控制金鑰刪除的存取權 - AWS Key Management Service
允許金鑰管理員排程和取消金鑰刪除

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制金鑰刪除的存取權

如果您使用IAM政策來允許 AWS KMS 許可,則具有 AWS 管理員存取權 IAM ("Action": "*") 或 AWS KMS 完整存取權 ("Action": "kms:*") 的身分,已獲准排程和取消金鑰刪除KMS金鑰。若要允許金鑰管理員在金鑰政策中排程和取消金鑰刪除,請使用 AWS KMS 主控台或 AWS KMS API。

通常,只有金鑰管理員才有權排程或取消金鑰刪除。不過,您可以將 kms:ScheduleKeyDeletion和 許可新增至金鑰政策或 IAM政策,以將這些kms:CancelKeyDeletion許可授予其他IAM身分。您也可以使用kms:ScheduleKeyDeletionPendingWindowInDays條件索引鍵進一步限制主體可以在ScheduleKeyDeletion請求的 PendingWindowInDays 參數中指定的值。

允許金鑰管理員排程和取消金鑰刪除

將排程和取消金鑰刪除的許可授予給金鑰管理員。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

  4. 選擇您要變更其許可之KMS金鑰的別名或金鑰 ID。

  5. 選擇 Key policy (金鑰政策) 標籤。

  6. 金鑰政策的 default view (預設檢視) 和 policy view (政策檢視) 的下一步有所不同。只有當您使用預設的主控台金鑰政策時,才能使用預設檢視。否則,只能使用政策檢視。

    當預設檢視可用時,Switch to policy view (切換為政策檢視) 或 Switch to default view (切換為預設檢視) 按鈕顯示在 Key policy (金鑰政策) 索引標籤中。

    • 在預設檢視中:

      1. Key deletion (金鑰刪除) 下方,選擇 Allow key administrators to delete this key (允許金鑰管理員刪除此金鑰)。

    • 在政策檢視中:

      1. 選擇編輯

      2. 在金鑰管理員的政策陳述式中,將 kms:ScheduleKeyDeletionkms:CancelKeyDeletion 許可新增至 Action 元素。

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. 選擇 Save changes (儲存變更)。

您可以使用 AWS Command Line Interface 新增排程和取消刪除金鑰的許可。

若要新增排程和取消金鑰刪除的許可

  1. 使用 aws kms get-key-policy 命令擷取現有的金鑰政策,然後將政策文件儲存至檔案。

  2. 在您偏好的文字編輯器中開啟政策文件。在金鑰管理員的政策陳述式中,新增 kms:ScheduleKeyDeletionkms:CancelKeyDeletion 許可。以下範例顯示具有這兩個許可的政策陳述式:

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. 使用 aws kms put-key-policy命令將金鑰政策套用至KMS金鑰。