本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 檢視金鑰政策
<a name="key-policy-viewing"></a>

您可以使用 AWS KMS 主控台或 AWS KMS API [AWS 受管金鑰](concepts.md#aws-managed-key) 中的 [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 操作，檢視 AWS KMS [帳戶中客戶受管金鑰](concepts.md#customer-mgn-key)或 的金鑰政策。您無法使用這些技術檢視不同 AWS 帳戶中 KMS 金鑰的金鑰政策。

若要進一步了解 AWS KMS 金鑰政策，請參閱 [中的金鑰政策 AWS KMS](key-policies.md)。若要了解如何判斷哪些使用者和角色可以存取 KMS 金鑰，請參閱 [判斷對 的存取 AWS KMS keys](determining-access.md)。

## 使用 AWS KMS 主控台
<a name="key-policy-viewing-console"></a>

授權的使用者可以在 AWS 管理主控台的 **Key policy** (金鑰政策) 索引標籤上檢視 [AWS 受管金鑰](concepts.md#aws-managed-key) 或[客戶受管金鑰](concepts.md#customer-mgn-key)的金鑰政策。

若要在 中檢視 KMS 金鑰的金鑰政策 AWS 管理主控台，您必須具有 [kms:ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)、 [kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 和 [kms:GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 許可。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 

   若要檢視帳戶中為您 AWS 建立和管理的金鑰，請在導覽窗格中選擇**AWS 受管金鑰**。若要檢視您所建立及管理帳戶中的金鑰，請在導覽窗格中選擇**Customer managed keys** (客戶受管金鑰)。

1. 在 KMS 金鑰清單中，選擇您要檢查之 KMS 金鑰的別名或金鑰 ID。

1. 選擇 **Key policy (金鑰政策)** 標籤。

   在 **Key policy** (金鑰政策) 索引標籤中，您可能會看到金鑰政策文件。這是「政策檢視」**。在金鑰政策陳述式中，您可以看到由金鑰政策授予 KMS 金鑰存取權的主體，也會看到他們可以執行的動作。

   下列範例顯示[預設金鑰政策](key-policy-default.md)的政策檢視。  
![\[在 AWS KMS 主控台的政策檢視中檢視預設金鑰政策\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/console-key-policy-view.png)

   或者，如果您在 中建立 KMS 金鑰 AWS 管理主控台，您會看到包含**金鑰管理員**、**金鑰刪除**和**金鑰使用者**區段*的預設檢視*。若要查看金鑰政策文件，請選擇 **Switch to policy view (切換至政策檢視)**。

   下列範例顯示[預設金鑰政策](key-policy-default.md)的預設檢視。  
![\[在 AWS KMS 主控台的預設檢視中檢視預設金鑰政策\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/console-key-policy-full-vsm.png)

## 使用 AWS KMS API
<a name="key-policy-viewing-api"></a>

若要取得 中 KMS 金鑰的金鑰政策 AWS 帳戶，請使用 API 中的 AWS KMS [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 操作。您無法使用此操作檢視不同帳戶中的金鑰政策。

下列範例使用 AWS Command Line Interface (AWS CLI) 中的 [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) 命令，但您可以使用任何 AWS SDK 提出此請求。

請注意，雖然 `default` 是唯一的有效值，但 `PolicyName` 參數是必要的。此外，這個命令請求使用較易檢視的文字輸出，而不是 JSON。

執行此命令之前，請將範例金鑰 ID 更換成您帳戶的有效 ID。

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

回應應該類似下面其中一個項目，會傳回[預設的金鑰政策](key-policy-default.md)。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
  "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------