Mengubah kebijakan kunci - AWS Key Management Service
Cara mengubah kebijakan kunciMengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengubah kebijakan kunci

Anda dapat mengubah kebijakan kunci untuk KMS kunci di Akun AWS dengan menggunakan AWS Management Console atau PutKeyPolicyoperasi. Anda tidak dapat menggunakan teknik ini untuk mengubah kebijakan kunci KMS kunci dalam hal yang berbeda Akun AWS.

Saat mengubah kebijakan kunci, perhatikan aturan berikut:

  • Anda dapat melihat kebijakan kunci untuk Kunci yang dikelola AWSatau kunci yang dikelola pelanggan, tetapi Anda hanya dapat mengubah kebijakan kunci untuk kunci yang dikelola pelanggan. Kebijakan dari Kunci yang dikelola AWS dibuat dan dikelola oleh AWS layanan yang membuat KMS kunci di akun Anda. Anda tidak dapat melihat atau mengubah kebijakan kunci untuk Kunci milik AWS.

  • Anda dapat menambah atau menghapus IAM pengguna, IAM peran, dan Akun AWS dalam kebijakan utama, dan mengubah tindakan yang diizinkan atau ditolak untuk prinsipal tersebut. Untuk informasi selengkapnya tentang cara menentukan perwakilan dan izin dalam kebijakan kunci, lihat Kebijakan utama.

  • Anda tidak dapat menambahkan IAM grup ke kebijakan utama, tetapi Anda dapat menambahkan beberapa IAM pengguna dan IAM peran. Untuk informasi selengkapnya, lihat Mengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS.

  • Jika Anda menambahkan eksternal Akun AWS Untuk kebijakan utama, Anda juga harus menggunakan IAM kebijakan di akun eksternal untuk memberikan izin kepada IAM pengguna, grup, atau peran di akun tersebut. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  • Dokumen kebijakan kunci yang dihasilkan tidak dapat melebihi 32 KB (32.768 byte).

Cara mengubah kebijakan kunci

Anda dapat mengubah kebijakan kunci dalam tiga cara berbeda seperti yang dijelaskan di bagian berikut.

Menggunakan AWS Management Console tampilan default

Anda dapat menggunakan konsol tersebut untuk mengubah kebijakan kunci dengan antarmuka grafis yang disebut tampilan default.

Jika langkah-langkah berikut tidak cocok dengan apa yang Anda lihat di konsol tersebut, mungkin berarti kebijakan kunci ini tidak dibuat oleh konsol tersebut. Atau mungkin berarti bahwa kebijakan kunci telah diubah dengan cara yang tidak didukung oleh tampilan default konsol tersebut. Dalam hal ini, ikuti langkah-langkah di Menggunakan AWS Management Console tampilan kebijakan atau Menggunakan AWS KMS API.

  1. Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMelihat kebijakan kunci (konsol). (Anda tidak dapat mengubah kebijakan utama Kunci yang dikelola AWS.)

  2. Menentukan hal yang harus diubah.

Menggunakan AWS Management Console tampilan kebijakan

Anda dapat menggunakan konsol tersebut untuk mengubah dokumen kebijakan kunci dengan tampilan kebijakan konsol tersebut.

  1. Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMelihat kebijakan kunci (konsol). (Anda tidak dapat mengubah kebijakan utama Kunci yang dikelola AWS.)

  2. Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.

  3. Edit dokumen kebijakan kunci, lalu pilih Simpan perubahan.

Menggunakan AWS KMS API

Anda dapat menggunakan PutKeyPolicyoperasi untuk mengubah kebijakan kunci KMS kunci di Akun AWS. Anda tidak dapat menggunakan ini API pada KMS kunci yang berbeda Akun AWS.

  1. Gunakan GetKeyPolicyoperasi untuk mendapatkan dokumen kebijakan kunci yang ada, lalu simpan dokumen kebijakan kunci ke file. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Gunakan GetKeyPolicy dengan AWS SDKatau CLI.

  2. Buka dokumen kebijakan kunci di editor teks pilihan Anda, edit dokumen kebijakan kunci, lalu simpan file.

  3. Gunakan PutKeyPolicyoperasi untuk menerapkan dokumen kebijakan kunci yang diperbarui ke KMS kunci. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Gunakan PutKeyPolicy dengan AWS SDKatau CLI.

Untuk contoh menyalin kebijakan kunci dari satu KMS kunci ke kunci lainnya, lihat GetKeyPolicy contoh di AWS CLI Referensi Perintah.

Mengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS

IAMgrup bukan prinsip yang valid dalam kebijakan utama. Untuk memungkinkan beberapa pengguna dan peran mengakses KMS kunci, lakukan salah satu hal berikut:

  • Gunakan IAM peran sebagai prinsipal dalam kebijakan kunci. Beberapa pengguna yang berwenang dapat mengambil peran sesuai kebutuhan. Untuk detailnya, lihat IAMperan di Panduan IAM Pengguna.

    Meskipun Anda dapat mencantumkan beberapa IAM pengguna dalam kebijakan utama, praktik ini tidak disarankan karena mengharuskan Anda memperbarui kebijakan kunci setiap kali daftar pengguna yang berwenang berubah. Selain itu, praktik IAM terbaik mencegah penggunaan IAM pengguna dengan kredensil jangka panjang. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

  • Gunakan IAM kebijakan untuk memberikan izin kepada IAM grup. Untuk melakukan ini, pastikan bahwa kebijakan kunci menyertakan pernyataan yang memungkinkan IAM kebijakan mengizinkan akses ke KMS kunci, membuat IAM kebijakan yang memungkinkan akses ke KMS kunci, dan kemudian melampirkan kebijakan tersebut ke IAM grup yang berisi IAM pengguna yang berwenang. Dengan menggunakan pendekatan ini, Anda tidak perlu mengubah kebijakan apa pun ketika daftar pengguna yang diotorisasi berubah. Sebagai gantinya, Anda hanya perlu menambah atau menghapus pengguna tersebut dari IAM grup yang sesuai. Untuk detailnya, lihat grup IAM pengguna di Panduan IAM Pengguna

Untuk informasi lebih lanjut tentang caranya AWS KMS Kebijakan dan IAM kebijakan utama bekerja sama, lihatMemecahkan masalah akses kunci.