本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢視金鑰政策
您可以使用 AWS KMS API AWS 受管金鑰中的或GetKeyPolicy作業,檢視AWS KMS客戶管理金鑰或您帳戶中某個金鑰的金鑰政策。AWS Management Console您無法使用這些技術檢視不同 AWS 帳戶 中 KMS 金鑰的金鑰政策。
若要進一步了解 AWS KMS 金鑰政策,請參閱中的主要政策 AWS KMS。若要了解如何判斷哪些使用者和角色可以存取 KMS 金鑰,請參閱 判斷 AWS KMS keys 的存取權。
檢視金鑰政策 (主控台)
授權的使用者可以在 AWS Management Console 的 Key policy (金鑰政策) 索引標籤上檢視 AWS 受管金鑰 或客戶受管金鑰的金鑰政策。
若要檢視中 KMS 金鑰的金鑰原則AWS Management Console,您必須具有 kms: ListAliases、kms: DescribeKey 和 kms: GetKeyPolicy 權限。
-
請登入 AWS Management Console,並開啟 AWS Key Management Service (AWS KMS) 主控台 (網站:https://console.aws.amazon.com/kms
)。 -
若要變更 AWS 區域,請使用頁面右上角的區域選取器。
-
若要檢視 AWS 為您建立及管理之帳戶中的金鑰,請在導覽窗格中選擇 AWS 受管金鑰。若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。
-
在 KMS 金鑰清單中,選擇您要檢查之 KMS 金鑰的別名或金鑰 ID。
-
選擇 Key policy (金鑰政策) 標籤。
在 Key policy (金鑰政策) 索引標籤中,您可能會看到金鑰政策文件。這是「政策檢視」。在金鑰政策陳述式中,您可以看到由金鑰政策授予 KMS 金鑰存取權的主體,也會看到他們可以執行的動作。
下列範例顯示預設金鑰政策的政策檢視。
或者,如果在 AWS Management Console 中建立了 KMS 金鑰,您將在 Key administrators (金鑰管理員)、Key deletion (金鑰刪除) 和 Key Users (金鑰使用者) 區段中看到預設檢視。若要查看金鑰政策文件,請選擇 Switch to policy view (切換至政策檢視)。
下列範例顯示預設金鑰政策的預設檢視。
檢視金鑰政策 (AWS KMS API)
若要取得 KMS 金鑰的金鑰原則AWS 帳戶,請使用 AWS KMS API 中的GetKeyPolicy作業。您無法使用此操作檢視不同帳戶中的金鑰政策。
下列範例會使用 AWS Command Line Interface (AWS CLI) 中的get-key-policy命令,但您可以使用任何 AWS SDK 來發出此要求。
請注意,雖然 default
是唯一的有效值,但 PolicyName
參數是必要的。此外,這個命令請求使用較易檢視的文字輸出,而不是 JSON。
執行此命令之前,請將範例金鑰 ID 更換成您帳戶的有效 ID。
$
aws kms get-key-policy --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
--policy-name default --output text
回應應該類似下面其中一個項目,會傳回預設的金鑰政策。
{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }