Melihat kebijakan utama - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melihat kebijakan utama

Anda dapat melihat kebijakan kunci untuk kunci yang dikelola AWS KMS pelanggan atau Kunci yang dikelola AWSdi akun Anda dengan menggunakan AWS KMS konsol atau GetKeyPolicyoperasi di AWS KMS API. Anda tidak dapat menggunakan teknik ini untuk melihat kebijakan kunci KMS kunci dalam hal yang berbeda Akun AWS.

Untuk mempelajari lebih lanjut tentang kebijakan AWS KMS utama, lihatKebijakan utama di AWS KMS. Untuk mempelajari cara menentukan pengguna dan peran mana yang memiliki akses ke KMS kunci, lihatMenentukan akses ke AWS KMS keys.

Pengguna yang berwenang dapat melihat kebijakan kunci untuk kunci terkelola Kunci yang dikelola AWSatau pelanggan pada tab Kebijakan kunci pada AWS Management Console.

Untuk melihat kebijakan kunci untuk KMS kunci di AWS Management Console, Anda harus memiliki izin kms:ListAliases, kms: DescribeKey, dan kms:. GetKeyPolicy

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Untuk melihat kunci di akun Anda yang AWS membuat dan mengelola untuk Anda, di panel navigasi, pilih kunci AWS terkelola. Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih CMK.

  4. Dalam daftar KMS kunci, pilih alias atau ID kunci dari KMS kunci yang ingin Anda periksa.

  5. Pilih tab Kebijakan kunci.

    Pada tab Kebijakan kunci, Anda mungkin melihat dokumen kebijakan kunci. Ini adalah tampilan kebijakan. Dalam pernyataan kebijakan utama, Anda dapat melihat kepala sekolah yang telah diberi akses ke KMS kunci oleh kebijakan utama, dan Anda dapat melihat tindakan yang dapat mereka lakukan.

    Contoh berikut menunjukkan tampilan kebijakan untuk kebijakan kunci default.

    Tampilan kebijakan kunci default dalam tampilan kebijakan di AWS KMS konsol

    Atau, jika Anda membuat KMS kunci di AWS Management Console, Anda akan melihat tampilan default dengan bagian untuk administrator Kunci, Penghapusan kunci, dan Pengguna Kunci. Untuk melihat dokumen kebijakan kunci, pilih Beralih ke tampilan kebijakan.

    Contoh berikut menunjukkan tampilan default untuk kebijakan kunci default.

    Tampilan kebijakan kunci default dalam tampilan default di AWS KMS konsol

Untuk mendapatkan kebijakan kunci untuk KMS kunci Anda Akun AWS, gunakan GetKeyPolicyoperasi di AWS KMS API. Anda tidak dapat menggunakan operasi ini untuk melihat kebijakan kunci di akun yang berbeda.

Contoh berikut menggunakan get-key-policyperintah di AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan apapun AWS SDK untuk membuat permintaan ini.

Perlu diingat bahwa parameter PolicyName diperlukan meskipun default adalah satu-satunya nilai yang valid. Juga, perintah ini meminta output dalam teks, bukanJSON, untuk membuatnya lebih mudah dilihat.

Sebelum menjalankan perintah ini, ganti contoh ID kunci dengan ID yang valid dari akun Anda.

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

Respons harus serupa dengan berikut ini, yang mengembalikan kebijakan kunci default.

{
  "Version" : "2012-10-17",
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}