Menguji izin Anda - AWS Key Management Service
Apa itu DryRun?Menentukan DryRun dengan API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menguji izin Anda

Untuk menggunakannya AWS KMS, Anda harus memiliki kredensi yang AWS dapat digunakan untuk mengautentikasi permintaan API Anda. Kredensialnya harus menyertakan izin untuk mengakses kunci dan alias KMS. Izin ditentukan oleh kebijakan utama, kebijakan IAM, hibah, dan kontrol akses lintas akun. Selain mengontrol akses ke kunci KMS, Anda dapat mengontrol akses ke CloudHSM Anda, dan ke toko kunci khusus Anda.

Anda dapat menentukan parameter DryRun API untuk memverifikasi bahwa Anda memiliki izin yang diperlukan untuk menggunakan AWS KMS kunci. Anda juga dapat menggunakan DryRun untuk memverifikasi bahwa parameter permintaan dalam panggilan AWS KMS API ditentukan dengan benar.

Apa DryRun parameternya?

DryRunadalah parameter API opsional yang Anda tentukan untuk memverifikasi bahwa panggilan AWS KMS API akan berhasil. Gunakan DryRun untuk menguji panggilan API Anda, sebelum benar-benar melakukan panggilan ke AWS KMS. Anda dapat memverifikasi yang berikut ini.

  • Bahwa Anda memiliki izin yang diperlukan untuk menggunakan AWS KMS kunci.

  • Bahwa Anda telah menentukan parameter dalam panggilan dengan benar.

AWS KMS mendukung penggunaan DryRun parameter dalam tindakan API tertentu:

Menggunakan DryRun parameter akan dikenakan biaya dan akan ditagih sebagai permintaan API standar. Untuk informasi selengkapnya tentang AWS KMS harga, lihat AWS Key Management Service Harga.

Semua permintaan API yang menggunakan DryRun parameter berlaku untuk kuota permintaan API dan dapat menghasilkan pengecualian pembatasan jika Anda melebihi kuota permintaan API. Misalnya, memanggil Dekripsi dengan DryRun atau tanpa DryRun hitungan terhadap kuota operasi kriptografi yang sama. Lihat Permintaan pelambatan AWS KMS untuk mempelajari selengkapnya.

Setiap panggilan ke operasi AWS KMS API ditangkap sebagai peristiwa dan direkam dalam AWS CloudTrail log. Output dari setiap operasi yang menentukan DryRun parameter muncul di CloudTrail log Anda. Untuk informasi selengkapnya, lihat Logging AWS KMS API panggilan dengan AWS CloudTrail.

Menentukan DryRun dengan API

Untuk menggunakanDryRun, tentukan —dry-run parameter dalam AWS CLI perintah dan panggilan AWS KMS API yang mendukung parameter. Ketika Anda melakukannya, AWS KMS akan memverifikasi apakah panggilan Anda akan berhasil. AWS KMS panggilan yang digunakan DryRun akan selalu gagal dan mengembalikan pesan dengan informasi tentang alasan mengapa panggilan gagal. Pesan dapat mencakup pengecualian berikut:

  • DryRunOperationException- Permintaan akan berhasil jika DryRun tidak ditentukan.

  • ValidationException- Permintaan gagal menentukan parameter API yang salah.

  • AccessDeniedException- Anda tidak memiliki izin untuk melakukan tindakan API yang ditentukan pada sumber daya KMS.

Misalnya, perintah berikut menggunakan CreateGrantoperasi dan membuat hibah yang memungkinkan pengguna yang berwenang untuk mengambil keyUserRole peran untuk memanggil operasi Dekripsi pada kunci KMS simetris tertentu. DryRunParameter ditentukan.

$  aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
    --operations Decrypt \
    --dry-run