本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更改密钥策略
您可以在自己的密钥中更改密KMS钥的密钥策略 AWS 账户 通过使用 AWS Management Console 或者是PutKeyPolicy手术。您不能使用这些技术在不同的密钥中更改KMS密钥的密钥策略 AWS 账户.
当更改密钥策略时,请注意以下规则:
-
您可以查看的密钥策略 AWS 托管式密钥或客户管理的密钥,但您只能更改客户托管密钥的密钥策略。的政策 AWS 托管式密钥 由创建和管理 AWS 在您的账户中创建KMS密钥的服务。您无法查看或更改的密钥策略 AWS 拥有的密钥.
-
您可以添加或删除IAM用户、IAM角色和 AWS 账户 在密钥策略中,并更改允许或拒绝这些委托人的操作。有关在密钥策略中指定委托人和权限的方法的更多信息,请参阅密钥政策。
-
您不能向密钥策略中添加IAM群组,但可以添加多个IAM用户和IAM角色。有关更多信息,请参阅 允许多个IAM委托人访问一个密钥 KMS。
-
如果你添加外部 AWS 账户 对于密钥策略,您还必须使用外部账户中的IAM策略向这些账户中的IAM用户、群组或角色授予权限。有关更多信息,请参阅 允许其他账户中的用户使用 KMS 密钥。
-
所生成的密钥策略文档不能超过 32 KB(32,768 字节)。
如何更改密钥策略
您可以通过三种不同的方式更改密钥策略,如以下各部分所述。
使用 AWS Management Console 默认视图
您可以使用控制台中名为默认视图的图形界面来更改密钥策略。
如果以下步骤与您在此控制台中看到的内容不一致,可能意味着,此密钥策略不是由此控制台创建的。也可能意味着,修改此密钥策略的方式不受控制台的默认视图的支持。在这种情况下,请按照使用 AWS Management Console 策略视图或使用 AWS KMS API中的步骤操作。
查看客户托管密钥的密钥策略,如 查看密钥策略(控制台) 中所述。(您无法更改的密钥策略 AWS 托管式密钥.)
-
确定要更改的内容。
使用 AWS Management Console 策略视图
您可以使用控制台的策略视图更改密钥策略文档。
查看客户托管密钥的密钥策略,如 查看密钥策略(控制台) 中所述。(您无法更改的密钥策略 AWS 托管式密钥.)
-
在密钥策略部分中,选择切换到策略视图。
-
编辑密钥策略文档,然后选择 Save changes (保存更改)。
使用 AWS KMS API
您可以使用该PutKeyPolicy操作来更改您的密钥的KMS密钥策略 AWS 账户。 你不能API在另一把KMS钥匙上使用它 AWS 账户.
-
使用GetKeyPolicy操作获取现有的密钥策略文档,然后将密钥策略文档保存到文件中。有关多种编程语言中的示例代码,请参阅 GetKeyPolicy搭配使用 AWS SDK或 CLI。
-
在您的首选文本编辑器中打开该密钥策略文档,编辑该密钥策略文档,然后保存文件。
-
使用PutKeyPolicy操作将更新的密钥策略文档应用于KMS密钥。有关多种编程语言中的示例代码,请参阅 PutKeyPolicy搭配使用 AWS SDK或 CLI。
有关将密钥策略从一个密钥复制到另一个KMS密钥的示例,请参阅中的GetKeyPolicy 示例 AWS CLI 命令参考。
允许多个IAM委托人访问一个密钥 KMS
IAM在密钥策略中,组不是有效的委托人。要允许多个用户和角色访问KMS密钥,请执行以下任一操作:
-
在密钥策略中使用IAM角色作为委托人。多个授权用户可以根据需要代入该角色。有关详细信息,请参阅《IAM用户指南》中的IAM角色。
虽然您可以在密钥策略中列出多个IAM用户,但不建议采用这种做法,因为它要求您在每次授权用户列表发生变化时都更新密钥策略。此外,IAM最佳做法不鼓励使用具有长期凭证的IAM用户。有关详细信息,请参阅《IAM用户指南》IAM中的安全最佳实践。
-
使用IAM策略向IAM群组授予权限。为此,请确保密钥策略包含允许IAM策略访问KMS密钥的声明,创建允许访问KMS密钥的IAM策略,然后将该策略附加到包含授权IAM用户的IAM群组。使用此方式,您不需要在授权用户列表发生更改时更改任何策略。相反,您只需要在相应的IAM群组中添加或移除这些用户即可。有关详细信息,请参阅《IAM用户指南》中的IAM用户组
有关如何做的更多信息 AWS KMS 关键策略和IAM策略协同工作,请参阅密钥访问故障排除。