Visualizar uma política de chave - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizar uma política de chave

É possível exibir a política de chave para uma chave gerenciada pelo cliente do AWS KMS ou para uma Chave gerenciada pela AWS na sua conta usando o console do AWS KMS ou a operação GetKeyPolicy na API do AWS KMS. Não é possível usar essas técnicas para visualizar a política de chaves de uma chave do KMS em outra Conta da AWS.

Para saber mais sobre as políticas de chaves do AWS KMS, consulte Políticas-chave em AWS KMS. Para saber como determinar quais usuários e funções têm acesso a uma chave do KMS, consulte Determinar acesso a AWS KMS keys.

Os usuários autorizados podem visualizar a política de chaves de uma Chave gerenciada pela AWS ou de uma chave gerenciada pelo cliente na guia Key policy (Política de chaves) do AWS Management Console.

Para visualizar a política de chaves de uma chave do KMS no AWS Management Console, é necessário ter as permissões kms:ListAliases, kms:DescribeKey e kms:GetKeyPolicy.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS). Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Na lista de chaves do KMS, escolha o alias ou o ID de chave da chaves do KMS que você deseja examinar.

  5. Selecione a guia Key policy (Política de chaves).

    Na seção Key policy (Política de chaves), você pode ver o documento da política de chaves. Essa é a visualização da política. Nas instruções da política de chaves, é possível ver as entidades principais que receberam acesso à chave do KMS pela política de chaves e ver as ações que elas podem executar.

    O exemplo a seguir mostra a visualização da política de chaves padrão.

    A política de chaves padrão na visualização da política no console do AWS KMS

    Ou, se você criou a chave do KMS no AWS Management Console, verá a visualização padrão com seções para Key administrators (Administradores de chaves), Key deletion (Exclusão de chaves) e Key Users (Usuários de chaves). Para ver o documento da política de chaves, selecione Switch to policy view (Alternar para a visualização da políticas).

    O exemplo a seguir mostra a visualização padrão da política de chaves padrão.

    A política de chaves padrão na visualização padrão no console do AWS KMS

Para obter a política de chaves de uma chave do KMS na sua Conta da AWS, use a operação GetKeyPolicy na API do AWS KMS. Não é possível usar essa operação para visualizar uma política de chaves em uma conta diferente.

O exemplo a seguir usa o comando get-key-policy na AWS Command Line Interface (AWS CLI), mas você pode usar qualquer AWS SDK para fazer a solicitação.

Observe que o parâmetro PolicyName será exigido mesmo se default for seu único valor válido. Além disso, esse comando solicita a saída em texto, em vez de em JSON, para facilitar a visualização.

Antes de executar esse comando, substitua o ID de chave de exemplo por um válido da sua conta.

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

A resposta deve ser semelhante à seguinte, que retorna a política de chaves padrão.

{
  "Version" : "2012-10-17",
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}