Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS kebijakan terkelola untuk AWS Key Management Service
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSKey ManagementServicePowerUser
Anda dapat melampirkan kebijakan `AWSKeyManagementServicePowerUser` ke identitas IAM Anda.
Anda dapat menggunakan kebijakan `AWSKeyManagementServicePowerUser` terkelola untuk memberikan izin kepada pengguna daya kepada kepala IAM di akun Anda. Pengguna daya dapat membuat kunci KMS, menggunakan dan mengelola kunci KMS yang mereka buat, dan melihat semua kunci KMS dan identitas IAM. Prinsipal yang memiliki kebijakan `AWSKeyManagementServicePowerUser` terkelola juga bisa mendapatkan izin dari sumber lain, termasuk kebijakan utama, kebijakan IAM lainnya, dan hibah.
`AWSKeyManagementServicePowerUser`adalah kebijakan IAM yang AWS dikelola. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
**catatan**
Izin dalam kebijakan ini yang khusus untuk kunci KMS, seperti `kms:TagResource` dan`kms:GetKeyRotationStatus`, hanya efektif jika kebijakan utama untuk kunci KMS tersebut secara [eksplisit mengizinkan kebijakan IAM untuk menggunakan kebijakan IAM Akun AWS untuk mengontrol akses ke kunci tersebut](key-policy-default.md#key-policy-default-allow-root-enable-iam). Untuk menentukan apakah izin khusus untuk kunci KMS, lihat [AWS KMS izin](kms-api-permissions-reference.md) dan cari nilai **kunci KMS** di kolom **Sumber Daya**.
Kebijakan ini memberikan izin pengguna daya pada kunci KMS apa pun dengan kebijakan kunci yang mengizinkan pengoperasian. Untuk izin lintas akun, seperti `kms:DescribeKey` dan`kms:ListGrants`, ini mungkin termasuk kunci KMS yang tidak dipercaya. Akun AWS Untuk detailnya, lihat [Praktik terbaik untuk kebijakan IAM](iam-policies-best-practices.md) dan [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md). Untuk menentukan apakah izin valid pada kunci KMS di akun lain, lihat [AWS KMS izin](kms-api-permissions-reference.md) dan cari nilai **Ya di kolom** **Penggunaan lintas akun**.
Untuk mengizinkan prinsipal melihat AWS KMS konsol tanpa kesalahan, prinsipal memerlukan GetResources izin [tag:](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html), yang tidak termasuk dalam kebijakan. `AWSKeyManagementServicePowerUser` Anda dapat mengizinkan izin ini dalam kebijakan IAM terpisah.
Kebijakan IAM [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser)terkelola mencakup izin berikut.
+ Memungkinkan kepala sekolah untuk membuat kunci KMS. Karena proses ini mencakup pengaturan kebijakan kunci, pengguna daya dapat memberikan izin kepada diri mereka sendiri dan orang lain untuk menggunakan dan mengelola kunci KMS yang mereka buat.
+ Memungkinkan prinsipal untuk membuat dan menghapus [alias](kms-alias.md) dan [tag](tagging-keys.md) pada semua kunci KMS. Mengubah tag atau alias dapat mengizinkan atau menolak izin untuk menggunakan dan mengelola kunci KMS. Lihat perinciannya di [ABAC untuk AWS KMS](abac.md).
+ [Memungkinkan prinsipal untuk mendapatkan informasi rinci tentang semua kunci KMS, termasuk ARN kunci mereka, konfigurasi kriptografi, kebijakan kunci, alias, tag, dan status rotasi.](rotate-keys.md)
+ Memungkinkan prinsipal untuk mencantumkan pengguna, grup, dan peran IAM.
+ Kebijakan ini tidak mengizinkan prinsipal untuk menggunakan atau mengelola kunci KMS yang tidak mereka buat. Namun, mereka dapat mengubah alias dan tag pada semua kunci KMS, yang mungkin mengizinkan atau menolak izin mereka untuk menggunakan atau mengelola kunci KMS.
Untuk melihat izin kebijakan ini, lihat [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AWSService RoleForKeyManagementServiceCustomKeyStores
Anda tidak dapat melampirkan `AWSServiceRoleForKeyManagementServiceCustomKeyStores` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk melihat AWS CloudHSM kluster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda dan membuat jaringan untuk mendukung koneksi antara penyimpanan kunci kustom dan klasternya. AWS CloudHSM Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2](authorize-kms.md).
## AWS kebijakan terkelola: AWSService RoleForKeyManagementServiceMultiRegionKeys
Anda tidak dapat melampirkan `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk menyinkronkan perubahan apa pun pada materi utama kunci utama Multi-wilayah ke kunci replika. Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region](multi-region-auth-slr.md).
## AWS KMS pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS KMS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman AWS KMS [Riwayat dokumen](dochistory.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – Pembaruan ke kebijakan yang sudah ada | AWS KMS menambahkan kolom pernyataan ID (`Sid`) ke kebijakan terkelola dalam kebijakan versi v2. | November 21, 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – Pembaruan ke kebijakan yang sudah ada | AWS KMS menambahkan`ec2:DescribeVpcs`,`ec2:DescribeNetworkAcls`, dan `ec2:DescribeNetworkInterfaces` izin untuk memantau perubahan di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan. | 10 November 2023 |
| AWS KMS mulai melacak perubahan | AWS KMS mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 10 November 2023 |