Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengubah kebijakan kunci
Anda dapat mengubah kebijakan kunci untuk KMS kunci di Akun AWS dengan menggunakan AWS Management Console atau PutKeyPolicyoperasi. Anda tidak dapat menggunakan teknik ini untuk mengubah kebijakan kunci KMS kunci dalam hal yang berbeda Akun AWS.
Saat mengubah kebijakan kunci, perhatikan aturan berikut:
-
Anda dapat melihat kebijakan kunci untuk Kunci yang dikelola AWSatau kunci yang dikelola pelanggan, tetapi Anda hanya dapat mengubah kebijakan kunci untuk kunci yang dikelola pelanggan. Kebijakan dari Kunci yang dikelola AWS dibuat dan dikelola oleh AWS layanan yang membuat KMS kunci di akun Anda. Anda tidak dapat melihat atau mengubah kebijakan kunci untuk Kunci milik AWS.
-
Anda dapat menambah atau menghapus IAM pengguna, IAM peran, dan Akun AWS dalam kebijakan utama, dan mengubah tindakan yang diizinkan atau ditolak untuk prinsipal tersebut. Untuk informasi selengkapnya tentang cara menentukan perwakilan dan izin dalam kebijakan kunci, lihat Kebijakan utama.
-
Anda tidak dapat menambahkan IAM grup ke kebijakan utama, tetapi Anda dapat menambahkan beberapa IAM pengguna dan IAM peran. Untuk informasi selengkapnya, lihat Mengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS.
-
Jika Anda menambahkan eksternal Akun AWS Untuk kebijakan utama, Anda juga harus menggunakan IAM kebijakan di akun eksternal untuk memberikan izin kepada IAM pengguna, grup, atau peran di akun tersebut. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.
-
Dokumen kebijakan kunci yang dihasilkan tidak dapat melebihi 32 KB (32.768 byte).
Cara mengubah kebijakan kunci
Anda dapat mengubah kebijakan kunci dalam tiga cara berbeda seperti yang dijelaskan di bagian berikut.
Topik
Menggunakan AWS Management Console tampilan default
Anda dapat menggunakan konsol tersebut untuk mengubah kebijakan kunci dengan antarmuka grafis yang disebut tampilan default.
Jika langkah-langkah berikut tidak cocok dengan apa yang Anda lihat di konsol tersebut, mungkin berarti kebijakan kunci ini tidak dibuat oleh konsol tersebut. Atau mungkin berarti bahwa kebijakan kunci telah diubah dengan cara yang tidak didukung oleh tampilan default konsol tersebut. Dalam hal ini, ikuti langkah-langkah di Menggunakan AWS Management Console tampilan kebijakan atau Menggunakan AWS KMS API.
Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMelihat kebijakan kunci (konsol). (Anda tidak dapat mengubah kebijakan utama Kunci yang dikelola AWS.)
-
Menentukan hal yang harus diubah.
-
Untuk menambah atau menghapus administrator kunci, dan untuk mengizinkan atau mencegah administrator kunci menghapus KMS kunci, gunakan kontrol di bagian Administrator kunci halaman. Administrator kunci mengelola KMS kunci, termasuk mengaktifkan dan menonaktifkannya, menetapkan kebijakan kunci, dan mengaktifkan rotasi kunci.
-
Untuk menambah atau menghapus pengguna kunci, dan untuk mengizinkan atau melarang eksternal Akun AWS untuk menggunakan KMS kunci, gunakan kontrol di bagian Pengguna kunci halaman. Pengguna kunci dapat menggunakan KMS kunci dalam operasi kriptografi, seperti mengenkripsi, mendekripsi, mengenkripsi ulang, dan menghasilkan kunci data.
-
Menggunakan AWS Management Console tampilan kebijakan
Anda dapat menggunakan konsol tersebut untuk mengubah dokumen kebijakan kunci dengan tampilan kebijakan konsol tersebut.
Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMelihat kebijakan kunci (konsol). (Anda tidak dapat mengubah kebijakan utama Kunci yang dikelola AWS.)
-
Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.
-
Edit dokumen kebijakan kunci, lalu pilih Simpan perubahan.
Menggunakan AWS KMS API
Anda dapat menggunakan PutKeyPolicyoperasi untuk mengubah kebijakan kunci KMS kunci di Akun AWS. Anda tidak dapat menggunakan ini API pada KMS kunci yang berbeda Akun AWS.
-
Gunakan GetKeyPolicyoperasi untuk mendapatkan dokumen kebijakan kunci yang ada, lalu simpan dokumen kebijakan kunci ke file. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Gunakan GetKeyPolicy dengan AWS SDKatau CLI.
-
Buka dokumen kebijakan kunci di editor teks pilihan Anda, edit dokumen kebijakan kunci, lalu simpan file.
-
Gunakan PutKeyPolicyoperasi untuk menerapkan dokumen kebijakan kunci yang diperbarui ke KMS kunci. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Gunakan PutKeyPolicy dengan AWS SDKatau CLI.
Untuk contoh menyalin kebijakan kunci dari satu KMS kunci ke kunci lainnya, lihat GetKeyPolicy contoh di AWS CLI Referensi Perintah.
Mengizinkan beberapa IAM prinsipal untuk mengakses kunci KMS
IAMgrup bukan prinsip yang valid dalam kebijakan utama. Untuk memungkinkan beberapa pengguna dan peran mengakses KMS kunci, lakukan salah satu hal berikut:
-
Gunakan IAM peran sebagai prinsipal dalam kebijakan kunci. Beberapa pengguna yang berwenang dapat mengambil peran sesuai kebutuhan. Untuk detailnya, lihat IAMperan di Panduan IAM Pengguna.
Meskipun Anda dapat mencantumkan beberapa IAM pengguna dalam kebijakan utama, praktik ini tidak disarankan karena mengharuskan Anda memperbarui kebijakan kunci setiap kali daftar pengguna yang berwenang berubah. Selain itu, praktik IAM terbaik mencegah penggunaan IAM pengguna dengan kredensil jangka panjang. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
-
Gunakan IAM kebijakan untuk memberikan izin kepada IAM grup. Untuk melakukan ini, pastikan bahwa kebijakan kunci menyertakan pernyataan yang memungkinkan IAM kebijakan mengizinkan akses ke KMS kunci, membuat IAM kebijakan yang memungkinkan akses ke KMS kunci, dan kemudian melampirkan kebijakan tersebut ke IAM grup yang berisi IAM pengguna yang berwenang. Dengan menggunakan pendekatan ini, Anda tidak perlu mengubah kebijakan apa pun ketika daftar pengguna yang diotorisasi berubah. Sebagai gantinya, Anda hanya perlu menambah atau menghapus pengguna tersebut dari IAM grup yang sesuai. Untuk detailnya, lihat grup IAM pengguna di Panduan IAM Pengguna
Untuk informasi lebih lanjut tentang caranya AWS KMS Kebijakan dan IAM kebijakan utama bekerja sama, lihatMemecahkan masalah akses kunci.