Eine wichtige Richtlinie ändern - AWS Key Management Service
So Ändern Sie eine Schlüsselrichtlinie:

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine wichtige Richtlinie ändern

Sie können die Schlüsselrichtlinie für einen KMS-Schlüssel in Ihrem ändern, AWS-Konto indem Sie die PutKeyPolicyOperation AWS Management Console oder verwenden. Sie können diese Methoden nicht verwenden, um die Schlüsselrichtlinie eines KMS-Schlüssels in einem anderen AWS-Konto zu ändern.

Beachten Sie beim Ändern einer Schlüsselrichtlinie die folgenden Regeln:

  • Sie können die Schlüsselrichtlinie für einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel anzeigen, aber ändern können Sie nur die Schlüsselrichtlinie für einen vom Kunden verwalteten Schlüssel. Die Richtlinien von Von AWS verwaltete Schlüssel werden von dem AWS Dienst erstellt und verwaltet, der den KMS-Schlüssel in Ihrem Konto erstellt hat. Sie können die Schlüsselrichtlinie für einen AWS-eigener Schlüssel nicht anzeigen oder ändern.

  • Sie können IAM-Benutzer, IAM-Rollen und AWS-Konten in der Schlüsselrichtlinie hinzufügen oder entfernen und die Aktionen ändern, die für diese Prinzipale zulässig oder verweigert sind. Weitere Informationen zu den Möglichkeiten, um Prinzipale und Berechtigungen in einer Schlüsselrichtlinie festzulegen, finden Sie unter Schlüsselrichtlinien.

  • Sie können keine IAM-Gruppen zu einer Schlüsselrichtlinie hinzufügen, aber Sie können mehrere IAM-Benutzer und IAM-Rollen hinzufügen. Weitere Informationen finden Sie unter Mehreren IAM-Prinzipalen Zugriff auf einen KMS-Schlüssel gewähren.

  • Wenn Sie externe Richtlinien AWS-Konten zu einer Schlüsselrichtlinie hinzufügen, müssen Sie auch IAM-Richtlinien in den externen Konten verwenden, um IAM-Benutzern, -Gruppen oder -Rollen in diesen Konten Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  • Das sich ergebende Schlüssel-Richtliniendokument darf 32 KB (32.768 Bytes) nicht überschreiten.

So Ändern Sie eine Schlüsselrichtlinie:

Es gibt drei Möglichkeiten zum Ändern einer Schlüsselrichtlinie, die in den folgenden Abschnitten erläutert werden.

Verwendung der AWS Management Console -Standardansicht

Sie können die Konsole verwenden, um eine Schlüsselrichtlinie mit einer grafischen Benutzeroberfläche mit dem Namen Standardansicht zu ändern.

Wenn die folgenden Schritte nicht dem entsprechen, was Sie in der Konsole sehen, kann dies bedeuten, dass diese Schlüsselrichtlinie nicht durch die Konsole erstellt wurde. Es kann auch bedeuten, dass die Schlüsselrichtlinie auf eine Weise geändert wurde, die von der Standardansicht der Konsole nicht unterstützt wird. Befolgen Sie in diesem Fall die Schritte unter Verwenden Sie die AWS Management Console Richtlinienansicht oder Verwenden der AWS KMS API.

  1. Zeigen Sie die Schlüsselrichtlinie für einen kundenverwalteten KMS-Schlüssel wie unter Die AWS KMS Konsole verwenden beschrieben an. (Sie können die wichtigsten Richtlinien von Von AWS verwaltete Schlüssel nicht ändern.)

  2. Entscheiden Sie, was geändert werden soll.

    • Um Schlüsseladministratoren hinzuzufügen oder zu entfernen und festzulegen, ob sie den KMS-Schlüssel löschen dürfen oder nicht, verwenden Sie die Steuerelemente im Bereich Key Administrators (Schlüsseladministratoren) der Seite. Schlüsseladministratoren verwalten den KMS-Schlüssel. Dies umfasst die Aktivierung und Deaktivierung, das Festlegen der Schlüsselrichtlinie und das Aktivieren der Schlüsseldrehung.

    • Verwenden Sie die Steuerelemente im Abschnitt Hauptbenutzer der Seite, um Schlüsselbenutzer hinzuzufügen oder AWS-Konten zu entfernen und externen Benutzern die Verwendung des KMS-Schlüssels zu gestatten oder zu verbieten. Schlüsselbenutzer können den KMS-Schlüssel in kryptografischen Produktionen verwenden, wie beispielsweise der Verschlüsselung, Entschlüsselung, erneuten Verschlüsselung und Generierung von Datenschlüsseln.

Verwenden Sie die AWS Management Console Richtlinienansicht

Sie können die Konsole verwenden, um ein Schlüsselrichtliniendokument über die Richtlinienansicht der Konsole zu ändern.

  1. Zeigen Sie die Schlüsselrichtlinie für einen kundenverwalteten KMS-Schlüssel wie unter Die AWS KMS Konsole verwenden beschrieben an. (Sie können die wichtigsten Richtlinien von nicht ändern Von AWS verwaltete Schlüssel.)

  2. Wählen Sie im Abschnitt Key Policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  3. Wählen Sie Edit (Bearbeiten) aus.

  4. Entscheiden Sie, was geändert werden soll.

    • Um einen neuen Kontoauszug hinzuzufügen, wählen Sie Neuen Kontoauszug hinzufügen. Anschließend können Sie die Aktionen, Grundsätze und Bedingungen für Ihre neue wichtige Grundsatzerklärung aus den im Statement Builder-Menü aufgelisteten Optionen auswählen oder die Elemente der Grundsatzerklärung manuell eingeben.

    • Um eine Aussage aus Ihrer wichtigsten Richtlinie zu entfernen, wählen Sie die Erklärung aus und klicken Sie dann auf Entfernen. Überprüfen Sie die ausgewählte Richtlinienerklärung und bestätigen Sie, dass Sie sie entfernen möchten. Wenn Sie entscheiden, dass Sie mit dem Entfernen der Erklärung nicht fortfahren möchten, wählen Sie Abbrechen.

    • Um eine bestehende wichtige Richtlinienerklärung zu bearbeiten, wählen Sie die Erklärung aus. Anschließend können Sie das Statement Builder-Bedienfeld verwenden, um bestimmte Elemente auszuwählen, die Sie ändern möchten, oder die Aussage manuell bearbeiten.

  5. Wählen Sie Änderungen speichern.

Verwenden der AWS KMS API

Sie können den PutKeyPolicyVorgang verwenden, um die Schlüsselrichtlinie eines KMS-Schlüssels in Ihrem zu ändern AWS-Konto. Sie können diese API nicht für einen KMS-Schlüssel in einem anderen AWS-Konto verwenden.

  1. Verwenden Sie den GetKeyPolicyVorgang, um das vorhandene wichtige Richtliniendokument abzurufen, und speichern Sie das wichtige Richtliniendokument anschließend in einer Datei. Beispielcode in mehreren Programmiersprachen finden Sie unter Verwendung GetKeyPolicy mit einem AWS SDK oder CLI.

  2. Öffnen Sie das Schlüsselrichtliniendokument in Ihrem bevorzugten Texteditor, bearbeiten Sie das Schlüsselrichtliniendokument und speichern Sie dann die Datei.

  3. Verwenden Sie den PutKeyPolicyVorgang, um das aktualisierte Dokument mit den wichtigsten Richtlinien auf den KMS-Schlüssel anzuwenden. Beispielcode in mehreren Programmiersprachen finden Sie unter Verwendung PutKeyPolicy mit einem AWS SDK oder CLI.

Ein Beispiel für das Kopieren einer Schlüsselrichtlinie von einem KMS-Schlüssel in einen anderen finden Sie in der AWS CLI Befehlsreferenz. GetKeyPolicy