檢視金鑰政策 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視金鑰政策

您可以使用 AWS KMS 主控台或 AWS 受管金鑰中的 GetKeyPolicy 操作,檢視 AWS KMS 客戶受管金鑰或帳戶中 的金鑰政策 AWS KMS API。您無法使用這些技術來檢視不同 中金鑰的KMS金鑰政策 AWS 帳戶。

若要進一步了解 AWS KMS 金鑰政策,請參閱 中的金鑰政策 AWS KMS。若要了解如何判斷哪些使用者和角色可以存取KMS金鑰,請參閱 判斷對 的存取權 AWS KMS keys

授權的使用者可以在 AWS Management Console的 Key policy (金鑰政策) 索引標籤上檢視 AWS 受管金鑰客戶受管金鑰的金鑰政策。

若要在 中檢視KMS金鑰的金鑰政策 AWS Management Console,您必須具有 kms:ListAliaseskms:DescribeKeykms:GetKeyPolicy 許可。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 若要檢視帳戶中為您 AWS 建立和管理的金鑰,請在導覽窗格中選擇AWS 受管金鑰 。若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。

  4. 在KMS金鑰清單中,選擇您要檢查之KMS金鑰的別名或金鑰 ID。

  5. 選擇 Key policy (金鑰政策) 標籤。

    Key policy (金鑰政策) 索引標籤中,您可能會看到金鑰政策文件。這是「政策檢視」。在金鑰政策陳述式中,您可以看到KMS金鑰政策授予金鑰存取權的主體,也可以看到他們可以執行的動作。

    下列範例顯示預設金鑰政策的政策檢視。

    在 AWS KMS 主控台的政策檢視中檢視預設金鑰政策

    或者,如果您在 中建立KMS金鑰 AWS Management Console,您會看到包含金鑰管理員 金鑰刪除 金鑰使用者 區段的預設檢視。若要查看金鑰政策文件,請選擇 Switch to policy view (切換至政策檢視)

    下列範例顯示預設金鑰政策的預設檢視。

    在 AWS KMS 主控台的預設檢視中檢視預設金鑰政策

若要取得 中金鑰的KMS金鑰政策 AWS 帳戶,請使用 AWS KMS 中的 GetKeyPolicy操作API。您無法使用此操作檢視不同帳戶中的金鑰政策。

下列範例使用 AWS Command Line Interface (AWS CLI) 中的 get-key-policy 命令,但您可以使用 AWS 的 SDK 來提出此請求。

請注意,雖然 default 是唯一的有效值,但 PolicyName 參數是必要的。此外,此命令會請求文字而非 中的輸出JSON,以便更輕鬆地檢視。

執行此命令之前,請將範例金鑰 ID 更換成您帳戶的有效 ID。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

回應應該類似下面其中一個項目,會傳回預設的金鑰政策

{
  "Version" : "2012-10-17",
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}