本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
检查 IAM policy
除密钥策略和授权外,您还可以使用 IAM policy 来允许对 KMS 密钥的访问。有关 IAM policy 和密钥策略如何协同工作的更多信息,请参阅 排除 AWS KMS 权限故障。
要确定当前可通过 IAM policy 访问 KMS 密钥的委托人,可以使用基于浏览器的 IAM policy simulator
检查 IAM policy 的方法
使用 IAM policy simulator 检查 IAM policy
IAM policy simulator 有助于您了解哪些委托人可以通过 IAM policy 访问 KMS 密钥。
使用 IAM policy simulator 确定对 KMS 密钥的访问权限
-
登录 AWS Management Console,然后打开位于 https://policysim.aws.amazon.com/
的 IAM policy simulator。 -
在用户、组和角色窗格中,选择您要模拟其策略的用户、组或角色。
-
(可选) 清除您要从模拟中忽略的任何策略旁边的复选框。要模拟所有策略,则将所有策略保持选中状态。
-
在策略模拟器窗格中,执行以下操作:
-
对于选择服务,请选择 Key Management Service。
-
要模拟特定 AWS KMS 操作,请针对选择操作选择要模拟的操作。要模拟所有 AWS KMS 操作,请选择全选。
-
-
(可选)默认情况下,策略模拟器会模拟对所有 KMS 密钥的访问。要模拟对特定 KMS 密钥的访问,请选择 Simulation Settings(模拟设置),然后键入要模拟的 KMS 密钥的 Amazon Resource Name (ARN)。
-
选择 Run Simulation (运行模拟)。
您可以在结果部分查看模拟的结果。对 AWS 账户 中的每个用户、组和角色重复第 2 至 6 步。
使用 IAM API 检查 IAM policy
您可以使用 IAM API 以编程方式检查 IAM policy。以下步骤提供了如何执行该操作的一般概述:
-
对于密钥策略中列为主体的每个 AWS 账户(即以
"Principal": {"AWS": "arn:aws:iam::111122223333:root"}格式列出的每个 AWS 账户主体),使用 IAM API 中的 ListUsers 和 ListRoles 操作获取账户中所有的用户和角色。 -
对于列表中的每个用户和角色,使用 IAM API 中的 SimulatePrincipalPolicy 操作传递以下参数:
-
对于
PolicySourceArn,指定列表中用户或角色的 Amazon Resource Name (ARN)。您只能为每个SimulatePrincipalPolicy请求指定一个PolicySourceArn,因此必须多次调用此操作,针对列表中的每个用户和角色分别调用一次。 -
对于
ActionNames列表,指定要模拟的每个 AWS KMS API 操作。要模拟所有 AWS KMS API 操作,请使用kms:*。要测试单独的 AWS KMS API 操作,请在每个 API 操作之前添加“kms:”,例如“kms:ListKeys”。有关 AWS KMS API 操作的完整列表,请参阅《AWS Key Management Service API 参考》中的 操作。 -
(可选)要确定用户或角色是否有权访问特定的 KMS 密钥,请使用
ResourceArns参数指定 KMS 密钥的 Amazon 资源名称(ARN)列表。要确定用户或角色是否有权访问任何 KMS 密钥,请忽略ResourceArns参数。
-
IAM 通过以下评估决策来响应每个 SimulatePrincipalPolicy 请求:allowed、explicitDeny 或 implicitDeny。对于每个包含评估决策 allowed 的响应,其中包含允许的特定 AWS KMS API 操作的名称。它还包括评估中使用的 KMS 密钥的 ARN(如果有)。
