本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更金鑰政策
您可以更改密鑰的KMS密鑰策略 AWS 帳戶 透過使用 AWS Management Console 或操PutKeyPolicy作。您無法使用這些技巧來變更其他KMS金鑰的金鑰原則 AWS 帳戶.
變更金鑰政策時,請注意以下規則:
-
您可以檢視的金鑰原則 AWS 受管金鑰或客戶管理的金鑰,但您只能變更客戶管理金鑰的金鑰政策。的政策 AWS 受管金鑰 由建立及管理 AWS 在您的帳戶中創建KMS密鑰的服務。您無法檢視或變更 AWS 擁有的金鑰.
-
您可以新增或移除IAM使用者、IAM角色和 AWS 帳戶 在密鑰策略中,並更改這些主參與者允許或拒絕的操作。如需在金鑰政策中指定主體和許可之方式的詳細資訊,請參閱金鑰政策。
-
您無法將IAM群組新增至金鑰原則,但可以新增多個IAM使用者和IAM角色。如需詳細資訊,請參閱允許多個IAM主體存取金鑰 KMS。
-
如果您新增外部 AWS 帳戶 對於重要策略,您還必須使用外部帳戶中的IAM策略來授予這些帳戶中的使用IAM者、群組或角色的權限。如需詳細資訊,請參閱允許其他帳戶中的使用者使用 KMS 金鑰。
-
產生的金鑰政策文件不能超過 32 KB (32,768 位元組)。
如何變更金鑰政策
變更金鑰政策有三種方法,如以下章節所述。
使用 AWS Management Console 預設檢視
您可以使用主控台,以稱為預設檢視的圖形界面來變更金鑰政策。
如果以下步驟不符合您在主控台中看到的步驟,可能表示此金鑰政策不是使用主控台所建立的。也可能表示主控台的預設檢視不支援修改後的金鑰政策。在這種情況下,請遵循使用 AWS Management Console 策略檢視或使用 AWS KMS API 中的步驟進行。
請依 檢視金鑰政策 (主控台) 所述,檢視客戶受管金鑰的金鑰政策。(您無法更改的關鍵策略 AWS 受管金鑰.)
-
決定進行哪些變更。
使用 AWS Management Console 策略檢視
您可以使用主控台的「政策檢視」來變更金鑰政策文件。
請依 檢視金鑰政策 (主控台) 所述,檢視客戶受管 KMS 金鑰的金鑰政策。(您無法更改的關鍵策略 AWS 受管金鑰.)
-
在金鑰政策區段中,選擇切換為政策檢視。
-
編輯金鑰政策文件,然後選擇 Save changes (儲存變更)。
使用 AWS KMS API
您可以使用該PutKeyPolicy操作更改密鑰的KMS密鑰策略 AWS 帳戶。 您不能在不同的KMS密鑰API上使用它 AWS 帳戶.
-
使用此GetKeyPolicy作業取得現有的金鑰原則文件,然後將金鑰原則文件儲存至檔案。如需多種程式設計語言的範例程式碼,請參閱搭GetKeyPolicy配使用 AWS SDK或 CLI。
-
在您偏好的文字編輯器中開啟金鑰政策文件、編輯金鑰政策文件,然後儲存檔案。
-
使用此PutKeyPolicy作業將更新的金鑰原則文件套用至KMS金鑰。如需多種程式設計語言的範例程式碼,請參閱搭PutKeyPolicy配使用 AWS SDK或 CLI。
如需將金鑰原則從一個金鑰複製到另一個KMS金鑰的範例,請參閱中的GetKeyPolicy 範例 AWS CLI 指令參考。
允許多個IAM主體存取金鑰 KMS
IAM群組不是金鑰原則中的有效主體。若要允許多個使用者和角色存取KMS金鑰,請執行下列其中一個動作:
-
使用IAM角色作為金鑰原則中的主參與者。多個授權使用者可以視需要擔任該角色。如需詳細資訊,請參閱《IAM使用指南》中的IAM角色。
雖然您可以在金鑰原則中列出多個IAM使用者,但不建議這樣做,因為這會要求您在每次授權使用者清單變更時更新金鑰原則。此外,IAM最佳做法不鼓勵使用具有長期憑證的使用IAM者。如需詳細資訊,請參閱《IAM使用指南》IAM中的安全性最佳做法。
-
使用IAM原則將權限授與IAM群組。若要這麼做,請確定金鑰原則包含允許存取KMS金鑰的原IAM則的陳述式、建立允許存取KMS金鑰的IAM原則,然後將該原則附加至包含授權IAM使用者的IAM群組。透過此方式,您不需要在授權的使用者清單變更時,隨之變更任何政策。相反地,您只需要在適當的IAM群組中新增或移除這些使用者即可。如需詳細資訊,請參閱IAM使用者指南中的IAM使用者群
有關如何進一步了解 AWS KMS 關鍵政策和IAM政策協同工作,請參閱對金鑰存取進行故障診斷。