Visualizar uma política de chaves - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizar uma política de chaves

É possível visualizar a política de chaves de uma AWS KMS gerenciada pelo cliente do CMK ou de uma gerenciada pela AWS em sua conta usando a CMK ou a operação Console de gerenciamento da AWS na API do GetKeyPolicy.AWS KMS Não é possível usar essas técnicas para visualizar a política de chaves de uma CMK em outra conta da AWS.

Para saber mais sobre as políticas de chaves do AWS KMS, consulte Usar políticas de chaves no AWS KMS. Para saber como determinar quais usuários e funções têm acesso a uma CMK, consulte Determinar o acesso a um AWS KMS Chave mestra do cliente.

Visualizar uma política de chaves (console)

Os usuários autorizados podem visualizar a política de chaves de uma CMK gerenciada pela AWS ou de uma CMK gerenciada pelo cliente na guia Key policy (Política de chaves) do Console de gerenciamento da AWS.

Para visualizar a política de chaves de uma CMK no Console de gerenciamento da AWS, é necessário ter as permissões kms:ListAliases, kms:DescribeKey e kms:GetKeyPolicy.

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a região do AWS, use o seletor Region (Região) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que AWS cria e gerencia para você, no painel de navegação, escolha chaves gerenciadas da AWS Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Na lista de CMKs, escolha o alias ou o ID de chave da CMK que você deseja examinar.

  5. Selecione a guia Key policy (Política de chaves).

    Na guia Key policy (Política de chaves), você pode ver o documento da política de chaves. Essa é a visualização da política. Nas declarações da política de chaves, é possível ver os principais que receberam acesso à CMK pela política de chaves e é possível ver as ações que eles podem executar.

    O exemplo a seguir mostra a visualização da política de chaves padrão.

    
                        Visualização da política de chaves padrão na visualização da política no console doAWS KMS

    Ou, se tiver criado a CMK no Console de gerenciamento da AWS, você verá a visualização padrão com seções para Key administrators (Administradores de chaves), Key deletion (Exclusão de chaves) e Key Users (Usuários de chaves). Para ver o documento da política de chaves, selecione Switch to policy view (Alternar para a visualização da políticas).

    O exemplo a seguir mostra a visualização padrão da política de chaves padrão.

    
                        Visualização da política de chaves padrão na visualização padrão no console doAWS KMS

Visualizar uma política de chaves (AWS KMS API)

Para obter a política de chaves de uma AWS gerenciada pela CMK ou uma gerenciada pelo clienteCMK na sua conta da , use a operação AWSGetKeyPolicy na API do .AWS KMS Não é possível usar essa operação para visualizar uma política de chaves em uma conta diferente.

O exemplo a seguir usa o comando get-key-policy na AWS Command Line Interface (AWS CLI), mas você pode usar qualquer AWS SDK para fazer a solicitação.

Observe que o parâmetro PolicyName será exigido mesmo se default for seu único valor válido. Além disso, esse comando solicita a saída em texto, em vez de em JSON, para facilitar a visualização.

Antes de executar esse comando, substitua o ID de chave de exemplo por um válido da sua conta.

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

A resposta deve ser semelhante à seguinte, que retorna a política de chaves padrão.

{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }