Visualizar uma política de chave

É possível exibir a política de chave para uma chave gerenciada pelo cliente do AWS KMS ou para uma Chave gerenciada pela AWS na sua conta usando o console do AWS KMS ou a operação GetKeyPolicy na API do AWS KMS. Não é possível usar essas técnicas para visualizar a política de chaves de uma chave do KMS em outra Conta da AWS.

Para saber mais sobre as políticas de chaves do AWS KMS, consulte Políticas de chaves no AWS KMS. Para saber como determinar quais usuários e funções têm acesso a uma chave do KMS, consulte Determinar acesso a AWS KMS keys.

Os usuários autorizados podem visualizar a política de chaves de uma Chave gerenciada pela AWS ou de uma chave gerenciada pelo cliente na guia Key policy (Política de chaves) do AWS Management Console.

Para visualizar a política de chaves de uma chave do KMS no AWS Management Console, é necessário ter as permissões kms:ListAliases, kms:DescribeKey e kms:GetKeyPolicy.

Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS). Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).
Na lista de chaves do KMS, escolha o alias ou o ID de chave da chaves do KMS que você deseja examinar.
Selecione a guia Key policy (Política de chaves).

Na seção Key policy (Política de chaves), você pode ver o documento da política de chaves. Essa é a visualização da política. Nas instruções da política de chaves, é possível ver as entidades principais que receberam acesso à chave do KMS pela política de chaves e ver as ações que elas podem executar.

O exemplo a seguir mostra a visualização da política de chaves padrão.

Ou, se você criou a chave do KMS no AWS Management Console, verá a visualização padrão com seções para Key administrators (Administradores de chaves), Key deletion (Exclusão de chaves) e Key Users (Usuários de chaves). Para ver o documento da política de chaves, selecione Switch to policy view (Alternar para a visualização da políticas).

O exemplo a seguir mostra a visualização padrão da política de chaves padrão.

Para obter a política de chaves de uma chave do KMS na sua Conta da AWS, use a operação GetKeyPolicy na API do AWS KMS. Não é possível usar essa operação para visualizar uma política de chaves em uma conta diferente.

O exemplo a seguir usa o comando get-key-policy na AWS Command Line Interface (AWS CLI), mas você pode usar qualquer AWS SDK para fazer a solicitação.

Observe que o parâmetro PolicyName será exigido mesmo se default for seu único valor válido. Além disso, esse comando solicita a saída em texto, em vez de em JSON, para facilitar a visualização.

Antes de executar esse comando, substitua o ID de chave de exemplo por um válido da sua conta.


$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

A resposta deve ser semelhante à seguinte, que retorna a política de chaves padrão.


{
  "Version" : "2012-10-17",
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Política de chaves padrão

Alterar uma política de chave