本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 查看密钥政策
<a name="key-policy-viewing"></a>

您可以使用 AWS KMS 控制台或 AWS KMS API [AWS 托管式密钥](concepts.md#aws-managed-key)中的[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)操作查看 AWS KMS [客户托管密钥](concepts.md#customer-mgn-key)或账户中的密钥策略。但这些技术不能用于查看其他 AWS 账户中的 KMS 密钥的密钥策略。

要了解有关 AWS KMS 密钥策略的更多信息，请参阅[中的关键政策 AWS KMS](key-policies.md)。要了解如何确定哪些用户和角色有权访问 KMS 密钥，请参阅 [确定访问权限 AWS KMS keys](determining-access.md)。

## 使用控制 AWS KMS 台
<a name="key-policy-viewing-console"></a>

授权用户可以在 AWS 管理控制台的 **Key policy**（密钥策略）选项卡上查看 [AWS 托管式密钥](concepts.md#aws-managed-key) 或[客户托管密钥](concepts.md#customer-mgn-key)的密钥策略。

要在中查看 KMS 密钥的密钥策略 AWS 管理控制台，您必须拥有 k [ms: ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)、[kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 和 [kms: GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 权限。

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 

   要查看您的账户中为您 AWS 创建和管理的密钥，请在导航窗格中选择**AWS 托管密钥**。要查看您账户中自己所创建和管理的密钥，请在导航窗格中选择 **Customer managed keys (客户托管密钥)**。

1. 在 KMS 密钥列表中，选择要检查的 KMS 密钥的别名或密钥 ID。

1. 选择 **Key policy (密钥策略)** 选项卡。

   在 **Key policy**（密钥策略）选项卡中，您可能会看到密钥策略文档。这是*策略视图*。在密钥策略语句中，可以看到由密钥策略授予 KMS 密钥访问权限的委托人，还可以看到他们能执行的操作。

   以下示例显示了[默认密钥策略](key-policy-default.md)的策略视图。  
![\[AWS KMS 控制台策略视图中的默认密钥策略视图\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/console-key-policy-view.png)

   或者，如果您在中创建了 KMS 密钥 AWS 管理控制台，则会看到*默认视图*，其中包含**密钥管理员**、**密钥删除**和**密钥用户**部分。要查看密钥策略文档，请选择 **Switch to policy view (切换到策略视图)**。

   以下示例显示了[默认密钥策略](key-policy-default.md)的默认视图。  
![\[在 AWS KMS 控制台的默认视图中查看默认密钥策略\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/images/console-key-policy-full-vsm.png)

## 使用 AWS KMS API
<a name="key-policy-viewing-api"></a>

要在中获取 KMS 密钥的密钥策略 AWS 账户，请使用 AWS KMS API 中的[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)操作。此操作不能用于查看其他帐户中的密钥策略。

以下示例使用 AWS Command Line Interface (AWS CLI) 中的[get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)命令，但您可以使用任何 AWS SDK 来发出此请求。

请注意，`PolicyName` 参数是必需的，即使其唯一的有效值为 `default`。此外，此命令请求以文本而不是 JSON 形式输出，以便更易于查看。

在运行此命令之前，请将示例密钥 ID 替换为您账户中的有效密钥 ID。

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

响应应类似于下图，返回[默认密钥策略](key-policy-default.md)。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
  "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------