Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memeriksa kebijakan kunci
Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci KMS. Setiap kunci KMS memiliki persis satu kebijakan utama.
Jika kebijakan kunci terdiri dari atau menyertakan kebijakan kunci default, kebijakan kunci memungkinkan administrator IAM di akun untuk menggunakan kebijakan IAM untuk mengontrol akses ke kunci KMS. Selain itu, jika kebijakan kunci memberikan Akun AWS izin lain untuk menggunakan kunci KMS, administrator IAM di akun eksternal dapat menggunakan kebijakan IAM untuk mendelegasikan izin tersebut. Untuk menentukan daftar lengkap kepala sekolah yang dapat mengakses kunci KMS, periksa kebijakan IAM.
Untuk melihat kebijakan kunci kunci yang dikelola AWS KMS pelanggan atau Kunci yang dikelola AWSdi akun Anda, gunakan AWS Management Console atau GetKeyPolicyoperasi di AWS KMS API. Untuk melihat kebijakan kunci, Anda harus memiliki kms:GetKeyPolicy izin untuk kunci KMS. Untuk petunjuk untuk melihat kebijakan kunci untuk kunci KMS, lihatMelihat kebijakan kunci.
Periksa dokumen kebijakan kunci dan perhatikan semua perwakilan yang ditentukan dalam setiap elemen Principal pernyataan kebijakan. Dalam pernyataan kebijakan dengan Allow efek, pengguna IAM, peran IAM, dan Akun AWS Principal elemen memiliki akses ke kunci KMS ini.
catatan
Jangan menyetel Principal ke tanda bintang (*) dalam pernyataan kebijakan kunci apa pun yang mengizinkan izin kecuali Anda menggunakan kondisi untuk membatasi kebijakan utama. Tanda bintang memberikan setiap identitas di setiap Akun AWS izin untuk menggunakan kunci KMS, kecuali pernyataan kebijakan lain secara eksplisit menyangkalnya. Pengguna lain Akun AWS dapat menggunakan kunci KMS Anda setiap kali mereka memiliki izin yang sesuai di akun mereka sendiri.
Contoh berikut menggunakan pernyataan kebijakan yang ditemukan di kebijakan kunci default untuk menunjukkan cara melakukannya.
contoh Pernyataan kebijakan 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }
Dalam pernyataan kebijakan 1, arn:aws:iam::111122223333:root adalah pokok AWS akun yang mengacu pada Akun AWS 111122223333. (Ini bukan pengguna root akun.) Secara default, pernyataan kebijakan seperti ini disertakan dalam dokumen kebijakan kunci saat Anda membuat kunci KMS baru denganAWS Management Console, atau membuat kunci KMS baru secara terprogram tetapi tidak menyediakan kebijakan kunci.
Dokumen kebijakan kunci dengan pernyataan yang memungkinkan akses ke Akun AWS mengaktifkan kebijakan IAM di akun untuk memungkinkan akses ke kunci KMS. Ini berarti bahwa pengguna dan peran dalam akun mungkin memiliki akses ke kunci KMS bahkan jika mereka tidak secara eksplisit terdaftar sebagai prinsipal dalam dokumen kebijakan utama. Berhati-hatilah untuk memeriksa semua kebijakan IAM di semua yang Akun AWS terdaftar sebagai prinsipal untuk menentukan apakah mereka mengizinkan akses ke kunci KMS ini.
contoh Pernyataan kebijakan 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
Dalam pernyataan kebijakan 2, arn:aws:iam::111122223333:role/KMSKeyAdmins mengacu pada peran IAM bernama KMS KeyAdmins di Akun AWS 111122223333. Pengguna yang berwenang untuk mengambil peran ini diizinkan untuk melakukan tindakan yang tercantum dalam pernyataan kebijakan, yang merupakan tindakan administratif untuk mengelola kunci KMS.
contoh Kebijakan pernyataan 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }
Dalam pernyataan kebijakan 3, arn:aws:iam::111122223333:role/EncryptionApp mengacu pada peran IAM yang disebutkan EncryptionApp dalam Akun AWS 111122223333. Kepala sekolah yang berwenang untuk mengambil peran ini diizinkan untuk melakukan tindakan yang tercantum dalam pernyataan kebijakan, yang mencakup operasi kriptografi untuk kunci KMS enkripsi simetris.
contoh Kebijakan pernyataan 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Dalam pernyataan kebijakan 4, arn:aws:iam::111122223333:role/EncryptionApp mengacu pada peran IAM yang disebutkan EncryptionApp dalam Akun AWS 111122223333. Kepala sekolah yang berwenang mengambil peran ini diizinkan untuk melakukan tindakan yang tercantum dalam pernyataan kebijakan. Tindakan ini, bila dikombinasikan dengan tindakan yang diizinkan dalam pernyataan kebijakan Contoh 3, adalah tindakan yang diperlukan untuk mendelegasikan penggunaan kunci KMS ke sebagian besar AWSlayanan yang terintegrasi dengan AWS KMS, khususnya layanan yang menggunakan hibah. GrantIsForAWSResourceNilai kms: dalam Condition elemen memastikan bahwa delegasi hanya diperbolehkan ketika delegasi adalah AWS layanan yang terintegrasi dengan AWS KMS dan menggunakan hibah untuk otorisasi.
Untuk mempelajari semua cara yang berbeda, Anda dapat menentukan perwakilan dalam dokumen kebijakan kunci, lihat Menentukan Perwakilan di Panduan Pengguna IAM.
Untuk mempelajari selengkapnya tentang kebijakan kunci AWS KMS, lihat Kebijakan utama di AWS KMS.
