Memeriksa kebijakan IAM - AWS Key Management Service
Menguji kebijakan IAM dengan simulator kebijakan IAMMenguji kebijakan IAM dengan API IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memeriksa kebijakan IAM

Selain kebijakan dan hibah utama, Anda juga dapat menggunakan kebijakan IAM untuk mengizinkan akses ke kunci KMS. Untuk informasi selengkapnya tentang bagaimana kebijakan IAM dan kebijakan kunci bekerja sama, lihat Memecahkan masalah akses kunci.

Untuk menentukan prinsipal mana yang saat ini memiliki akses ke kunci KMS melalui kebijakan IAM, Anda dapat menggunakan alat IAM Policy Simulator berbasis browser, atau Anda dapat membuat permintaan ke API IAM.

Menguji kebijakan IAM dengan simulator kebijakan IAM

Simulator Kebijakan IAM dapat membantu Anda mempelajari prinsip mana yang memiliki akses ke kunci KMS melalui kebijakan IAM.

Untuk menggunakan simulator kebijakan IAM untuk menentukan akses ke kunci KMS

  1. Masuk ke AWS Management Console lalu buka Simulator Kebijakan IAM di https://policysim.aws.amazon.com/.

  2. Di panel Pengguna, Grup, dan Peran, pilih pengguna, grup, atau peran yang kebijakannya ingin disimulasikan.

  3. (Opsional) Hapus kotak centang di samping kebijakan yang ingin dihilangkan dari simulasi. Untuk mensimulasikan semua kebijakan, biarkan semua kebijakan dipilih.

  4. Di panel Simulator Kebijakan, lakukan hal berikut:

    1. Untuk Pilih layanan, pilih Layanan Manajemen Kunci.

    2. Untuk mensimulasikan tindakan AWS KMS tertentu, untuk Pilih tindakan, pilih tindakan yang akan disimulasikan. Untuk mensimulasikan semua tindakan AWS KMS, pilih Pilih Semua.

  5. (Opsional) Simulator Kebijakan mensimulasikan akses ke semua kunci KMS secara default. Untuk mensimulasikan akses ke kunci KMS tertentu, pilih Pengaturan Simulasi dan kemudian ketik Nama Sumber Daya Amazon (ARN) dari kunci KMS untuk disimulasikan.

  6. Pilih Jalankan Simulasi.

Anda bisa melihat hasil simulasi di bagian Hasil. Ulangi langkah 2 hingga 6 untuk setiap pengguna, grup, dan peran dalamAkun AWS.

Menguji kebijakan IAM dengan API IAM

Anda dapat menggunakan API IAM untuk memeriksa kebijakan IAM secara terprogram. Langkah-langkah berikut memberikan gambaran umum tentang cara melakukannya:

  1. Untuk setiap yang Akun AWS terdaftar sebagai prinsipal dalam kebijakan kunci (yaitu, setiap prinsipal AWS akun yang ditentukan dalam format ini:"Principal": {"AWS": "arn:aws:iam::111122223333:root"}), gunakan ListUsersdan ListRolesoperasi di API IAM untuk mendapatkan semua pengguna dan peran dalam akun.

  2. Untuk setiap pengguna dan peran dalam daftar, gunakan SimulatePrincipalPolicyoperasi di API IAM, meneruskan parameter berikut:

    • Untuk PolicySourceArn, tentukan Amazon Resource Name (ARN) pengguna atau peran dari daftar Anda. Anda hanya dapat menentukan satu PolicySourceArn untuk setiap SimulatePrincipalPolicy permintaan, jadi Anda harus memanggil operasi ini beberapa kali, sekali untuk setiap pengguna dan peran dalam daftar Anda.

    • Untuk daftar ActionNames, tentukan setiap tindakan API AWS KMS yang akan mensimulasikan. Untuk mensimulasikan semua tindakan API AWS KMS, gunakan kms:*. Untuk menguji tindakan API AWS KMS individu, awali setiap tindakan API dengan "kms:", misalnya "kms:ListKeys". Untuk daftar lengkap tindakan AWS KMS API, lihat Tindakan di Referensi AWS Key Management Service API.

    • (Opsional) Untuk menentukan apakah pengguna atau peran memiliki akses ke kunci KMS tertentu, gunakan ResourceArns parameter untuk menentukan daftar Nama Sumber Daya Amazon (ARN) kunci KMS. Untuk menentukan apakah pengguna atau peran memiliki akses ke kunci KMS apa pun, hilangkan parameter. ResourceArns

IAM merespons setiap permintaan SimulatePrincipalPolicy dengan keputusan evaluasi: allowed, explicitDeny, atau implicitDeny. Untuk setiap respons yang berisi keputusan evaluasi allowed, respons yang menyertakan nama operasi API AWS KMS tertentu yang diizinkan. Ini juga termasuk ARN kunci KMS yang digunakan dalam evaluasi, jika ada.