Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memeriksa kebijakan IAM
Selain kebijakan dan hibah utama, Anda juga dapat menggunakan kebijakan IAM untuk mengizinkan akses ke kunci KMS. Untuk informasi selengkapnya tentang bagaimana kebijakan IAM dan kebijakan kunci bekerja sama, lihat Memecahkan masalah akses kunci.
Untuk menentukan prinsipal mana yang saat ini memiliki akses ke kunci KMS melalui kebijakan IAM, Anda dapat menggunakan alat IAM Policy Simulator berbasis browser, atau Anda dapat membuat permintaan ke API IAM
Cara memeriksa kebijakan IAM
Menguji kebijakan IAM dengan simulator kebijakan IAM
Simulator Kebijakan IAM dapat membantu Anda mempelajari prinsip mana yang memiliki akses ke kunci KMS melalui kebijakan IAM.
Untuk menggunakan simulator kebijakan IAM untuk menentukan akses ke kunci KMS
-
Masuk ke AWS Management Console lalu buka Simulator Kebijakan IAM di https://policysim.aws.amazon.com/
. -
Di panel Pengguna, Grup, dan Peran, pilih pengguna, grup, atau peran yang kebijakannya ingin disimulasikan.
-
(Opsional) Hapus kotak centang di samping kebijakan yang ingin dihilangkan dari simulasi. Untuk mensimulasikan semua kebijakan, biarkan semua kebijakan dipilih.
-
Di panel Simulator Kebijakan, lakukan hal berikut:
-
Untuk Pilih layanan, pilih Layanan Manajemen Kunci.
-
Untuk mensimulasikan tindakan AWS KMS tertentu, untuk Pilih tindakan, pilih tindakan yang akan disimulasikan. Untuk mensimulasikan semua tindakan AWS KMS, pilih Pilih Semua.
-
-
(Opsional) Simulator Kebijakan mensimulasikan akses ke semua kunci KMS secara default. Untuk mensimulasikan akses ke kunci KMS tertentu, pilih Pengaturan Simulasi dan kemudian ketik Nama Sumber Daya Amazon (ARN) dari kunci KMS untuk disimulasikan.
-
Pilih Jalankan Simulasi.
Anda bisa melihat hasil simulasi di bagian Hasil. Ulangi langkah 2 hingga 6 untuk setiap pengguna, grup, dan peran dalamAkun AWS.
Menguji kebijakan IAM dengan API IAM
Anda dapat menggunakan API IAM untuk memeriksa kebijakan IAM secara terprogram. Langkah-langkah berikut memberikan gambaran umum tentang cara melakukannya:
-
Untuk setiap yang Akun AWS terdaftar sebagai prinsipal dalam kebijakan kunci (yaitu, setiap prinsipal AWS akun yang ditentukan dalam format ini:
"Principal": {"AWS": "arn:aws:iam::111122223333:root"}
), gunakan ListUsersdan ListRolesoperasi di API IAM untuk mendapatkan semua pengguna dan peran dalam akun. -
Untuk setiap pengguna dan peran dalam daftar, gunakan SimulatePrincipalPolicyoperasi di API IAM, meneruskan parameter berikut:
-
Untuk
PolicySourceArn
, tentukan Amazon Resource Name (ARN) pengguna atau peran dari daftar Anda. Anda hanya dapat menentukan satuPolicySourceArn
untuk setiapSimulatePrincipalPolicy
permintaan, jadi Anda harus memanggil operasi ini beberapa kali, sekali untuk setiap pengguna dan peran dalam daftar Anda. -
Untuk daftar
ActionNames
, tentukan setiap tindakan API AWS KMS yang akan mensimulasikan. Untuk mensimulasikan semua tindakan API AWS KMS, gunakankms:*
. Untuk menguji tindakan API AWS KMS individu, awali setiap tindakan API dengan "kms:
", misalnya "kms:ListKeys
". Untuk daftar lengkap tindakan AWS KMS API, lihat Tindakan di Referensi AWS Key Management Service API. -
(Opsional) Untuk menentukan apakah pengguna atau peran memiliki akses ke kunci KMS tertentu, gunakan
ResourceArns
parameter untuk menentukan daftar Nama Sumber Daya Amazon (ARN) kunci KMS. Untuk menentukan apakah pengguna atau peran memiliki akses ke kunci KMS apa pun, hilangkan parameter.ResourceArns
-
IAM merespons setiap permintaan SimulatePrincipalPolicy
dengan keputusan evaluasi: allowed
, explicitDeny
, atau implicitDeny
. Untuk setiap respons yang berisi keputusan evaluasi allowed
, respons yang menyertakan nama operasi API AWS KMS tertentu yang diizinkan. Ini juga termasuk ARN kunci KMS yang digunakan dalam evaluasi, jika ada.