Mengubah kebijakan kunci - AWS Key Management Service
Cara mengubah kebijakan kunciMengizinkan beberapa prinsipal IAM untuk mengakses kunci KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengubah kebijakan kunci

Anda dapat mengubah kebijakan kunci untuk kunci KMS di Anda Akun AWS dengan menggunakan AWS Management Console atau PutKeyPolicyoperasi. Anda tidak dapat menggunakan teknik ini untuk mengubah kebijakan kunci kunci KMS secara berbedaAkun AWS.

Saat mengubah kebijakan kunci, perhatikan aturan berikut:

  • Anda dapat melihat kebijakan kunci untuk kunci yang dikelola pelanggan, tetapi Anda hanya dapat mengubah kebijakan kunci untuk kunci yang dikelola pelanggan. Kunci yang dikelola AWS Kebijakan Kunci yang dikelola AWS dibuat dan dikelola oleh AWS layanan yang membuat kunci KMS di akun Anda. Anda tidak dapat melihat atau mengubah kebijakan kunci untuk file Kunci milik AWS.

  • Anda dapat menambahkan atau menghapus pengguna IAM, peran IAM, dan Akun AWS dalam kebijakan utama, dan mengubah tindakan yang diizinkan atau ditolak untuk prinsipal tersebut. Untuk informasi selengkapnya tentang cara menentukan perwakilan dan izin dalam kebijakan kunci, lihat Kebijakan utama.

  • Anda tidak dapat menambahkan grup IAM ke kebijakan utama, tetapi Anda dapat menambahkan beberapa pengguna IAM dan peran IAM. Untuk informasi selengkapnya, lihat Mengizinkan beberapa prinsipal IAM untuk mengakses kunci KMS.

  • Jika Anda menambahkan Akun AWS eksternal ke kebijakan kunci, Anda juga harus menggunakan kebijakan IAM di akun eksternal untuk memberikan izin kepada pengguna, grup, atau role IAM di akun tersebut. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.

  • Dokumen kebijakan kunci yang dihasilkan tidak dapat melebihi 32 KB (32.768 byte).

Cara mengubah kebijakan kunci

Anda dapat mengubah kebijakan kunci dalam tiga cara berbeda seperti yang dijelaskan di bagian berikut.

Menggunakan tampilan default AWS Management Console

Anda dapat menggunakan konsol tersebut untuk mengubah kebijakan kunci dengan antarmuka grafis yang disebut tampilan default.

Jika langkah-langkah berikut tidak cocok dengan apa yang Anda lihat di konsol tersebut, mungkin berarti kebijakan kunci ini tidak dibuat oleh konsol tersebut. Atau mungkin berarti bahwa kebijakan kunci telah diubah dengan cara yang tidak didukung oleh tampilan default konsol tersebut. Dalam hal ini, ikuti langkah-langkah di Menggunakan tampilan kebijakan AWS Management Console atau Menggunakan API AWS KMS.

  1. Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMelihat kebijakan kunci (konsol). (Anda tidak dapat mengubah kebijakan utamaKunci yang dikelola AWS.)

  2. Menentukan hal yang harus diubah.

Menggunakan tampilan kebijakan AWS Management Console

Anda dapat menggunakan konsol tersebut untuk mengubah dokumen kebijakan kunci dengan tampilan kebijakan konsol tersebut.

  1. Lihat kebijakan kunci untuk kunci terkelola pelanggan seperti yang dijelaskan dalamMelihat kebijakan kunci (konsol). (Anda tidak dapat mengubah kebijakan utamaKunci yang dikelola AWS.)

  2. Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.

  3. Edit dokumen kebijakan kunci, lalu pilih Simpan perubahan.

Menggunakan API AWS KMS

Anda dapat menggunakan PutKeyPolicyoperasi untuk mengubah kebijakan kunci kunci KMS di AndaAkun AWS. Anda tidak dapat menggunakan API ini pada kunci KMS yang berbedaAkun AWS.

  1. Gunakan GetKeyPolicyoperasi untuk mendapatkan dokumen kebijakan kunci yang ada, lalu simpan dokumen kebijakan kunci ke file. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Mendapatkan kebijakan kunci.

  2. Buka dokumen kebijakan kunci di editor teks pilihan Anda, edit dokumen kebijakan kunci, lalu simpan file.

  3. Gunakan PutKeyPolicyoperasi untuk menerapkan dokumen kebijakan kunci yang diperbarui ke kunci KMS. Untuk kode sampel dalam beberapa bahasa pemrograman, lihat Mengatur kebijakan kunci.

Untuk contoh menyalin kebijakan kunci dari satu kunci KMS ke kunci lainnya, lihat GetKeyPolicy contoh di AWS CLI Command Reference.

Mengizinkan beberapa prinsipal IAM untuk mengakses kunci KMS

Grup IAM bukan perwakilan yang valid dalam kebijakan kunci. Untuk memungkinkan beberapa pengguna dan peran mengakses kunci KMS, lakukan salah satu hal berikut:

  • Gunakan peran IAM sebagai prinsipal dalam kebijakan kunci. Beberapa pengguna yang berwenang dapat mengambil peran sesuai kebutuhan. Untuk detailnya, lihat peran IAM di Panduan Pengguna IAM.

    Meskipun Anda dapat mencantumkan beberapa pengguna IAM dalam kebijakan utama, praktik ini tidak disarankan karena mengharuskan Anda memperbarui kebijakan kunci setiap kali daftar pengguna yang berwenang berubah. Selain itu, praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensi jangka panjang. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

  • Gunakan kebijakan IAM untuk memberikan izin kepada grup IAM. Untuk melakukan ini, pastikan bahwa kebijakan kunci mencakup pernyataan yang memungkinkan kebijakan IAM untuk mengizinkan akses ke kunci KMS, membuat kebijakan IAM yang memungkinkan akses ke kunci KMS, dan kemudian melampirkan kebijakan itu ke grup IAM yang berisi pengguna IAM yang berwenang. Dengan menggunakan pendekatan ini, Anda tidak perlu mengubah kebijakan apa pun ketika daftar pengguna yang diotorisasi berubah. Sebaliknya, Anda hanya perlu menambahkan atau menghapus pengguna tersebut dari grup IAM yang sesuai. Untuk detailnya, lihat grup pengguna IAM di Panduan Pengguna IAM

Untuk informasi selengkapnya cara kerja kebijakan kunci AWS KMS dan kebijakan IAM, lihat Memecahkan masalah akses kunci.