam kebijakan utama (yaitu, setiap prinsipal AWS akun yang ditentukan dalam format ini:"Principal": {"AWS": "arn:aws:iam::111122223333:root"}), gunakan ListUsersdan ListRolesoperasi di IAM API untuk mendapatkan semua pengguna dan peran dalam akun.

  2. Untuk setiap pengguna dan peran dalam daftar, gunakan SimulatePrincipalPolicyoperasi di IAMAPI, meneruskan parameter berikut:

    • UntukPolicySourceArn, tentukan Nama Sumber Daya Amazon (ARN) pengguna atau peran dari daftar Anda. Anda hanya dapat menentukan satu PolicySourceArn untuk setiap SimulatePrincipalPolicy permintaan, jadi Anda harus memanggil operasi ini beberapa kali, sekali untuk setiap pengguna dan peran dalam daftar Anda.

    • Untuk ActionNames daftar, tentukan setiap AWS KMS API tindakan yang akan disimulasikan. Untuk mensimulasikan semua AWS KMS API tindakan, gunakankms:*. Untuk menguji AWS KMS API tindakan individu, mendahului setiap API tindakan dengan "kms:“, misalnya"”kms:ListKeys. Untuk daftar lengkap AWS KMS API tindakan, lihat Tindakan dalam AWS Key Management Service APIReferensi.

    • (Opsional) Untuk menentukan apakah pengguna atau peran memiliki akses ke KMS kunci tertentu, gunakan ResourceArns parameter untuk menentukan daftar Nama Sumber Daya Amazon (ARNs) KMS kunci. Untuk menentukan apakah pengguna atau peran memiliki akses ke KMS kunci apa pun, hilangkan ResourceArns parameter.

IAMmenanggapi setiap SimulatePrincipalPolicy permintaan dengan keputusan evaluasi:allowed,explicitDeny, atauimplicitDeny. Untuk setiap tanggapan yang berisi keputusan evaluasiallowed, respons mencakup nama AWS KMS API operasi spesifik yang diizinkan. Ini juga termasuk KMS kunci yang digunakan dalam evaluasi, jika ada. ARN