Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengubah kebijakan utama
Anda dapat mengubah kebijakan kunci untuk KMS kunci Anda Akun AWS dengan menggunakan AWS Management Console atau PutKeyPolicyoperasi. Anda tidak dapat menggunakan teknik ini untuk mengubah kebijakan kunci KMS kunci dalam yang berbeda Akun AWS.
Saat mengubah kebijakan kunci, perhatikan aturan berikut:
-
Anda dapat melihat kebijakan kunci untuk kunci yang dikelola pelanggan, tetapi Anda hanya dapat mengubah kebijakan kunci untuk kunci yang dikelola pelanggan. Kunci yang dikelola AWS Kebijakan Kunci yang dikelola AWS dibuat dan dikelola oleh AWS layanan yang membuat KMS kunci di akun Anda. Anda tidak dapat melihat atau mengubah kebijakan kunci untuk file Kunci milik AWS.
-
Anda dapat menambah atau menghapus IAM pengguna, IAM peran, dan Akun AWS dalam kebijakan utama, serta mengubah tindakan yang diizinkan atau ditolak untuk prinsipal tersebut. Untuk informasi selengkapnya tentang cara menentukan perwakilan dan izin dalam kebijakan kunci, lihat Kebijakan utama.
-
Anda tidak dapat menambahkan IAM grup ke kebijakan utama, tetapi Anda dapat menambahkan beberapa IAM pengguna dan IAM peran. Untuk informasi selengkapnya, lihat Mengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS.
-
Jika Anda menambahkan eksternal Akun AWS ke kebijakan utama, Anda juga harus menggunakan IAM kebijakan di akun eksternal untuk memberikan izin kepada IAM pengguna, grup, atau peran di akun tersebut. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan KMS kunci.
-
Dokumen kebijakan kunci yang dihasilkan tidak dapat melebihi 32 KB (32.768 byte).
Cara mengubah kebijakan kunci
Anda dapat mengubah kebijakan kunci dalam tiga cara berbeda seperti yang dijelaskan di bagian berikut.
Topik
Menggunakan tampilan default AWS Management Console
Anda dapat menggunakan konsol tersebut untuk mengubah kebijakan kunci dengan antarmuka grafis yang disebut tampilan default.
Jika langkah-langkah berikut tidak cocok dengan apa yang Anda lihat di konsol tersebut, mungkin berarti kebijakan kunci ini tidak dibuat oleh konsol tersebut. Atau mungkin berarti bahwa kebijakan kunci telah diubah dengan cara yang tidak didukung oleh tampilan default konsol tersebut. Dalam hal ini, ikuti langkah-langkah di Menggunakan tampilan AWS Management Console kebijakan atau Menggunakan AWS KMS API.
Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMenggunakan AWS KMS konsol. (Anda tidak dapat mengubah kebijakan utama Kunci yang dikelola AWS.)
-
Menentukan hal yang harus diubah.
-
Untuk menambah atau menghapus administrator kunci, dan untuk mengizinkan atau mencegah administrator kunci menghapus KMS kunci, gunakan kontrol di bagian Administrator kunci halaman. Administrator kunci mengelola KMS kunci, termasuk mengaktifkan dan menonaktifkannya, menetapkan kebijakan kunci, dan mengaktifkan rotasi kunci.
-
Untuk menambah atau menghapus pengguna kunci, dan untuk mengizinkan atau melarang eksternal Akun AWS menggunakan KMS kunci, gunakan kontrol di bagian Pengguna kunci halaman. Pengguna kunci dapat menggunakan KMS kunci dalam operasi kriptografi, seperti mengenkripsi, mendekripsi, mengenkripsi ulang, dan menghasilkan kunci data.
-
Menggunakan tampilan AWS Management Console kebijakan
Anda dapat menggunakan konsol tersebut untuk mengubah dokumen kebijakan kunci dengan tampilan kebijakan konsol tersebut.
Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMenggunakan AWS KMS konsol. (Anda tidak dapat mengubah kebijakan utama Kunci yang dikelola AWS.)
-
Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.
-
Edit dokumen kebijakan kunci, lalu pilih Simpan perubahan.
Menggunakan AWS KMS API
Anda dapat menggunakan PutKeyPolicyoperasi untuk mengubah kebijakan kunci KMS kunci di Anda Akun AWS. Anda tidak dapat menggunakan ini API pada KMS kunci yang berbeda Akun AWS.
-
Gunakan GetKeyPolicyoperasi untuk mendapatkan dokumen kebijakan kunci yang ada, lalu simpan dokumen kebijakan kunci ke file. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Gunakan GetKeyPolicy dengan AWS SDK atau CLI.
-
Buka dokumen kebijakan kunci di editor teks pilihan Anda, edit dokumen kebijakan kunci, lalu simpan file.
-
Gunakan PutKeyPolicyoperasi untuk menerapkan dokumen kebijakan kunci yang diperbarui ke KMS kunci. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Gunakan PutKeyPolicy dengan AWS SDK atau CLI.
Untuk contoh menyalin kebijakan kunci dari satu kunci ke KMS kunci lainnya, lihat GetKeyPolicy contoh di AWS CLI Command Reference.
